DB3212T 1118-2022 政務數(shù)據(jù)共享與開放安全管理規(guī)范_第1頁
DB3212T 1118-2022 政務數(shù)據(jù)共享與開放安全管理規(guī)范_第2頁
DB3212T 1118-2022 政務數(shù)據(jù)共享與開放安全管理規(guī)范_第3頁
DB3212T 1118-2022 政務數(shù)據(jù)共享與開放安全管理規(guī)范_第4頁
DB3212T 1118-2022 政務數(shù)據(jù)共享與開放安全管理規(guī)范_第5頁
已閱讀5頁,還剩15頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

ICS35.020CCSL70 DB3212泰 州 市 地 方 標 準DB3212/T1118—2022政務數(shù)據(jù)共享與開放安全管理規(guī)范Governmentdataopeningandsharingmanagementstandard2022-12-28發(fā)布 2022-12-28實施泰州市市場監(jiān)督管理局 發(fā)布DB3212/T1118—2022前 言本文件按照GB/T1.1—2020《標準化工作導則 第1部分:標準化文件的結(jié)構(gòu)和起草規(guī)則》的定起草。本文件由泰州市大數(shù)據(jù)管理局提出。本文件由泰州市大數(shù)據(jù)管理局歸口。本文件起草單位:泰州市大數(shù)據(jù)管理局、泰州市標準化院。IDB3212/T1118—2022政務數(shù)據(jù)共享與開放安全管理規(guī)范范圍本文件適用于泰州市政務數(shù)據(jù)的共享與開放。規(guī)范性引用文件(包括所有的修改單適用于本文件。GB/T22239信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求GB/T25058信息安全技術(shù) 網(wǎng)絡安全等級保護實施指南.GB/T31722信息技術(shù)安全技術(shù)信息安全風險管理GB/T35273信息安全技術(shù) 個人信息安全規(guī)范GB/T36073數(shù)據(jù)管理能力成熟度評估模型GB/T36344—2018 信息技術(shù) 數(shù)據(jù)質(zhì)量評價指GB/T39295—2017 信息技術(shù) 大數(shù)據(jù) 術(shù)語GM/T0054 信息系統(tǒng)密碼應用基本要求術(shù)語和定義GB/T39295—2017界定的以及下列術(shù)語和定義適用于本文件。政務數(shù)據(jù) governmentdata各級政務部門在履行職責過程中依法采集、生成、存儲、管理的各類數(shù)據(jù)資源。注:根據(jù)可傳播范圍,政務數(shù)據(jù)一般包括可共享政務數(shù)據(jù)、可開放公共數(shù)據(jù)及不宜開放共享政務數(shù)據(jù)。政務數(shù)據(jù)共享 governmentdatasharing各級政務部門因履行職責需要,使用其他政務部門的政務數(shù)據(jù)以及為其他政務部門提供政務數(shù)據(jù)的行為。政務信息資源目錄 governmentinformationresourcecatalog通過對政務信息資源依據(jù)規(guī)范的元數(shù)據(jù)描述,按照一定的分類方法進行排序和編碼的一組信息。注:一般用以描述各個政務信息資源的特征,以便于對政務數(shù)據(jù)的檢索、定位與獲取。政務數(shù)據(jù)開放 governmentdataopening政務部門在安全保密、公共利益導向前提下,面向公民、法人和其他組織以非排他形式提供政務數(shù)據(jù)的行為。