DB6101T3189-2024檢驗檢測數(shù)據(jù)管理規(guī)范 數(shù)據(jù)安全

ICS35.020CCSL70

6101西 安 市 地 方 標 準DB6101/T3189—2024檢驗檢測數(shù)據(jù)管理規(guī)范數(shù)據(jù)安全20242024060420240704西安市市場監(jiān)督管理局??發(fā)布DB6101/T3189DB6101/T3189—2024DB6101/T3189DB6101/T3189—2024目 次前言 II范圍 1規(guī)范性引用文件 1術語和定義 1總則 1基本要求 2數(shù)據(jù)安全管理 2數(shù)據(jù)收集 2數(shù)據(jù)存儲 2數(shù)據(jù)使用 2數(shù)據(jù)加工 2數(shù)據(jù)傳輸 2數(shù)據(jù)提供 3數(shù)據(jù)公開 3數(shù)據(jù)刪除 3證實方法 3驗證內(nèi)容 3驗證方法 3參考文獻 4I前 言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由西安市市場監(jiān)督管理局提出并歸口。本文件主要起草人：曹原、王暉、祁喆、胡亞芹、曹珺溥、暢亞文、張源、劉欣、劉娟、范文麗、田鵬輝、劉雯、王磊、馬良。本文件由瑞特認證檢測集團有限公司負責解釋。本文件首次發(fā)布。本文件在實施過程中如有疑問或建議，請將咨詢或修改建議等信息反饋至下列單位：單位：瑞特認證檢測集團有限公司電話編：710523II電話編：710523II檢驗檢測數(shù)據(jù)管理規(guī)范數(shù)據(jù)安全范圍本文件規(guī)定了檢驗檢測數(shù)據(jù)管理總則、基本要求、數(shù)據(jù)安全管理和證實方法的要求。本文件適用于西安市檢驗檢測數(shù)據(jù)管理的數(shù)據(jù)安全要求。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T11457信息技術軟件工程術語GB/T37973信息安全技術大數(shù)據(jù)安全管理指南GB/T37988信息安全技術數(shù)據(jù)安全能力成熟度模型術語和定義GB/T11457、GB/T37973、GB/T37988界定的術語和定義適用于本文件。數(shù)據(jù)安全數(shù)據(jù)安全通過管理和技術措施,確保數(shù)據(jù)有效保護和合規(guī)使用的狀態(tài)。[來源：GB/T37988—2019，3.1]大數(shù)據(jù)[來源：GB/T37973—2019，3.1]數(shù)據(jù)脫敏通過一系列數(shù)據(jù)處理方法對原始數(shù)據(jù)進行處理以屏蔽敏感數(shù)據(jù)的一種數(shù)據(jù)保護方法。[來源：GB/T37988—2019，3.12]完整性系統(tǒng)或部件防止未授權(quán)訪問或修改計算機程序或數(shù)據(jù)的程度。[來源：GB/T11457—2006，2.789]4總則信息、見證取樣信息、抽樣信息、受理信息、檢驗信息和報告信息。1基本要求組織應明確檢驗檢測數(shù)據(jù)安全策略，制定方針、目標和原則，形成文件。數(shù)據(jù)安全應覆蓋數(shù)據(jù)生命周期相關的業(yè)務、系統(tǒng)和應用，并明確與之相關的崗位、人員和職責。應建立數(shù)據(jù)安全風險評估體制機制，有效實施，并持續(xù)改進其有效性和效率。應建立數(shù)據(jù)安全應急響應體系，包括應急預案、應急演練、監(jiān)測與預警、應急處置流程、保障措施等內(nèi)容。數(shù)據(jù)安全管理數(shù)據(jù)收集應采取必要的技術手段對數(shù)據(jù)收集過程進行監(jiān)視，規(guī)范數(shù)據(jù)獲取渠道及其獲取數(shù)據(jù)格式、獲取流程和獲取方式，并定期評估數(shù)據(jù)獲取操作規(guī)程的合規(guī)性。應在數(shù)據(jù)獲取、清洗、標識、加載過程中，采用必要的安全措施。