《政務(wù)數(shù)據(jù)安全合規(guī)性評估指南》（征求意見稿）

41I II 1 1 1 2 2 2 26.2重要數(shù)據(jù)安全合規(guī)性評估 26.3核心數(shù)據(jù)安全合規(guī)性評估 2 3 3 5 6 6 6 7 8 9 11本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化本文件起草單位：河南省政務(wù)大數(shù)據(jù)中心、河南省標(biāo)準(zhǔn)化和質(zhì)量研究院1本文件給出了政務(wù)數(shù)據(jù)開展安全合規(guī)性評估的合理性建議，明確了基礎(chǔ)本文件適用于對組織開展政務(wù)數(shù)據(jù)安全合規(guī)性進(jìn)行評估，也可作為組織下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包GB/T38664.1-2020信息技術(shù)大數(shù)據(jù)政務(wù)數(shù)據(jù)開放共享GB/T43697-2024數(shù)據(jù)安全技術(shù)數(shù)據(jù)各級政務(wù)部門及其技術(shù)支撐單位在履行職責(zé)過程中依法采集、生成注：核心數(shù)據(jù)主要包括關(guān)系國家安全重點(diǎn)領(lǐng)域的數(shù)據(jù)，關(guān)系國民經(jīng)濟(jì)命脈、重要民生、2b)可再現(xiàn)性原則：對同一評估對象，不同的評估人員依照同樣的評估要求，使用同樣的評估方d)最小影響原則：評估工作對評估對象的應(yīng)用系統(tǒng)、網(wǎng)絡(luò)正常運(yùn)行的可能影與劃分，包括不限于保密協(xié)議簽署等，對評估過程中獲取——各級政務(wù)部門依法采集、生成、存儲、管理的一般數(shù)據(jù)資源；a)每年至少開展二次一般數(shù)據(jù)安全合規(guī)性評估，評估方式應(yīng)包括自評估、外部第三3a)每季度至少開展一次一般數(shù)據(jù)安全合規(guī)性評估，評估方式應(yīng)包括自評估、外部第理工作，包括但不限于制定數(shù)據(jù)安全管理制度規(guī)范，協(xié)調(diào)強(qiáng)化數(shù)b)應(yīng)明確政務(wù)數(shù)據(jù)安全管理責(zé)任部門與其他執(zhí)行部門的責(zé)任分工，建立數(shù)據(jù)安全管理制度執(zhí)行c)數(shù)據(jù)安全管理責(zé)任部門應(yīng)配備數(shù)據(jù)安全管理責(zé)任人員，相關(guān)工作執(zhí)行部門a)應(yīng)形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的安全管理c)應(yīng)建立政務(wù)部門數(shù)據(jù)分類分級管理、數(shù)據(jù)安全合規(guī)性評估、數(shù)據(jù)訪問權(quán)限e)應(yīng)綜合考慮數(shù)據(jù)的類別屬性、使用目的等，明確數(shù)據(jù)分類策略。在數(shù)據(jù)一類數(shù)據(jù)，結(jié)合數(shù)據(jù)的重要及敏感程度以及一旦泄露、丟失、破壞4評估報(bào)告。評估內(nèi)容包括但不限于數(shù)據(jù)安全制度建設(shè)情況、數(shù)據(jù)分類分件應(yīng)急響應(yīng)水平，以及重要數(shù)據(jù)與系統(tǒng)數(shù)據(jù)合規(guī)處理情況、數(shù)據(jù)安全保b)按年度開展重要數(shù)據(jù)的安全合規(guī)性評估并形成評估報(bào)告。