數(shù)據(jù)安全 datasecurity通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài),以及具備保障持續(xù)安全狀態(tài)的能力??倓t1DB3212/T1118—2022政務數(shù)據(jù)共享與開放安全管理采取主動防御、綜合防范方針,堅持保障政務數(shù)據(jù)安全與促進應用政務數(shù)據(jù)共享與開放安全要求包括基本要求,組織管理、數(shù)據(jù)生命周期安全。各參與方應根據(jù)自身角色和責任遵照執(zhí)行。A基本要求數(shù)據(jù)安全策略與規(guī)程應制定滿足業(yè)務需求的安全策略,明確安全方針、安全目標和安全原則。應基于安全策略,建立相關的制度規(guī)程,形成以數(shù)據(jù)為核心的體系化數(shù)據(jù)安全制度體系。應明確制度和規(guī)程分發(fā)機制,確保制度和規(guī)程分發(fā)至組織的相關部門、崗位和人員。應建立策略、規(guī)程的評審和發(fā)布流程,明確適當?shù)念l率和時機對策略和規(guī)程進行更新,以確保其持續(xù)的適宜性和有效性。數(shù)據(jù)供應鏈管理與數(shù)據(jù)提供者、數(shù)據(jù)使用者、數(shù)據(jù)運營者簽署協(xié)議,明確數(shù)據(jù)的使用目的、供應方式、保密約定等。應委托獨立的運行監(jiān)管方,對數(shù)據(jù)提供者、數(shù)據(jù)使用者和數(shù)據(jù)運營者的行為進行相關記錄,利用技術(shù)工具對數(shù)據(jù)提供者、數(shù)據(jù)使用者和數(shù)據(jù)運營者的行為進行合規(guī)性審核與監(jiān)督。應建立完整的數(shù)據(jù)供應鏈和相關數(shù)據(jù)字典規(guī)則庫,自動監(jiān)測實際數(shù)據(jù)流動情況,實時分析數(shù)據(jù)流向與數(shù)據(jù)供應鏈遵循情況,發(fā)現(xiàn)異常并自動報警和阻斷。元數(shù)據(jù)管理應建立數(shù)據(jù)服務元數(shù)據(jù)語義統(tǒng)一規(guī)范和管理規(guī)則,如口令策略、權(quán)限列表、授權(quán)策略。應建立元數(shù)據(jù)訪問控制策略,明確元數(shù)據(jù)管理角色及其授權(quán)控制機制,并通過技術(shù)手段實現(xiàn)對元數(shù)據(jù)管理角色的授權(quán)和訪問管理。應建立元數(shù)據(jù)操作審計制度,根據(jù)審計制度要求,采集元數(shù)據(jù)操作日志,確保元數(shù)據(jù)操作的可追溯。應保證元數(shù)據(jù)的一致性和連續(xù)性,避免元數(shù)據(jù)錯亂。應建立統(tǒng)一的元數(shù)據(jù)管理平臺,將各領域的元數(shù)據(jù)通過集中的平臺進行提供。運行監(jiān)管應制定數(shù)據(jù)生命周期各階段數(shù)據(jù)訪問和操作的日志記錄規(guī)范要求和監(jiān)管要求。應根據(jù)日志記錄規(guī)范和監(jiān)管要求,對數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀等過程進行有效的日志記錄,實現(xiàn)政務數(shù)據(jù)共享全鏈路的可追溯。應建立統(tǒng)一的數(shù)據(jù)訪問和操作的日志記錄和分析技術(shù)工具,該技術(shù)工具可對各類數(shù)據(jù)訪問和操應對數(shù)據(jù)運營者實施的安全控制措施、變更管理、應急響應等進行持續(xù)監(jiān)管,通過技術(shù)措施或文件審核等方式對數(shù)據(jù)運營者承諾的安全控制項進行評估驗證。