DB2201T18-2022政務(wù)數(shù)據(jù)安全管理責(zé)任指南

ICS35.020CCSL09

2201長 春 市 地 方 標(biāo) 準(zhǔn)DB2201/T18—2022政務(wù)數(shù)據(jù)安全管理責(zé)任指南Guidelinesformanagementresponsibilityofgovernmentdatasecurity2022-01-14發(fā)布 2022-01-30實(shí)施長春市市場監(jiān)督管理局??發(fā)布DB2201/T18DB2201/T18—2022II前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件的某些內(nèi)容可能涉及專利，本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由長春市政務(wù)服務(wù)和數(shù)字化建設(shè)管理局提出并歸口。本文件主要起草單位：長春市政務(wù)服務(wù)和數(shù)字化建設(shè)管理局、杭州安恒信息技術(shù)股份有限公司。靂、王振斌。DB2201/T18DB2201/T18—2022PAGEPAGE5政務(wù)數(shù)據(jù)安全管理責(zé)任指南范圍理責(zé)任。本文件適用于政務(wù)數(shù)據(jù)安全的管理責(zé)任工作。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T25069信息安全技術(shù)術(shù)語GB/T35295信息技術(shù)大數(shù)據(jù)術(shù)語術(shù)語和定義GB/T25069和GB/T35295界定的以及下列術(shù)語和定義適用于本文件。服務(wù)第三方thirdpartyserviceprovider提供相關(guān)數(shù)據(jù)管理服務(wù)的供應(yīng)方。數(shù)據(jù)管理組織Datamanagementorganization政府賦予數(shù)據(jù)管理職能的組織。數(shù)據(jù)血緣DataLineage關(guān)系。數(shù)據(jù)安全審計(jì)datasecurityaudit根據(jù)數(shù)據(jù)安全審計(jì)的要求，對數(shù)據(jù)本身以及與其形成過程安全相關(guān)的內(nèi)部控制和流程進(jìn)行檢查、評價(jià)，并發(fā)表審計(jì)意見?？s略語下列縮略語適用于本文件。API:應(yīng)用程序編程接口(ApplicationProgrammingInterface)ETL:數(shù)據(jù)倉庫技術(shù)(Extract-Transform-Load)數(shù)據(jù)管理相關(guān)方數(shù)據(jù)管理相關(guān)方包括：數(shù)據(jù)安全管理組織、數(shù)據(jù)提供者、數(shù)據(jù)使用者、數(shù)據(jù)運(yùn)營者。數(shù)據(jù)安全管理者負(fù)責(zé)數(shù)據(jù)安全相關(guān)領(lǐng)域和環(huán)節(jié)的決策，制定并審議數(shù)據(jù)安全相關(guān)制度，監(jiān)督執(zhí)行和組織落實(shí)業(yè)務(wù)部門數(shù)據(jù)安全相關(guān)工作。數(shù)據(jù)安全執(zhí)行者負(fù)責(zé)數(shù)據(jù)安全相關(guān)領(lǐng)域和環(huán)節(jié)工作的執(zhí)行，制定數(shù)據(jù)安全相關(guān)細(xì)則，落實(shí)各項(xiàng)安全措施，配合數(shù)據(jù)安全管理者開展各項(xiàng)工作。數(shù)據(jù)安全審計(jì)者對安全策略的適當(dāng)性進(jìn)行評價(jià)，幫助檢測安全違規(guī)，并生成安全審計(jì)報(bào)告。