重點(diǎn)評估業(yè)務(wù)數(shù)據(jù)處理活動中相關(guān)制度規(guī)范執(zhí)行落實(shí)情況、數(shù)據(jù)安全保護(hù)措施配備情況等，實(shí)現(xiàn)對新c)按季度開展核心數(shù)據(jù)處理活動平臺系統(tǒng)數(shù)據(jù)安全合規(guī)性評估并形成評估報(bào)部門內(nèi)部管理措施執(zhí)行落實(shí)情況、平臺建設(shè)運(yùn)維部門及合作方d)評估報(bào)告中應(yīng)包括評估對象基本情況、評估流程、評估要點(diǎn)對標(biāo)情況、保a)應(yīng)明確政務(wù)部門數(shù)據(jù)處理活動平臺系統(tǒng)的用戶賬號分配、開通、使用、變更、注障要求，及賬號操作審批要求和操作流程，形成并定期更新平b)應(yīng)按照業(yè)務(wù)需求、安全策略及最小授權(quán)原則等，合理配置系統(tǒng)訪問權(quán)限，避免非授權(quán)用戶或c)應(yīng)對數(shù)據(jù)安全管理、數(shù)據(jù)使用、安全審計(jì)等人員角色進(jìn)行分離設(shè)置。涉及限處理數(shù)據(jù)的，由數(shù)據(jù)安全管理責(zé)任部門進(jìn)行審批并記錄；涉及數(shù)據(jù)量復(fù)制、傳輸、處理、開放共享和銷毀等采取多人審批授權(quán)或操作d)應(yīng)對數(shù)據(jù)授權(quán)訪問、批量復(fù)制、開放共享、銷毀、數(shù)據(jù)接口調(diào)用等重點(diǎn)環(huán)能夠?qū)ψR別和追溯數(shù)據(jù)操作和訪問行為提供支撐。定期對日志進(jìn)e)應(yīng)加強(qiáng)政務(wù)部門數(shù)據(jù)安全審計(jì)管理，明確審計(jì)對象、審計(jì)內(nèi)容、實(shí)施周改進(jìn)跟蹤等要求。政務(wù)部門數(shù)據(jù)安全管理責(zé)任部門或b)應(yīng)參照《公共互聯(lián)網(wǎng)網(wǎng)絡(luò)安全突發(fā)事件應(yīng)急預(yù)案》及數(shù)據(jù)安全事件對政務(wù)部門和個人信息主5c)結(jié)合事件場景和應(yīng)急預(yù)案開展演練，至少每年開展一次演練，核心數(shù)據(jù)至d)應(yīng)對發(fā)生數(shù)據(jù)安全事件時及時采取補(bǔ)救措施，并向上級主管部門報(bào)告。發(fā)信息泄露、毀損和丟失時，采取合理、有效方式告知用戶。及時總結(jié)析原因、查找問題，調(diào)整政務(wù)部門數(shù)據(jù)安全策略，形成事件調(diào)查記錄b)培訓(xùn)可采取線下集中授課或線上培訓(xùn)等a)應(yīng)明確政務(wù)部門數(shù)據(jù)存儲媒體需要訪問和使用的場景，建立數(shù)據(jù)訪問控制機(jī)制，b)應(yīng)加強(qiáng)對數(shù)據(jù)存儲平臺系統(tǒng)接入移動存儲介質(zhì)的管控，對將數(shù)據(jù)下載到本地終端的行為進(jìn)行6a)應(yīng)區(qū)分不同目的下數(shù)據(jù)使用審批流程，對敏感數(shù)據(jù)進(jìn)行脫敏處理，保證數(shù)據(jù)可用b)與數(shù)據(jù)開放共享接口調(diào)用方簽署協(xié)議，在協(xié)議中明確數(shù)據(jù)的使用目的、供應(yīng)方式、保密約定c)對外部組織進(jìn)行數(shù)據(jù)發(fā)布的過程中，通過對發(fā)布數(shù)據(jù)的格式、適用范圍、a)明確銷毀與刪除的對象、原因（如數(shù)據(jù)業(yè)務(wù)下線、數(shù)據(jù)試用結(jié)束、超出數(shù)據(jù)保存b)建立數(shù)據(jù)銷毀審批機(jī)制，設(shè)置銷毀相關(guān)監(jiān)督角色，監(jiān)督操作過程，數(shù)據(jù)批量銷毀采用多人操——應(yīng)圍繞機(jī)構(gòu)人員、制度保障、合規(guī)評估、權(quán)限管理、安全審計(jì)、應(yīng)急響應(yīng)、教育培訓(xùn)等六個——應(yīng)圍繞數(shù)據(jù)采集、傳輸、存儲、使用、交換共享、銷毀等六個環(huán)節(jié)開展評估，數(shù)據(jù)生命周期根據(jù)評估目標(biāo)組建評估團(tuán)隊(duì)，評估團(tuán)隊(duì)?wèi)?yīng)由政務(wù)部門數(shù)據(jù)安全負(fù)責(zé)人、數(shù)據(jù)a)評估團(tuán)隊(duì)負(fù)責(zé)人由政務(wù)部門分管數(shù)據(jù)安全的最高負(fù)責(zé)人擔(dān)任，負(fù)責(zé)對本次評估工7b)由評估負(fù)責(zé)人指定政務(wù)部門本次評估工作的牽頭部門，并作為主要參與方承擔(dān)本次評估工作d)各參與方主要負(fù)責(zé)人應(yīng)為評估團(tuán)隊(duì)成員。