應建立針對敏感數(shù)據(jù)的動態(tài)可持續(xù)的數(shù)據(jù)風險監(jiān)管體系,周期性的對敏感數(shù)據(jù)的脆弱性、面臨的安全威脅、安全措施的有效性等內(nèi)容進行風險評估。終端數(shù)據(jù)管理應制訂面向終端的數(shù)據(jù)安全管理規(guī)范,明確終端層面的數(shù)據(jù)防泄漏管理要求。2DB3212/T1118—2022應建立并實施整體的終端安全解決方案,實現(xiàn)終端設備與組織機構(gòu)內(nèi)部員工的有效綁定,按照(應采用身份鑒別、訪問控制等手段對打印輸出設備進行安全管控,并對用戶賬戶在該終端設備上的數(shù)據(jù)操作進行日志記錄。數(shù)據(jù)防泄漏應建立數(shù)據(jù)防泄露規(guī)范,明確需要進行數(shù)據(jù)泄露防護處理的應用場景和處理方法。應支持基于終端使用、動態(tài)傳輸、靜態(tài)存儲的綜合數(shù)據(jù)泄露防護機制。應限制批量修改、拷貝、下載等操作的權(quán)限。應提供數(shù)據(jù)防泄漏處理過程的日志記錄,滿足數(shù)據(jù)防泄漏處理安全審計要求。組織管理政務數(shù)據(jù)管理相關方政務數(shù)據(jù)管理相關方包括:政務數(shù)據(jù)安全管理組織、政務數(shù)據(jù)提供者、政務數(shù)據(jù)使用者、政務數(shù)據(jù)運營者。政務數(shù)據(jù)安全管理組織應履行政務數(shù)據(jù)安全管理、安全執(zhí)行、安全審計、政務數(shù)據(jù)共享開放管理的職責:政務數(shù)據(jù)提供者是參與政務數(shù)據(jù)在開放、共享、交換、交易等過程的采集數(shù)據(jù)進行處理的人員或組織。數(shù)政務據(jù)使用者在開放、共享、交換、交易等過程中獲取政務數(shù)據(jù)的人員或組織。政務數(shù)據(jù)運營者是依法依規(guī)對政務數(shù)據(jù)在開放、共享、交換、交易等過程中進行控制的人員或組織。政務數(shù)據(jù)管理組織政務數(shù)據(jù)安全管理者責任包括但不限于:對數(shù)據(jù)訪問進行授權(quán);建立相應的數(shù)據(jù)安全管理監(jiān)督機制,監(jiān)視數(shù)據(jù)安全管理機制的有效性;組織人員培訓,應建立數(shù)據(jù)安全培訓機制,定期組織開展數(shù)據(jù)安全專項培訓。政務數(shù)據(jù)安全執(zhí)行者責任包含但不限于:根據(jù)政務數(shù)據(jù)安全管理者的要求實施安全措施;為政務數(shù)據(jù)安全管理者授權(quán)的相關方分配數(shù)據(jù)訪問權(quán)限和機制;配合政務數(shù)據(jù)安全管理者處置安全事件;記錄數(shù)據(jù)活動的相關日志;3DB3212/T1118—2022政務數(shù)據(jù)安全審計者責任包含但不限于:定期審計數(shù)據(jù)安全的管理情況;出具數(shù)據(jù)安全審計報告;監(jiān)督和推動各方對審計結(jié)果進行確認、整改、復測、關閉;政務數(shù)據(jù)共享管理者責任包含但不限于:建立數(shù)據(jù)資源共享管理制度,負責數(shù)據(jù)資源目錄的編制、審核和維護;依據(jù)數(shù)據(jù)資源目錄審核歸集的數(shù)據(jù)資源,確保歸集數(shù)據(jù)合規(guī)性、準確性和完整性;牽頭制定數(shù)據(jù)分類分級標準,開展相關工作;牽頭制定數(shù)據(jù)使用的策略和規(guī)則,對數(shù)據(jù)使用者的數(shù)據(jù)共享申請進行審批;對數(shù)據(jù)使用者的分析數(shù)據(jù)結(jié)果輸出進行抽查。