标准规范下载简介
DB3301/T 0322.2-2020 数据资源管理 第2部分:政务数据安全责任.pdfDB 3301/T 0322. 22020
数据资源管理 第2部分:政务数据安全责任
杭州市市场监督管理局 发布
DB3301/T0322.2—2020目次前I范围.2规范性引用文件3术语和定义.缩略语5数据安全责任方通用要求6数据提供方安全职责DB37/T 3221-2018 数据中心防雷技术规范,6.1数据来源合法6.2数据管理7数据使用方安全职责.37. 1共享数据申请.7.2共享数据管理8数据管理方安全职责..8. 1统筹协调.8.2数据管理..8.3安全监管..8.4安全检查.9服务第三方安全职责,9. 1通用要求..9. 2数据服务安全职责.应用开发安全职责..9. 4监管服务安全职责.参考文献..息服务平台
DB3301/T0322.22020
管理第2部分:政务数据安全
本部分规定了政务数据资源管理过程中,数据提供方、数据使用方、数据管理方和服务第三方的数 据安全职责。 本部分适用于政务数据共享过程的数据安全责任划分
下列文件中的内容通过文中的规范性引用而构成文件必不可少的条款。其中,注日期的引用 该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用 件。 GB/T25069信息安全技术术语
GB/T25069界定的以及下列术语和定义适用于本部分。 3.1 数据安全责任方 承担政务数据安全管理工作的相关单位,包括数据提供方、数据使用方、数据管理方和服务第三方 3.2 数据管理方 由政府赋予政务数据管理职能的行政机构。 3.3 服务第三方 通过签订合同的方式,承担信息技术服务的商业机构 准信息服务 3.4 公共数据工作平台 开展政务数据共享工作的管理平台。 3.5 数据血缘 数据在产生、传输、存储、处理、交换到销毁的全生命周期过程中,数据之间形成的可回溯的关联 关系。 3.6 交付件 对监管活动起到佐证作用的任何实体,包括但不限于各种文档、图片、录音、录像、实物、数据等,
对监管活动起到佐证作用的任何实体,包括但不限于各种文档、图片、录音、录像、实物、数 以纸质、电子等形式有效保存
DB3301/T0322.2—20203.7数据服务提供数据采集、数据传输、数据存储、数据处理(包括计算、分析、可视化等)、数据交换、数据销毁等数据生存形态演变的一种网络信息服务。[GB/T35274定义3.3]4缩略语API应用程序接口(ApplicationProgrammingInterface)5数据安全责任方通用要求数据安全责任方要求包括:应按照谁主管、谁负责,谁提供、谁负责,谁使用、谁负责,谁运营、谁负责的原则,在各自职责范围内,做好数据安全管理工作;一应明确数据安全责任方之间的安全责任边界,通过合同或其他有效措施,明确界定各方职责;涉及需要依赖另一方安全措施有效性的,责任由双方共同承担:一数据提供方、数据使用方、数据管理方可通过签订合同的方式,将数据安全管理和技术支撑工作外包给服务第三方,但安全责任不随服务外包而转移;数据共享工作应通过公共数据工作平台进行,原则上不充许数据使用方与数据提供方私下进行数据的交换和共享;一应按照网络安全等级保护、关键信息基础设施保护等要求,制定并实施安全管理制度、规程和安全策略;应保障各阶段数据血缘的完整性,并提供相应的数据操作日志用于监管审计;共享数据的使用期限应符合相关规定的要求,对超过申请使用期限的数据应进行销毁应建立数据安全培训机制,定期开展数据安全意识教育和安全专项技能培训,培训计划和培训内容应覆盖不同岗位人员的数据安全管理与技能要求。方标准信6数据提供方安全职责6.1数据来源合法数据提供方在采集政务数据过程中应满足以下要求:应按照法定职责,采集政务数据资源,明确本部门数据采集范围、采集程序、维护规范,确保数据的准确性、完整性、时效性;除法律、法规另有规定,应当遵循“一数一源”的原则,不得重复采集公共数据工作平台已有数据。6.2数据管理数据提供方在进行数据管理时,应满足以下要求:一应编制本部门政务数据资源目录,定义共享数据范围和保存期限;一应根据相关数据分类分级要求,设置数据标签:一应及时响应数据使用方的共享数据申请,按共享审批授权流程进行审批授权,提供共享数据;2
一应确保所提供共享数据的准确性、完整性、时效性
一应确保所提供共享数据的准确性、完整性、时效性
7. 1 共享数据申请
