《DB3310T90-2022公共數(shù)據(jù)安全可信保障指南》_第1頁
《DB3310T90-2022公共數(shù)據(jù)安全可信保障指南》_第2頁
《DB3310T90-2022公共數(shù)據(jù)安全可信保障指南》_第3頁
《DB3310T90-2022公共數(shù)據(jù)安全可信保障指南》_第4頁
《DB3310T90-2022公共數(shù)據(jù)安全可信保障指南》_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認(rèn)領(lǐng)

文檔簡介

ICS35.240.01

CCSL67

3310

浙江省臺州市地方標(biāo)準(zhǔn)

DB3310/T90—2022

公共數(shù)據(jù)安全可信保障指南

Guidanceforsupportingpublicdatasecurityandtrustworthiness

2022-12-12發(fā)布2022-12-16實施

臺州市市場監(jiān)督管理局發(fā)布

DB3310/T90—2022

目??次

前??言.............................................................................................................................................................II

1范圍.................................................................................................................................................................1

2規(guī)范性引用文件.............................................................................................................................................1

3術(shù)語和定義.....................................................................................................................................................1

4基本原則.........................................................................................................................................................1

5制度保障.........................................................................................................................................................2

6技術(shù)保障.........................................................................................................................................................3

7運行保障.........................................................................................................................................................4

I

DB3310/T90—2022

前??言

本文件按照?GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分:標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定

起草。

請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。

本文件由臺州市大數(shù)據(jù)發(fā)展管理局提出、歸口并組織實施。

本文件起草單位:臺州市大數(shù)據(jù)發(fā)展管理局、中國人民大學(xué)。

本文件主要起草人:張曉瑋、林賢杰、陳友增、林國、安小米、李真、居林歡、陳余超、王帥涵、

劉桓鑫、白文琳、王麗麗、許濟滄、黃婕、鄺苗苗、齊宇、沈榮。

II

DB3310/T90—2022

公共數(shù)據(jù)安全可信保障指南

1范圍

本文件描述了公共數(shù)據(jù)安全可信保障的基本原則、制度保障、技術(shù)保障和運行保障等內(nèi)容。

本文件適用于公共數(shù)據(jù)主管部門、公共管理和服務(wù)機構(gòu)的公共數(shù)據(jù)安全可信保障活動。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件,

僅該日期對應(yīng)的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本

文件。

DB33/T2351—2021數(shù)字化改革公共數(shù)據(jù)分類分級指南

DB33/T2359—2021公共數(shù)據(jù)交換技術(shù)規(guī)范

DB3310/T91—2022公共數(shù)據(jù)歸集指南

DB3310/T93—2022公共數(shù)據(jù)授權(quán)運營指南

3術(shù)語和定義

下列術(shù)語和定義適用于本文件。

3.1

公共數(shù)據(jù)publicdata

國家機關(guān)、法律法規(guī)規(guī)章授權(quán)的具有管理公共事務(wù)職能的組織,在依法履行職責(zé)和提供公共服務(wù)過

程中獲取的數(shù)據(jù)資源以及法律法規(guī)規(guī)章規(guī)定納入公共數(shù)據(jù)管理范圍的其他數(shù)據(jù)資源。

[來源:DB33/T2351—2021,3.1]