政務數(shù)據(jù)提供者政務數(shù)據(jù)提供者責任包括但不限于:向政務數(shù)據(jù)管理組織提供數(shù)據(jù)資源目錄;給出采集和提供數(shù)據(jù)的共享范圍、共享期限、共享用途和數(shù)據(jù)保存期限;對政務數(shù)據(jù)使用者提交的數(shù)據(jù)共享申請,根據(jù)履職需要和最小化原則,進行審批授權(quán);對共享的數(shù)據(jù)設置對應的數(shù)據(jù)分類分級標簽;通過技術(shù)手段確保共享數(shù)據(jù)的完整性和一致性,并按照約定的頻率更新數(shù)據(jù)。政務數(shù)據(jù)使用者政務數(shù)據(jù)使用者責任包括但不限于:不再對脫敏后的個人信息和敏感數(shù)據(jù)進行再識別;根據(jù)共享數(shù)據(jù)的保存期限進行數(shù)據(jù)銷毀工作;根據(jù)獲取到的共享數(shù)據(jù)的安全級別,采取相應等級的安全防護措施進行防護;完整記錄數(shù)據(jù)使用過程中的操作日志;明確數(shù)據(jù)使用的第一責任人。政務數(shù)據(jù)運營者政務數(shù)據(jù)運營者安全責任包括但不限于:4DB3212/T1118—2022根據(jù)政務數(shù)據(jù)管理者制定的安全策略和規(guī)則進行數(shù)據(jù)的訪問授權(quán)管理工作;APIAPIAPIAPIAPIi) 對歸集的數(shù)據(jù)保留原始表,不做任何加工清洗,以滿足溯源、數(shù)據(jù)質(zhì)量核查等需求;ETLETL提供數(shù)據(jù)分析計算服務的應配合政務數(shù)據(jù)管理者或政務數(shù)據(jù)使用者對新生成的數(shù)據(jù)進行識別和設置分類分級標簽。數(shù)據(jù)生命周期安全數(shù)據(jù)歸集數(shù)據(jù)分類分級DB3212/TXXXX—2022應針對具體業(yè)務場景,結(jié)合數(shù)據(jù)敏感度等級,確定場景數(shù)據(jù)使用風險等級。BGB/T22239C應建立數(shù)據(jù)分級分類制度性文件管理措施,包括崗位職責、統(tǒng)一管理、定期更新、變更審核等。應建立人工打標與基于數(shù)據(jù)內(nèi)容規(guī)則自動識別打標相結(jié)合的機制。數(shù)據(jù)采集采集的數(shù)據(jù)應確保來源真實有效、合法正當,同時應明確數(shù)據(jù)共享范圍和用途。采集的數(shù)據(jù)應保留原始表,不做任何加工清洗,以滿足溯源、數(shù)據(jù)質(zhì)量核查等需求。數(shù)據(jù)源鑒別及記錄應采取技術(shù)手段對分發(fā)的數(shù)據(jù)進行溯源,如明文水印、密文水印等。應對關鍵的溯源信息進行備份和安全保護。應采取訪問控制、加密等技術(shù)措施保證溯源信息的完整性和保密性。12數(shù)據(jù)質(zhì)量GB/T36344—2018數(shù)據(jù)提供方有信息系統(tǒng)支撐的數(shù)據(jù)應提供結(jié)構(gòu)化文件,并在匯聚數(shù)據(jù)時同步提供數(shù)據(jù)字典和碼表,確保數(shù)據(jù)的可讀可理解。通過接口方式對接的,數(shù)據(jù)提供方要遵循接口傳輸規(guī)范,具有完整的日志記錄,保證數(shù)據(jù)可用。5DB3212/T1118—2022數(shù)據(jù)管理方歸集的政務數(shù)據(jù)應確保數(shù)據(jù)可讀、可理解、可用。數(shù)據(jù)管理方所歸集的數(shù)據(jù)要保持獨立可用,避免多類業(yè)務數(shù)據(jù)混合提供。數(shù)據(jù)管理方應利用技術(shù)工具對關鍵數(shù)據(jù)進行質(zhì)量管理和監(jiān)控,實現(xiàn)數(shù)據(jù)質(zhì)量異常告警。