标准规范下载简介
DB15/T 2197-2021 大数据应用 数据安全管理责任指南.pdfICS35.040 CCS 180
DB15/T 2197202
SL136-2017 混凝土热学参数测定仪校验方法.pdfig data application Data security management responsibility
内蒙古自治区市场监督管理局
蒙古自治区市场监督管理局发
DB15/T 2197202
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件由内蒙古自治区大数据中心提出并归口。 本文件起草单位:内蒙古自治区大数据中心、杭州安恒信息技术股份有限公司、内蒙古工业大学网 络空间安全研究所、华信咨询设计研究院有限公司。 本文件主要起草人:包瑞林、孙卫、周俊、任子骥、林明峰、田丽丹、王钢、周烜义、李欢、崔连
大数据应用数据安全管理责任指南
本文件规定了数据共享交换场景中的基本安全要求,定义了数据共享交换过程中涉及的各相关角色 的安全控制措施。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其申,注日期的引用文件 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T35295信息技术大数据术语
GB/T35295界定的以及下列术语和定义适用于本文件。 3.1 服务第三方thirdpartyserviceprovider 提供相关服务的供应方,包括数据产品和数据服务提供者。 3.2 数据管理者 data manager 数据的管理者,由政府赋予数据管理职能的行政机构。 水准信息 3.3 数据血缘datalineage 数据在产生、传输、存储、处理、交换到销毁的全生命周期过程中,数据之间形成的可回溯的关联 关系。
共享交换安全控制措施的基本原则包括: 共享交换安全管理采取主动防御、综合防范方针,坚持保障数据共享交换安全与促进应用发 展相协调、管理与技术并重的原则,实行统一协调、分工负责、分级管理:
b)支撑数据共享交换的基础设施和网络应符合国家等级保护和关键信息基础设施保护的相关法 规和标准; C 数据共享交换过程由数据提供者、数据使用者、数据管理者和服务第三方组成。各参与方应 按照谁主管、谁负责,谁使用、谁负责,谁运营、谁负责的原则,在各自职责范围内,做好 数据安全管理工作; d 数据共享交换过程中各参与方之间的安全责任相互独立,在部分情况下需要依赖于另一方安 全管理措施的有效性,责任由双方共同承担,
数据共享交换活动涉及数据提供者、数据使用者、数据管理者以及服务第三方(数据运营提供者 据服务提供者),共享交换场景如图1所示。在数据共享交换场景下各相关方履行自身职责,采取安 全管理措施,以保证数据共享交换风险可控。 针对数据交换共享过程的数据流动、过程控制和管理,数据共享交换场景可分为以下儿类 场景1:数据提供者数据采集及共享环节; 场景2:数据服务提供者进行数据处理的环节; 场景3:数据使用者获取数据的环节; 场景4:数据运营提供者在数据采集、共享过程中的控制环节; 场景5:数据管理者在数据共享交换过程的管理环节。
5. 1 基本安全要求
图1共享交换场景分类示意图
数据共享交换场景的基本要求包括: a 数据共享工作应通过共享交换平台进行,通过API服务调用方式获取共享数据; b 数据提供者、数据使用者、数据管理者可在保留安全管理责任的前提下,通过签订标准合同 明确责任和义务,将安全管理执行工作外包给服务第三方:
c)对于无条件共享的数据,归集整理后通过平台可向各单位进行数据共享;对于有条件共享的 数据,由数据使用者向数据提供者提交数据资源共享申请,经数据提供者审批同意和数据管 理者审核确认后,通过平台的API(应用程序编程接口)服务进行数据共享; 确立数据分类分级,根据数据敏感度等级、场景数据使用风险等级制定相应的控制措施; 数据的保存期限应符合法律法规的要求,共享交换过程涉及各方应及时销毁超过数据保存期 的数据,或者进行脱敏保存归档 数据共享交换的各参与方应保障各阶段数据血缘的完整性,保障数据质量,并可提供数据处 理过程日志供第三方审计。
5.2数据提供者安全控制措施
5.2.1数据来源合法
数据提供者应保障数据来源合法,安全控制措施包括: 按照法定职责采集数据资源,明确本部门数据采集、发布、维护的规范和程序,确保数据的 正确性、完整性、时效性以及确权范围; b 除法律、法规另有规定以外,应当遵循“一数一源”的原则,不得重复采集可以通过共享方 式获取的数据资源; 按照法律、法规规定的数据范围进行采集,遵循数据采集必要性及最小化原则,不得采集法 定范围之外的数据
5. 2. 2 数据共享管理
数据提供者应提供数据共享服务,安全控制措施包括: 应明确本部门数据资源的共享范围,及时响应数据使用者的数据共享需求; b 法律、法规、规章等规定需要共享的数据,应按照相关要求进行共享; 对数据使用者提交的数据共享申请,应根据履职需要和最小化原则,进行审批授权; 应明确数据的共享范围、共享期限、共享用途、共享方式和数据保存期限,通过平台向数据 使用者共享数据; 应对共享的数据设置对应的数据分类分级标签; 应通过技术手段确保共享数据的完整性和一致性,并按照约定的更新频率更新数据。
5.3数据使用者安全控制措施
5.3.1数据共享申请
数据使用者应按照以下要求申请数据共享,安全控制措施包括: a) 应基于业务场景向数据提供者或数据管理者申请数据共享,并依据法律法规的要求在授权的 使用范围内使用共享数据; 申请共享数据时,应向数据提供者明确数据的使用目的、范围、期限、更新频率等具体使用 需求GTCC-056-2018 ZPW-2000A·T 轨道电路设备(发送器),共享数据的使用需经过两级审批(见5.2.2及5.4.1)。
5. 3. 2 共享数据使用
数据使用者按要求使用共享数据,安全控制措施包括: a)应在数据提供者的数据授权范围内使用共享数据; b)不应对脱敏后的个人信息和敏感数据通过技术手段进行再识别; C)应根据共享数据的保存期限进行数据销毁工作:
315/T21972021 d 应根据共享数据的安全级别,采取相应等级的安全防护措施进行防护; e 需要对共享数据进行再次加工时,应联合数据管理者对加工后的数据进行识别和设置分类分 级标签,并采取相应等级的防护措施进行安全防护; f 应完整记录数据使用过程中的操作日志,以便识别潜在的违约使用者; S 应明确数据使用的第一责任人
5.4数据管理者安全控制措施
5. 4. 1数据共享管理
数据管理者对数据共享过程进行管理,安全控制措施包括: 建立数据资源共享管理制度,指定专人负责数据资源目录的编制、审核和维护; 依据数据资源目录审核归集的数据资源,确保归集数据合规性、准确性和完整性; 牵头制定数据分类分级标准,按照数据类型与数据安全等级矩阵方法,确定数据敏感度等级; 针对具体业务场景,结合数据敏感度等级,确定场景数据使用风险等级;根据数据敏感度等 级、场景数据使用风险等级确定相应的控制措施: d 对数据提供者提交的数据分类分级情况进行审核,对不符合要求的数据分类和分级情况通报 数据提供者重新设置标签; e 牵头制定数据使用的策略和规则,对数据使用者的数据共享申请进行二次审批,重点审核数 据使用的目的和范围是否与其自身业务开展相关: 对数据使用者的分析数据结果输出进行抽查,避免分析结果输出中包含可恢复的个人信息、 重要数据等数据和结构标识,防止个人信息、重要数据等敏感信息的泄漏; 牵头数据共享交换各方对融合衍生后的数据进行识别和设置分类分级标签,并采取相应等级 的防护措施进行安全防护
塔吊基础施工方案5. 4. 2 安全管理
5. 4. 3检查评估