數(shù)據(jù)共享管理者對數(shù)據(jù)共享交換等平臺和過程進(jìn)行管理，執(zhí)行數(shù)據(jù)安全管理者分配的工作任務(wù)。數(shù)據(jù)使用者在開放、共享、交換、交易等過程中獲取數(shù)據(jù)的人員或組織。數(shù)據(jù)運(yùn)營者是對政務(wù)數(shù)據(jù)在開放、共享、交換、交易等過程中進(jìn)行控制的人員或組織。數(shù)據(jù)管理組織數(shù)據(jù)安全管理者責(zé)任包括但不限于：確定數(shù)據(jù)的分類分級初始值，制定數(shù)據(jù)分類分級指南。與提供數(shù)據(jù)的業(yè)務(wù)部門合作，確定數(shù)據(jù)的安全級別；綜合考慮法律法規(guī)、政策、標(biāo)準(zhǔn)、數(shù)據(jù)分析技術(shù)水平、組織所處行業(yè)特殊性等因素，評估數(shù)據(jù)安全風(fēng)險(xiǎn)，制定數(shù)據(jù)安全基本要求；對數(shù)據(jù)訪問進(jìn)行授權(quán)；建立相應(yīng)的數(shù)據(jù)安全管理監(jiān)督機(jī)制，監(jiān)視數(shù)據(jù)安全管理機(jī)制的有效性；數(shù)據(jù)安全執(zhí)行者責(zé)任包含但不限于：根據(jù)數(shù)據(jù)安全管理者的要求實(shí)施安全措施；為數(shù)據(jù)安全管理者授權(quán)的相關(guān)方分配數(shù)據(jù)訪問權(quán)限和機(jī)制；配合數(shù)據(jù)安全管理者處置安全事件；記錄數(shù)據(jù)活動的相關(guān)日志。定期組織開展對數(shù)據(jù)開放、共享、交換、交易等過程的數(shù)據(jù)安全檢查；定期對數(shù)據(jù)使用者的數(shù)據(jù)安全防護(hù)能力進(jìn)行評估。當(dāng)發(fā)生重大數(shù)據(jù)安全事件時(shí)，數(shù)據(jù)管理組織應(yīng)牽頭成立調(diào)查組對發(fā)生安全事件的相關(guān)方進(jìn)行調(diào)查，調(diào)查組可以調(diào)閱、摘抄、復(fù)制與數(shù)據(jù)安全事件有關(guān)的資料，封存有關(guān)設(shè)備，進(jìn)行調(diào)查取證；根據(jù)調(diào)查結(jié)果對相關(guān)數(shù)據(jù)提供、管理、運(yùn)營及使用的相關(guān)方進(jìn)行責(zé)任追究，責(zé)令限期整改；對造成重大損失或者社會影響的，責(zé)令暫停相關(guān)業(yè)務(wù)，涉及違法犯罪的由公安機(jī)關(guān)依法查處。數(shù)據(jù)安全審計(jì)者責(zé)任包含但不限于：定期審計(jì)數(shù)據(jù)安全的管理情況；出具數(shù)據(jù)安全審計(jì)報(bào)告。據(jù)安全管理者，確保風(fēng)險(xiǎn)有人負(fù)責(zé)處置過程，并對處置過程進(jìn)行驗(yàn)證。數(shù)據(jù)共享管理者責(zé)任包含但不限于：建立數(shù)據(jù)資源共享管理制度，負(fù)責(zé)數(shù)據(jù)資源目錄的編制、審核和維護(hù)；依據(jù)數(shù)據(jù)資源目錄審核歸集的數(shù)據(jù)資源，確保歸集數(shù)據(jù)合規(guī)性、準(zhǔn)確性和完整性；牽頭制定數(shù)據(jù)分類分級標(biāo)準(zhǔn)，開展相關(guān)工作；牽頭制定數(shù)據(jù)使用的策略和規(guī)則，對數(shù)據(jù)使用者的數(shù)據(jù)共享申請進(jìn)行審批；對數(shù)據(jù)使用者的分析數(shù)據(jù)結(jié)果輸出進(jìn)行抽查。