數(shù)據(jù)傳輸應明確需要進行傳輸加密的業(yè)務場景,支持對個人信息和重要數(shù)據(jù)的加密傳輸,采用的密碼技GM/T0054應提供對傳輸通道兩端進行主體身份鑒別和認證的技術(shù)方案和工具。應提供對傳輸數(shù)據(jù)的完整性進行檢測并執(zhí)行恢復控制的技術(shù)方案和工具。應提供對數(shù)據(jù)傳輸安全策略的變更進行審核和監(jiān)控的技術(shù)方案和工具,對通道安全策略配置、密碼算法配置、密鑰管理等保護措施進行審核及監(jiān)控。數(shù)據(jù)存儲與訪問數(shù)據(jù)存儲應建立各類數(shù)據(jù)存儲系統(tǒng)的安全配置規(guī)則,采取技術(shù)手段和工具支撐數(shù)據(jù)存儲系統(tǒng)的安全管理。應具備多租戶數(shù)據(jù)存儲安全隔離能力。應定期檢查數(shù)據(jù)存儲系統(tǒng)安全配置以符合基線的一致性要求。應定期探查存儲系統(tǒng)的數(shù)據(jù)是否符合相關合規(guī)性的要求。應采用碎片化分布式離散存儲技術(shù)保存數(shù)據(jù)資源,并具有完整性驗證機制。數(shù)據(jù)備份與恢復應建立用于數(shù)據(jù)備份、恢復的統(tǒng)一技術(shù)工具,并將具體的備份的策略固化到工具中,保證相關工作的自動化執(zhí)行。應建立數(shù)據(jù)復制、數(shù)據(jù)備份與恢復的定期檢查和更新工作程序,包括數(shù)據(jù)副本更新頻率、保存期限等,確保數(shù)據(jù)副本或備份數(shù)據(jù)的有效性。過期存儲數(shù)據(jù)及其備份數(shù)據(jù)應采用徹底刪除或匿名化的方法進行處理。數(shù)據(jù)訪問控制應建立數(shù)據(jù)資源安全訪問策略,由授權(quán)主體進行訪問策略配置,授予數(shù)據(jù)使用者為完成各自應采用基于用戶組或角色的方法,保障數(shù)據(jù)使用者訪問數(shù)據(jù)資源時權(quán)限明確。應建立用戶口令長度、口令生存周期、口令復雜度等管理策略,保證基于口令的身份鑒別安全性。2應定期審核數(shù)據(jù)訪問權(quán)限,及時刪除或停用多余的、過期的賬戶和角色,避免共享賬戶和角色權(quán)限沖突的存在。應采用必要的措施使數(shù)據(jù)使用者的訪問和修改等行為具有不可抵賴性。數(shù)據(jù)處理數(shù)據(jù)脫敏應建立數(shù)據(jù)脫敏規(guī)范,明確需要脫敏處理的應用場景和處理方法。6DB3212/T1118—2022需保持數(shù)據(jù)集業(yè)務屬性的場景,應采用重排、均化、排序映射、規(guī)整、偏移取值、截斷、掩碼屏蔽等方式脫敏。需保持數(shù)據(jù)業(yè)務屬性的場景,應采用加密、替換、固定偏移、局部混淆、亂序、隨機化、變換等方式脫敏。敏感度較高的數(shù)據(jù),應采用加密、有損、散列、刪除等方式脫敏。應提供數(shù)據(jù)脫敏處理過程日志記錄,滿足數(shù)據(jù)脫敏處理安全審計要求。數(shù)據(jù)使用應制定整體的數(shù)據(jù)權(quán)限管理制度,規(guī)定了各參與方身份及訪問權(quán)限的授予、變更、撤銷等流程,以及數(shù)據(jù)全生命周期的管理要求和責任制。應定義并執(zhí)行了統(tǒng)一的身份及訪問管理流程,各系統(tǒng)均遵循規(guī)范的身份及訪問管理流程對用戶訪問數(shù)據(jù)資源進行管理,并定期審核當前的數(shù)據(jù)資源訪問權(quán)限是否符合身份及訪問管理的規(guī)范要求,身份及訪問管理應遵循最少夠用和職責分離的原則。