由牽頭部門指定并報(bào)最高負(fù)責(zé)人a)一般數(shù)據(jù)安全合規(guī)性評估范圍：以本政務(wù)部門為評估對象，評估整體政務(wù)數(shù)據(jù)安b)重要數(shù)據(jù)安全合規(guī)性評估范圍：以業(yè)務(wù)為評估對象，包括面向用戶提供的各種前端應(yīng)用（如APP、WEB、PC客戶端、小程序、公眾號據(jù)如部署在云資源上，底層云資源管理系統(tǒng)不在安全評估范圍，系統(tǒng)間接口為評估c)核心數(shù)據(jù)安全合規(guī)性評估范圍：包括承載個人信息和未成年人信息的相關(guān)務(wù)的支撐系統(tǒng)的系統(tǒng)前端、后端平臺。核心數(shù)據(jù)如部署在云資源上評估團(tuán)隊(duì)?wèi)?yīng)對政務(wù)部門的數(shù)據(jù)安全相關(guān)工作進(jìn)行充分調(diào)研，調(diào)研內(nèi)容包括本根據(jù)本次評估目標(biāo)和范圍等情況，編制并確定本次安全合規(guī)性評估工作方a)評估人員：明確評估人員角色、數(shù)量、工作安排等要求，以及各角色的職責(zé)、能c)結(jié)果預(yù)期：根據(jù)本次評估目標(biāo)、范圍以及業(yè)務(wù)特點(diǎn)等實(shí)際情況，明確本次d)方法、技術(shù)和工具：根據(jù)評估要點(diǎn)，確定主要評估方法、技術(shù)以及工具，e)涉及到的配合人員：根據(jù)評估要點(diǎn)，識別相關(guān)參與方及外部合作方，并f)時間計(jì)劃：根據(jù)評估目標(biāo)及評估要點(diǎn)，拆分評估任務(wù)，明確各項(xiàng)評估任務(wù)的評估組織實(shí)施階段，采用包括文檔查驗(yàn)、人員訪談、系統(tǒng)演示、測評驗(yàn)證等合規(guī)項(xiàng)逐項(xiàng)提出針對性整改建議。實(shí)施團(tuán)隊(duì)在評估實(shí)施過程中，應(yīng)當(dāng)對評估8a)文檔查驗(yàn)：政務(wù)部門提供政務(wù)數(shù)據(jù)安全相關(guān)文檔資料，安全評估人員查驗(yàn)相關(guān)文估數(shù)據(jù)安全管理相關(guān)制度文件是否符合標(biāo)準(zhǔn)要求。通常在評估準(zhǔn)備階b)人員訪談：安全評估人員與政務(wù)部門相關(guān)人員開展交流、討論、詢問等活動，評估數(shù)據(jù)安全保障措施是否有效。通常在評估過程中實(shí)地調(diào)研時使用，政務(wù)部門需要c)系統(tǒng)演示：政務(wù)部門相關(guān)人員演示，評估人員查看承載數(shù)據(jù)的應(yīng)用、系統(tǒng)采集界面、數(shù)據(jù)展示界面、數(shù)據(jù)存儲界面、數(shù)據(jù)操作日志記錄等信息。地調(diào)研時使用，為保證核心數(shù)據(jù)在網(wǎng)運(yùn)行穩(wěn)定性，如不方便進(jìn)行現(xiàn)網(wǎng)操結(jié)果。通常在評估人員針對數(shù)據(jù)全生命周期涉及的相關(guān)技評估團(tuán)隊(duì)在完成評估準(zhǔn)備階段后，對評估對象進(jìn)行初步評估。評估團(tuán)隊(duì)?wèi)?yīng)根評估團(tuán)隊(duì)在評估對象完成整改或達(dá)到整改期限后，對評估對象的整改復(fù)核評初步評估結(jié)果及整改建議，檢查評估對象整改措施有效性、合規(guī)性，確定評估對根據(jù)評估結(jié)果，評估團(tuán)隊(duì)對政務(wù)部門的數(shù)據(jù)安全現(xiàn)狀、數(shù)據(jù)安全問題嚴(yán)重進(jìn)行分析，并提出改進(jìn)建議。評估牽頭部門針對安全評估結(jié)果、安全分析及安全建評估實(shí)施團(tuán)隊(duì)?wèi)?yīng)根據(jù)評估結(jié)果及安全