3.2

數(shù)據(jù)安全datasecurity

數(shù)據(jù)的機密性、完整性、可用性和可控性。

3.3

可信trustworthiness

以可驗證的方式滿足利益相關(guān)方期望的能力。

4基本原則

1

DB3310/T90—2022

公共數(shù)據(jù)的安全可信宜覆蓋公共數(shù)據(jù)管理全生命周期、全要素和全場景。宜從制度保障、技術(shù)保障

和運行保障三個層面,建立覆蓋數(shù)據(jù)收集、歸集、存儲、加工、傳輸、共享、開放、利用與處置全生命

周期的公共數(shù)據(jù)安全可信保障體系。

圖1公共數(shù)據(jù)安全可信保障示意圖

5制度保障

5.1總體要求

宜制定完善公共數(shù)據(jù)分類分級、訪問控制、共享開放、脫敏銷毀、日志審計、監(jiān)督檢查、安全事件

應(yīng)急處置、合作方及其人員管理等制度規(guī)范,指導(dǎo)公共數(shù)據(jù)安全管理工作。

5.2數(shù)據(jù)收集

5.2.1編制形成數(shù)據(jù)收集清單。

5.2.2明確數(shù)據(jù)收集范圍和頻度,可共享獲取的數(shù)據(jù),不宜重復(fù)收集。

5.2.3制定數(shù)據(jù)收集操作規(guī)范,明確數(shù)據(jù)格式和收集渠道、方式和流程,可參照DB3310/T91—2022。

5.3數(shù)據(jù)歸集

5.3.1制定公共數(shù)據(jù)目錄和公共數(shù)據(jù)分類分級指南,可參照DB33/T2351—2021。

5.3.2制定數(shù)據(jù)溯源管理制度,包括數(shù)據(jù)溯源策略和溯源機制。

5.3.3建立數(shù)據(jù)訪問控制管理制度,對數(shù)據(jù)安全策略、賬戶權(quán)限以及關(guān)鍵參數(shù)設(shè)置等進行審核和監(jiān)督。

5.4數(shù)據(jù)存儲

5.4.1基于數(shù)據(jù)分類分級結(jié)果,制定數(shù)據(jù)存儲加密制度。

2

DB3310/T90—2022

5.4.2制定數(shù)據(jù)復(fù)制、備份與恢復(fù)操作過程及日志記錄規(guī)范。

5.5數(shù)據(jù)加工

5.5.1建立數(shù)據(jù)倉建設(shè)規(guī)范,包括數(shù)據(jù)類型、分區(qū)命名、表命名和表結(jié)構(gòu)等。

5.5.2建立主題庫、專題庫建設(shè)和發(fā)布標(biāo)準(zhǔn)。

5.5.3建立數(shù)據(jù)建模規(guī)范、數(shù)據(jù)產(chǎn)品發(fā)布標(biāo)準(zhǔn)。

5.6數(shù)據(jù)傳輸

建立數(shù)據(jù)傳輸和交換技術(shù)規(guī)范,可參照DB33/T2359—2021。

5.7數(shù)據(jù)共享

5.7.1建立數(shù)據(jù)共享管理規(guī)范,明確共享數(shù)據(jù)申請、受理、審批、答復(fù)、使用和安全要求。

5.7.2建立數(shù)據(jù)共享接口安全審查和發(fā)布規(guī)范。

5.7.3建立數(shù)據(jù)共享接口安全監(jiān)測規(guī)范。

5.7.4建立敏感數(shù)據(jù)調(diào)用認(rèn)證規(guī)范。

5.7.5建立批量共享數(shù)據(jù)導(dǎo)出審批規(guī)范。

5.8數(shù)據(jù)開放

5.8.1建立數(shù)據(jù)開放管理規(guī)范,明確開放數(shù)據(jù)申請、受理、審批、答復(fù)、使用和安全要求。

5.8.2建立數(shù)據(jù)開放域使用規(guī)范。

5.8.3建立公共數(shù)據(jù)授權(quán)運營規(guī)范,可參照DB3310/T93—2022。

5.8.4建立開放數(shù)據(jù)反哺回流規(guī)范。

5.9數(shù)據(jù)利用

5.9.1建立合作方及其人員管理規(guī)范。

5.9.2建立數(shù)據(jù)操作安全審計規(guī)范。

5.9.3建立數(shù)據(jù)脫敏、數(shù)據(jù)脫密、數(shù)據(jù)授權(quán)和數(shù)據(jù)訪問控制管理規(guī)范和制度。