應建立數(shù)據(jù)使用正當性的監(jiān)督審核機制,保證在數(shù)據(jù)使用聲明的目的和范圍內(nèi)對受保護的個人信息、重要數(shù)據(jù)等數(shù)據(jù)進行使用和分析處理。應建立統(tǒng)一的身份認證平臺,對各系統(tǒng)的用戶和數(shù)據(jù)資源進行權(quán)限管理,遵循做小夠用的原則,并依據(jù)數(shù)據(jù)使用目的建立相應強度或粒度的訪問控制機制。數(shù)據(jù)處理環(huán)境數(shù)據(jù)處理系統(tǒng)或平臺應與身份認證平臺實現(xiàn)聯(lián)動,用戶在使用數(shù)據(jù)處理系統(tǒng)或平臺前已獲得了授權(quán)應保證對不同數(shù)據(jù)使用者在數(shù)據(jù)處理平臺中的數(shù)據(jù)、系統(tǒng)功能、會話、調(diào)度和運營環(huán)境等資源實現(xiàn)隔離控制。應建立數(shù)據(jù)處理日志管理工具,記錄用戶在數(shù)據(jù)處理平臺上的加工操作,以備后期追溯。應對用戶在數(shù)據(jù)處理平臺上對數(shù)據(jù)的操作開展定期審計,確定用戶對數(shù)據(jù)的加工未超出前期申請數(shù)據(jù)時的目的。數(shù)據(jù)共享開放安全數(shù)據(jù)導入導出任何數(shù)據(jù)都不應導入導出。數(shù)據(jù)開放政務數(shù)據(jù)開放應實行分級管理,按照開放屬性分為無條件開放和依申請開放,依申請開放類數(shù)據(jù)應明確管理流程,需記錄申請、審批和簽發(fā)管理的過程。依申請開放類數(shù)據(jù),宜將數(shù)據(jù)服務封裝成接口,供審批通過的數(shù)據(jù)申請方調(diào)用,應記錄調(diào)用事件和事件日志并監(jiān)控流量,定期開展安全審計。數(shù)據(jù)開放接口應采用防重放、防篡改等技術(shù),保障數(shù)據(jù)的保密性和完整性。數(shù)據(jù)共享應建立數(shù)據(jù)獲取和使用安全規(guī)范,明確數(shù)據(jù)使用者的數(shù)據(jù)獲取方式、服務接口、授權(quán)機制和數(shù)據(jù)使用的權(quán)限范圍等。應建立規(guī)范的數(shù)據(jù)共享審核流程,確保沒有超出數(shù)據(jù)提供者所允許的數(shù)據(jù)授權(quán)使用范圍。數(shù)據(jù)使用者應采用數(shù)據(jù)服務接口方式獲取共享數(shù)據(jù)資源。應建立數(shù)據(jù)服務接口調(diào)用的安全規(guī)范,包括接口名稱、接口參數(shù)、接口安全要求等。應制定數(shù)據(jù)服務接口安全控制策略,提供對數(shù)據(jù)服務接口的安全限制和安全控制措施,如身7DB3212/T1118—2022應統(tǒng)一收集數(shù)據(jù)服務接口調(diào)用的相關記錄日志,并建立相應針對數(shù)據(jù)接口調(diào)用的審計工具,對數(shù)據(jù)接口調(diào)用情況進行定期審計。數(shù)據(jù)銷毀數(shù)據(jù)銷毀處置應建立數(shù)據(jù)銷毀的審批和記錄流程,并設置數(shù)據(jù)銷毀監(jiān)督角色,監(jiān)督數(shù)據(jù)銷毀操作過程。存儲媒體銷毀應依據(jù)存儲媒體存儲內(nèi)容的重要性,明確不同類型存儲媒體的銷毀方法。應對存儲媒體銷毀的登記、審批、交接等過程進行監(jiān)控。存儲媒體如不需繼續(xù)使用,應采取不可恢復的方式對存儲媒體進行銷毀,包括但不限于消磁銷毀、焚燒、粉碎等。存儲媒體如需繼續(xù)使用,應通過多次復寫等方式安全的擦除數(shù)據(jù),保證數(shù)據(jù)擦除所填充的字符完全覆蓋存儲數(shù)據(jù)區(qū)域。