數(shù)據(jù)存儲應建立數(shù)據(jù)存儲安全管理操作規(guī)程，按照檢驗檢測數(shù)據(jù)類型確定數(shù)據(jù)存儲期限進行留存，對數(shù)據(jù)存儲的環(huán)境、設施和技術工具進行評估。應采取必要的技術措施滿足不同層次數(shù)據(jù)加密存儲能力。應在數(shù)據(jù)副本、備份、歸檔、留存、密鑰管理過程中，采用必要的安全措施。數(shù)據(jù)使用應明確數(shù)據(jù)使用制度，對數(shù)據(jù)使用全過程進行有效監(jiān)控，使用數(shù)據(jù)前進行安全評估，符合要求后方可使用，數(shù)據(jù)使用后應進行有效跟蹤并評估其安全影響。應綜合業(yè)務需要采用訪問控制機制。應在展示敏感信息時，采用必要的數(shù)據(jù)脫敏等技術。數(shù)據(jù)加工應建立數(shù)據(jù)加工安全操作規(guī)程，根據(jù)檢驗檢測數(shù)據(jù)相關適用標準的要求以及業(yè)務需求，對敏感檢驗檢測數(shù)據(jù)進行脫敏處理，保證數(shù)據(jù)可用性和安全性。應對檢驗檢測數(shù)據(jù)脫敏處理過程的操作記錄進行保存，以滿足數(shù)據(jù)脫敏處理安全審計要求。數(shù)據(jù)傳輸應建立數(shù)據(jù)傳輸安全操作規(guī)程，通過部署安全通道、數(shù)據(jù)加密等措施保證大數(shù)據(jù)系統(tǒng)中數(shù)據(jù)傳輸?shù)谋Ｃ苄裕瑢?shù)據(jù)傳輸?shù)沫h(huán)境、設施和技術工具進行評估。應采用斷點續(xù)傳、超時重新連接等技術機制，保障數(shù)據(jù)傳輸任務的可靠性，并具備對傳輸數(shù)據(jù)的完整性進行驗證的能力。2數(shù)據(jù)提供應建立數(shù)據(jù)提供安全操作規(guī)范、規(guī)程，明確數(shù)據(jù)提供活動涉及的職能部門和崗位相關的用戶職責和權(quán)限，保證數(shù)據(jù)提供安全策略的有效性。應對數(shù)據(jù)提供活動進行監(jiān)控，并采用數(shù)據(jù)加密、安全通道等管控措施提供數(shù)據(jù)，定期評估數(shù)據(jù)提供通道的安全性。應制定數(shù)據(jù)提供活動安全審計策略和審計日志管理操作規(guī)范，記錄數(shù)據(jù)提供活動日志。數(shù)據(jù)公開應建立數(shù)據(jù)主動公開發(fā)布管理制度和操作規(guī)范，明確發(fā)布數(shù)據(jù)使用者的權(quán)利和義務。應提供數(shù)據(jù)發(fā)布清單，包括發(fā)布數(shù)據(jù)摘要、數(shù)據(jù)格式、更新頻率等內(nèi)容,以及使用條件等。應定期審核發(fā)布數(shù)據(jù)資源的使用報告。數(shù)據(jù)刪除應建立組織的數(shù)據(jù)刪除流程，明確刪除安全要求，對刪除數(shù)據(jù)進行審批、記錄，確保所有過程可控、可溯源、可審計。應建立不可逆數(shù)據(jù)刪除機制，配置必要的數(shù)據(jù)刪除工具，能根據(jù)業(yè)務場景需求以不可逆方式刪除相關的數(shù)據(jù)及其衍生的各種副本數(shù)據(jù)。應建立數(shù)據(jù)刪除效果評估和復核機制，定期檢查已被刪除的數(shù)據(jù)是否還能訪問。證實方法驗證內(nèi)容驗證內(nèi)容數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除各階段的要求。驗證方法應對數(shù)據(jù)處理活動及其數(shù)據(jù)操作服務的安全進行監(jiān)測，對數(shù)據(jù)處理活動及其數(shù)據(jù)操作服務的訪問進行監(jiān)控。應定期對檢驗檢測系統(tǒng)的安全控制措施進行檢查，使所采取的安全措施覆蓋數(shù)據(jù)生命周期各個階段。應定期安排或在爆發(fā)網(wǎng)絡攻擊、重大安全漏洞時，及時開展專項安全檢查。3參考文獻GB/T22239—2019信息安全技術網(wǎng)絡安全等級保護基本要求GB/T2224