标准规范下载简介
DB3301/T 0322.1-2020 数据资源管理 第1部分:政务数据安全监管.pdfDB 3301/T 0322. 12020
数据资源管理 第1部分:政务数据安全监管
GB/T 50491-2018 铁矿球团工程设计标准杭州市市场监督管理局 发布
DB3301/T0322.1—2020目次前I11范围2规范性引用文件3术语和定义监管目的.5监管流程5. 1监管角色与职责5.2监管框架6监管内容6.1敏感数据监管6.2特权账号监管.6.3基础设施监管,7实现方式.7.1总则...7. 2人工机制.7. 3自动机制参考文献地方标准信息服务平台
DB3301/T0322.12020
DB3301/T0322.12020
数据资源管理第1部分:政务数据安全监管
本部分规定了数据资源管理过程中数据安全监管目的、监管流程、监管内容和实现方式。 本部分适用于开展数据安全监管工作
下列文件中的内容通过文中的规范性引用而构成文件必不可少的条款。其中,注日期的引用文件! 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T25069信息安全技术术语
GB/T25069界定的以及下列术语和定义适用于本部分。 3.1 数据活动 指数据的收集、存储、加工、使用、提供、交易、公开等行为。 3.2 安全监管方 为保障数据安全而开展安全监控和审计的组织。 3.3 标准信 被监管方 进行数据活动的组织和人员。 3.4 交付件 对监管活动起到佐证作用的任何实体,包括但不限于文档、图片、录音、录像、实物、数据等,并 以纸质、电子等形式有效保存。
开展数据安全监管的目的是保障: 数据安全保护工作持续满足国家及省、市相关法律法规、行政命令、政策和标准要求
DB3301/T0322.1—2020数据活动安全风险可控;安全监管方能够有效、及时掌握基础设施的运行质量和安全状态。5监管流程5.1监管角色与职责安全监管包含两个主要角色:安全监管方,应对数据运行各阶段开展安全监控和审计,对数据生命周期各阶段可能存在的未授权访问、数据滥用、数据泄漏等安全风险的防控:被监管方,应按照安全监管要求提供相关交付件用于审计分析,收到相关安全风险通报后及时整改。5.2监管框架被监管方应对数据活动过程中的敏感数据安全、特权人员权限和基础设施运行落实相关管理和技术措施,并为安全监管方提供可证明的交付件,交付件可通过接口自动获取或人工手动提交安全监管方应对交付件进行分析审核和评估验证等监管活动,形成监管结果。发现安全问题时应向被监管方反馈结果,必要时应根据监管结果给出合理的整改意见和建议,数据安全监管框架图参见图1。监管结果反馈敏感数据监管分析审核安全监管方监被监管方自动机制监管接口获取管特权账号监管评估验证内活容动基础设施监管监管结果人工机制手动提交格息服务平台图1数据安全监管框架6监管内容6.1敏感数据监管6.1.1敏感数据级别标签监管结合国家法规标准与数据分类分级要求,判定敏感数据设置合法性与合理性,6.1.2敏感数据传输监管确保敏感数据落实相应等级的传输加密保护,必要时可对安全通道方案、身份鉴别和认证机制、数据加密算法进行评估审核。2
6.1.3敏感数据存储监管
6. 1. 4 敏感数据调用监管
对敏感数据的访问行为进行分析审计,确保敏感数据调用合法合规。
6.1.5敏感数据脱敏使用监管
DB3301/T0322.12020
对敏感数据脱敏、分析等数据操作行为进行日志分析与流量分析审核,确保敏感数据的使用符合申 请需求。
1.6敏感数据销毁监管
据的销毁方式、审批记录和销毁过程进行审计,
6.2.1特权账号操作监管
6.2.2特权账号共享使用监管
3.2.3特权账号口令监管
6.2.4特权账号授权监管
6. 3 基研设施监管
6.3.1基础设施运行监管
福建省普通公路建设项目管理标准化指南对信息资产的日常运行及使用状态进行安全监管
6.3.2基础设施合规监管
开展等级保护测评、等级保护备案、个人信息保护规范等安全检查,确保被监管方落实安全合规建 设
6.3. 3安全管理措施监管
.3.4技术防护措施监管
测试或安全众测等方式JGJ/T480-2019 岩棉薄抹灰外墙外保温工程技术标准及条文说明,确保被监管方安全防护
DB3301/T0322.12020