8DB3212/T1118—2022附 錄 A(規(guī)范性)政務數(shù)據(jù)共享的平臺基礎設施政務數(shù)據(jù)開放共享系統(tǒng)參考架構(gòu)A.1網(wǎng)絡設施∶為政務數(shù)據(jù)開放共享提供統(tǒng)一、通達的網(wǎng)絡基礎設施支撐;數(shù)據(jù)資源∶為政務數(shù)據(jù)開放共享提供數(shù)據(jù)資源,包括政務信息資源目錄和政務數(shù)據(jù)內(nèi)容;安全保障∶提供政務數(shù)據(jù)采集、傳輸、處理、存儲、使用等環(huán)節(jié)的安全保護;管理評價∶提供整個開放共享的服務流程管理和考核評價。標準規(guī)范:為政務數(shù)據(jù)開放共享提供統(tǒng)一的標準、接口、流程。圖A.1 政務數(shù)據(jù)開放共享系統(tǒng)參考架構(gòu)網(wǎng)絡設施要求網(wǎng)絡設施的基本要求如下:(內(nèi)網(wǎng)(外網(wǎng)政務數(shù)據(jù)共享交換系統(tǒng)應基于電子政務外網(wǎng)建設政務信息共享網(wǎng)站。公共數(shù)據(jù)開放應通過互聯(lián)網(wǎng)開展。數(shù)據(jù)資源要求政務信息資源目錄要求政務信息資源目錄要求如下:政務信息資源目錄是開展各政務部門之間數(shù)據(jù)共享交換及向社會開放公共數(shù)據(jù)的依據(jù)和導引。9DB3212/T1118—2022 政務信息資源目錄按涉密屬性應分為涉密政務信息資源目錄和非涉密政務信息資源目錄;政務信息資源目錄按共享屬性應分為無條件共享、有條件共享、不予共享三種類型;政務信息資源目錄按層級屬性應分為部門政務信息資源目錄、國家政務信息資源目錄。政務信息資源目錄元數(shù)據(jù)應包括核心元數(shù)據(jù)和擴展元數(shù)據(jù)。政務數(shù)據(jù)內(nèi)容要求數(shù)據(jù)格式要求數(shù)據(jù)格式要求如下:政務數(shù)據(jù)提供者應提供可機讀的電子格式及相關軟件版本信息;數(shù)據(jù)庫類格式需明確具體的數(shù)據(jù)庫表結(jié)構(gòu)定義;特殊行業(yè)領域數(shù)據(jù)應由數(shù)據(jù)提供方提出其特殊行業(yè)領域的通用格式;數(shù)據(jù)質(zhì)量要求數(shù)據(jù)質(zhì)量責任要求數(shù)據(jù)質(zhì)量責任要求如下:政務數(shù)據(jù)提供者應對提供的數(shù)據(jù)質(zhì)量負責;原始數(shù)據(jù)提供者應對原始數(shù)據(jù)質(zhì)量負責;數(shù)據(jù)加工者應對加工后的數(shù)據(jù)質(zhì)量負責。數(shù)據(jù)質(zhì)量要求通過政務數(shù)據(jù)共享交換平臺和開放平臺提供的數(shù)據(jù)質(zhì)量要求如下:一致性:不同數(shù)據(jù)集中描述同一對象的同一度量值在信息含義上不可沖突;GB/T36073的規(guī)定。數(shù)據(jù)更新與完善要求政務數(shù)據(jù)更新與完善要求如下:應根據(jù)情況變化對政務信息資源目錄進行更新維護;應建立政務信息資源更新機制,進行動態(tài)管理;政務數(shù)據(jù)提供者應確保提供的數(shù)據(jù)信息完善,確保數(shù)據(jù)得到及時、持續(xù)更新;10DB3212/T1118—2022開放共享的信息內(nèi)容發(fā)生變化時,政務數(shù)據(jù)提供者應當及時報告本級政務信息資源主管部門,更新相應政務信息資源目錄和內(nèi)容,并通知該政務數(shù)據(jù)使用者;政務數(shù)據(jù)使用者應當及時比對和更新所獲取的政務信息資源,確保數(shù)據(jù)一致性。