數(shù)據(jù)提供者數(shù)據(jù)提供者責(zé)任包括但不限于：向數(shù)據(jù)管理組織提供數(shù)據(jù)資源目錄；遵循“一數(shù)一源”和必要及最小化的原則采集數(shù)據(jù)，不宜重復(fù)采集通過共享方式獲取的數(shù)據(jù)資源；給出采集和提供數(shù)據(jù)的共享范圍、共享期限、共享用途和數(shù)據(jù)保存期限；對數(shù)據(jù)使用者提交的數(shù)據(jù)共享申請，根據(jù)履職需要和最小化原則，進(jìn)行審批授權(quán)；對共享的數(shù)據(jù)設(shè)置對應(yīng)的數(shù)據(jù)分類分級標(biāo)簽；通過技術(shù)手段確保共享數(shù)據(jù)的完整性和一致性，并按照約定的頻率更新數(shù)據(jù)。數(shù)據(jù)使用者數(shù)據(jù)使用者責(zé)任包括但不限于：更新頻率等具體使用需求；不再對脫敏后的個(gè)人信息和敏感數(shù)據(jù)進(jìn)行再識別；根據(jù)共享數(shù)據(jù)的保存期限進(jìn)行數(shù)據(jù)銷毀工作；根據(jù)獲取到的共享數(shù)據(jù)的安全級別，采取相應(yīng)等級的安全防護(hù)措施進(jìn)行防護(hù)；根據(jù)業(yè)務(wù)需求對共享數(shù)據(jù)進(jìn)行再次加工時(shí)，聯(lián)合數(shù)據(jù)管理者對加工后的數(shù)據(jù)進(jìn)行識別和設(shè)置分類分級標(biāo)簽，并采取相應(yīng)等級的防護(hù)措施進(jìn)行安全防護(hù)；完整記錄數(shù)據(jù)使用過程中的操作日志；明確數(shù)據(jù)使用的第一責(zé)任人。數(shù)據(jù)運(yùn)營者數(shù)據(jù)運(yùn)營者安全責(zé)任包括但不限于：進(jìn)行書面安全承諾，承諾提供的產(chǎn)品和服務(wù)不包含惡意程序、隱蔽接口或未明示功能的模塊等；建立并執(zhí)行針對產(chǎn)品和服務(wù)安全缺陷、漏洞的應(yīng)急響應(yīng)機(jī)制和流程，在發(fā)現(xiàn)提供的產(chǎn)品和服務(wù)存在安全缺陷、漏洞時(shí)，立即采取修復(fù)或替代方案等補(bǔ)救措施，及時(shí)告知用戶安全風(fēng)險(xiǎn)，并向數(shù)據(jù)管理者報(bào)告；收集用戶信息應(yīng)明確告知收集用戶信息的目的、用途、范圍和類型，在用戶明示同意后，按照最少夠用原則收集實(shí)現(xiàn)產(chǎn)品和服務(wù)功能所需的最少用戶信息，并采取安全措施保護(hù)用戶信息的安全；產(chǎn)品和服務(wù)上線前應(yīng)告知數(shù)據(jù)管理者上線計(jì)劃，并接受數(shù)據(jù)管理者或由數(shù)據(jù)管理者授權(quán)委托的服務(wù)方進(jìn)行安全檢查；建立內(nèi)部監(jiān)督審計(jì)機(jī)制，對提供服務(wù)的人員進(jìn)行監(jiān)督和審計(jì)，簽訂保密協(xié)議，確保其不泄露用戶的業(yè)務(wù)數(shù)據(jù)；接受數(shù)據(jù)管理組織的安全監(jiān)管工作，按監(jiān)管要求提供相關(guān)交付件供數(shù)據(jù)管理者或監(jiān)管服務(wù)方審核評估，并對通報(bào)的安全風(fēng)險(xiǎn)進(jìn)行及時(shí)整改；根據(jù)數(shù)據(jù)管理者制定的安全策略和規(guī)則進(jìn)行數(shù)據(jù)的訪問授權(quán)管理工作；APIAPIAPIAPIAPI對歸集的數(shù)據(jù)保留原始表，不做任何加工清洗，以滿足溯源、數(shù)據(jù)質(zhì)量核查等需求；ETLETL提供數(shù)據(jù)同