5.10數(shù)據(jù)處置

5.10.1建立數(shù)據(jù)歸檔、封存和銷毀策略以及管理制度,明確歸檔、封存、銷毀對象和流程。

5.10.2建立數(shù)據(jù)歸檔、封存和銷毀安全審計制度。

6技術(shù)保障

6.1總體要求

宜利用態(tài)勢感知、權(quán)限管控、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)字簽名、高危操作阻斷、數(shù)據(jù)水印溯

源、日志審計等安全技術(shù)手段,加強數(shù)據(jù)安全常態(tài)化監(jiān)測和智能風(fēng)險預(yù)警,提升數(shù)據(jù)安全防護能

力。

6.2數(shù)據(jù)收集和數(shù)據(jù)歸集

6.2.1具備數(shù)據(jù)源鑒別、敏感數(shù)據(jù)識別技術(shù)能力。

6.2.2具備數(shù)據(jù)分類分級操作、變更審核、結(jié)果發(fā)布和運用技術(shù)能力。

3

DB3310/T90—2022

6.2.3具備數(shù)據(jù)權(quán)限管理技術(shù)能力。

6.3數(shù)據(jù)存儲

6.3.1具備數(shù)據(jù)圖譜、數(shù)據(jù)血緣分析技術(shù)能力。

6.3.2具備數(shù)據(jù)存儲加密技術(shù)能力,對存儲的敏感數(shù)據(jù)進行保護。

6.3.3具備數(shù)據(jù)備份和恢復(fù)技術(shù)能力,保障數(shù)據(jù)可用性和完整性。

6.4數(shù)據(jù)加工

6.4.1具備權(quán)限管控技術(shù)能力,實現(xiàn)數(shù)據(jù)權(quán)限的精細(xì)配置和可控訪問。

6.4.2具備動態(tài)和靜態(tài)脫敏技術(shù)能力,保障敏感數(shù)據(jù)訪問安全。

6.4.3具備環(huán)境分離技術(shù)能力,實現(xiàn)開發(fā)環(huán)境和生產(chǎn)環(huán)境分離。

6.5數(shù)據(jù)傳輸

6.5.1具備傳輸加密和通道加密技術(shù)能力,保障數(shù)據(jù)傳輸和傳輸通道安全。

6.5.2具備離線、在線和實時數(shù)據(jù)傳輸技術(shù)能力,實現(xiàn)多樣化數(shù)據(jù)傳輸需求。

6.6數(shù)據(jù)共享和數(shù)據(jù)開放

6.6.1具備訪問控制、數(shù)據(jù)脫敏技術(shù)能力,保障敏感數(shù)據(jù)共享開放安全。

6.6.2具備數(shù)據(jù)接口安全防護技術(shù)能力,實現(xiàn)高危操作預(yù)警阻斷。

6.6.3具備數(shù)據(jù)溯源技術(shù)能力,實現(xiàn)數(shù)據(jù)泄漏后的追蹤溯源。

6.6.4具備多方安全計算技術(shù)能力,實現(xiàn)數(shù)據(jù)安全融合利用。

6.7數(shù)據(jù)利用

具備數(shù)據(jù)防泄漏和防濫用能力,防范數(shù)據(jù)使用和流轉(zhuǎn)過程中的泄漏和濫用風(fēng)險。

6.8數(shù)據(jù)處置

6.8.1具備歸檔、封存和銷毀數(shù)據(jù)識別能力,根據(jù)數(shù)據(jù)分類分級結(jié)果,識別符合歸檔、封存和銷毀要

求的數(shù)據(jù)。

6.8.2具備安全數(shù)據(jù)歸檔、封存和銷毀技術(shù),實現(xiàn)數(shù)據(jù)的有效歸檔、封存和銷毀。

7運行保障

7.1總體要求

宜建立數(shù)據(jù)安全管理團隊、監(jiān)督檢查、安全事件應(yīng)急和演練、安全培訓(xùn)保障機制,加強事前審批、

事中監(jiān)督、事后審計,提升數(shù)據(jù)安

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論