平臺設施要求政務數(shù)據(jù)共享交換平臺要求政務數(shù)據(jù)共享交換平臺要求如下:公共數(shù)據(jù)開放平臺要求公共數(shù)據(jù)開放平臺要求如下:開放平臺應包括數(shù)據(jù)開放服務網(wǎng)站和數(shù)據(jù)管理平臺;開放平臺應實現(xiàn)數(shù)據(jù)開放服務、數(shù)據(jù)開放管理、安全脫敏、流向追蹤等功能;安全保障要求政務數(shù)據(jù)安全保障的基本要求如下:GB/T31722GB/T22239、GB/T25058GB/T352737應按照信息安全策略建立、運行和維護相應的信息安全體系;GB/T18336的規(guī)定。管理評價要求管理評價要求如下∶應由政務數(shù)據(jù)使用者根據(jù)需要提出開放共享服務需求;政務數(shù)據(jù)提供者應及時響應開放共享服務需求;應建立政務數(shù)據(jù)共享工作評價機制;應建立數(shù)據(jù)開放程度評價的評價原則、評價指標體系和評價方法。標準規(guī)范要求標準規(guī)范要求如下:應由政務數(shù)據(jù)管理者統(tǒng)籌制定標準規(guī)范;11DB3212/T1118—2022政務數(shù)據(jù)標準規(guī)范應與國家、行業(yè)標準以及相關法律法規(guī)相銜接;應建立政務數(shù)據(jù)標準規(guī)范使用評價機制;應根據(jù)政務數(shù)據(jù)標準規(guī)范使用評價及時制修訂相關標準規(guī)范。12DB3212/T1118—2022附 錄 B(規(guī)范性)B.1不同級別的政務數(shù)據(jù),其對業(yè)務信息的安全性要求和系統(tǒng)服務的連續(xù)性要求是有差異的,即使相表B.1安全保護等級判定等級判定標識判定標準L4涉密數(shù)據(jù)社會秩序和公共利益造成嚴重損害,或?qū)野踩斐蓳p害。L3敏感數(shù)據(jù)L2受限數(shù)據(jù)家安全、社會秩序和公共利益。L1公開數(shù)據(jù)它組織的合法權(quán)益均無影響。13DB3212/T1118—2022附 錄 C(規(guī)范性)安全保護等級措施建立統(tǒng)一的支撐平臺,使用密碼技術(shù)、可信技術(shù)等,多數(shù)安全功能(如身份鑒別、訪問控制、第一級可參考安全控制措施安全通信網(wǎng)絡應保證政務大數(shù)據(jù)平臺不承載高于其安全保護等級的大數(shù)據(jù)應用。安全計算環(huán)境安全建設管理大數(shù)據(jù)平臺服務應為其所承載的大數(shù)據(jù)應用提供相應等級的安全保護能力。第二級可參考安全控制措施安全通信網(wǎng)絡應保證大數(shù)據(jù)平臺不承載高于其安全保護等級的大數(shù)據(jù)應用。安全計算環(huán)境本方面控制措施包括∶14DB3212/T1118—2022大數(shù)據(jù)平臺應能對不同客戶的大數(shù)據(jù)應用實施標識和鑒別;大數(shù)據(jù)平臺應為大數(shù)據(jù)航用提供管控其計算和存儲資源使用狀況的能力;大數(shù)據(jù)平臺應對其提供的輔助工具或服務組件,實施有效管理大數(shù)據(jù)平臺應屏蔽計算、內(nèi)存、存儲資源故障,保障業(yè)務正常運行;大數(shù)據(jù)平臺應提供靜態(tài)脫敏和去標識化的工具或服務組件技術(shù);安全建設管理本方面控制措施包括∶大數(shù)據(jù)平臺服務應為其所承載的大數(shù)據(jù)應用提供相應等級的安全保護能力;安全運維管理第三級可參考安全控制措施安全通信網(wǎng)絡本方面控制措施

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論