DB3301/T0322.22020
数据使用方申请共享数据时,应满足以下要求: 一应基于履职需要,进行共享数据申请; 申请共享数据时,应明确申请共享类型、申请依据(法律要求、履职需要等)、使用场景、使 用系统及IP、使用时间、系统安全级别及措施、部署层级、日均调用量等具体使用需求。
数据使用方使用共享数据时,应满足以下要求: 应在所申请应用场景和应用系统范围内使用共享数据: 应根据获取共享数据的安全级别,提供不同等级的安全防护措施; 对所获取的共享数据进行融合加工分析时,应对新生成的结果数据设置相应等级数据标签,并 落实相应等级的安全防护措施; 不应对脱敏后的个人信息和敏感数据进行再识别; 应对共享数据使用情况进行记录分析,确保数据正当使用; 应将超过使用时间的共享数据进行销毁。
数据管理方进行数据管理工作时,应满足以下要求: 应组织编制政务数据资源目录,对政务数据实行统一目录管理,明确数据提供方、共享开放属 性等要素; 应牵头制定数据分类分级规则,对数据提供方提交的数据分类分级情况进行审核,对不符合要 求的数据分类分级情况,责令数据提供方重新设置标签; 对数据使用方的数据共享申请进行二次审批,重点审核数据使用场景和时间是否与申请依据相 符; 明确数据接口安全管理制度,包括数据接口安全控制措施、接口适用范围、日均调用量,发布 者和使用者权利与义务等,并定期审查发布的数据中是否含有违规信息; 对数据使用方的数据分析模型进行审核,确保衍生的数据不超过数据使用方所申请的数据使用 范围,对分析结果输出进行抽查,避免分析结果输出中包含可恢复的个人信息、重要数据等数 据和结构标识,防止个人信息、重要数据等敏感信息的泄漏:
一应加强对公共数据工作平台的安全管理工作
DB3301/T0322.22020
数据管理方应定期对其他数据安全责任方开展安全检查工作,对发现的问题采取以下措施: 对检查中发现的安全管理缺陷或安全隐惠,应提出限期整改要求; 对检查中发现的重大安全隐患,应责令立即排除; 对检查中发现的失泄密隐患,应立即向保密行政管理部门报告; 对检查中发现的违法行为,应立即制止,并提请公安部门依法查处
服务第三方在提供服务时,应满足以下要求: 应明确和被服务方的安全责任边界,签订安全责任书,承担违约责任; 应遵循“最小可用”原则分配被服务方系统账号权限; 服务人员应使用唯一的系统账号,严禁多名服务人员共用一个系统账号; 应建立服务人员离岗(调岗)管理制度,做好工作交接,签订离岗保密协议; 应建立服务人员奖惩机制,发现或被服务方通报人员异常及违规行为时,应实行调研处置、岗 位调离、解除聘任合同等惩戒措施。
服务第三方在提供服务时,应满足以下要求: 应与被服务方签订保密协议,明确保密义务和责任; 应建立保密管理制度,与本单位参与服务人员签订保密协议。
9. 1. 4 安全监管
9.2数据服务安全职责
DB11T 822-2015 盆栽红掌栽培技术规程DB3301/T0322.22020
服务第三方在提供数据服务时,应满足以下要求: 应根据被服务方制定的安全策略和规则提供数据服务: 提供数据API开发服务的,应提供服务API的用户鉴别、鉴权和访问控制的能力,并具备防重 放、代码注入、DoS/DDoS等攻击防护能力: 提供数据治理服务的应根据数据质量规则进行标准化处理,并通过技术手段保障数据的一致 性; 一提供数据同步服务的应通过技术手段保障数据同步过程的一致性,记录数据同步过程的所有日 志; 应配合数据管理方或数据使用方对新生成的数据进行识别和打标。
9.3应用开发安全职责
服务第三方在提供应用开发服务时,应满足以下要求: 应在测试环境进行应用功能开发和测试,测试环境应与生产环境安全隔离; 应按照授权审批流程申请测试数据,并在完成测试后删除测试数据; 开发过程中涉及到使用敏感数据的DB35/T 1801-2018 配电线路故障指示器通用技术条件,应脱敏后使用
9.4监管服务安全职责
服务第三方在提供监管服务时,应满足以下要求: 应在数据管理方的监督和授权下开展安全运行监管工作,需要其它数据安全责任方提供交付件 时应有数据管理方授权; 应配合数据管理方制定监管规范,规定数据操作日志记录要求; 应汇聚并审计被监管方的数据操作日志,及时发现数据违规操作行为; 应对其它服务第三方实施的安全控制措施、变更管理、应急响应等进行持续监管,通过技术措 施或文件审核等方式对服务第三方承诺的安全控制项进行评估验证