标准规范下载简介
DB3301/T 0276-2018 政务数据共享安全管理规范.pdfICS35.240.0
3301/T 02762018
杭州市质量技术监督局 发布
DB3301/T02762018
DB34/T 3079-2018 河道堤防减压井及测压管管理规程DB3301/T02762018
政务数据共享安全管理规范
本标准规定了政务数据共享的总则、基本要求、数据归集安全、数据传输安全、数据存储安全、数 据处理安全、数据共享安全和数据销毁安全。 本标准适用于非涉密政务数据共享安全管理
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T25069信息安全技术术语 GB/T35295信息技术大数据术语
让不同的数据使用者能够访问平台整合的各种数据资源,并通过数据服务或数据交换技术对这些数 据资源进行相关的计算、分析、可视化等处理
DB3301/T02762018
服务第三方 提供相关服务的供应方,包括但不限于基础设施服务提供者、网络环境服务提供者、应用服务提供 者、数据服务提供者、安全服务提供者
据的管理者,由政府赋予政务数据管理职能的
4.1政务数据共享安全管理采取主动防御、综合防范方针,坚持保障政务数据安全与促进应用发展相 协调、管理与技术并重的原则,实行统一协调、分工负责、分级管理。各参与方单位数据安全和信息化 工作应同步规划、同步建设、同步运行。 4.2政务数据共享安全要求包括通用安全要求,以及数据归集、数据传输、数据存储、数据处理、数 据共享和数据销毁等流程环节安全要求。各参与方应根据自身角色和责任遵照执行。 4.3支撑政务数据共享的平台基础设施和网络应符合国家等级保护和关键信息基础设施保护的相关法 规和标准。
5.2数据安全策略与规程
数据安全策略与规程安全要求包括: a 应制定满足业务需求的安全策略,明确安全方针、安全目标和安全原则; b 应基于安全策略,建立相关的制度规程,形成以数据为核心的体系化数据安全制度体系; C) 应建立策略、规程的评审和发布流程,明确适当的频率和时机对策略和规程进行更新,以确保 其持续的适宜性和有效性,
人力资源管理安全要求包括:
DB3301/T02762018
应及时调整人员变化所涉及的账号权限的赋权、更改和回收; c)应制定与各参与方人员的标准合同协议,以约束相关人员与组织的数据安全责任; 应建立离任审计机制,对关键人员的离任进行审查,及时回收相关资源和授权,并对其在任期 中的行为进行评估,分析是否存在滥用职权、弄虚作假、以权谋私等情况,
数据资产管理安全要求包括: a)应制定数据资产安全管理制度,明确数据资产安全管理目标和安全原则、数据资产的全生命周 期管理要求、资产登记要求和分类标记要求,并针对安全管理制度执行定期审核和更新; b 应建立数据资产登记机制2018【DL】-造价案例-《一本通》,形成整体的数据资产清单,明确数据资产安全责任主体及相关方, 并及时更新数据资产相关信息; 应建立和实施数据资产分类和标记规范,包括:分类分级规定、元数据管理规范、操作指南、 变更审批流程。根据分类管理要求,建立相应的标记策略、访问控制、数据加解密、数据脱敏 等安全机制和管控措施; d 宜建立技术工具执行资产登记、分类标记等,实现自动化的属性标识工作,
数据供应链管理安全要求包括: a 应建立数据提供者、数据使用者、服务第三方安全管理规范,定义数据安全目标、原则和范围, 明确数据提供者、数据使用者、服务第三方的安全责任和义务,并建立监督审核机制: 与数据提供者、数据使用者、服务第三方签署协议,明确数据的使用目的、供应方式、保密约 定等; 应委托独立的运行监管方,对数据提供者、数据使用者和服务第三方的行为进行相关记录,利 用技术工具对数据提供者、数据使用者和服务第三方的行为进行合规性审核与监督: d 应建立完整的数据供应链和相关数据字典规则库,自动监测实际数据流动情况,实时分析数据 流向与数据供应链遵循情况,发现异常并自动报警和阻断。
元数据管理安全要求包括: a 应建立数据服务元数据语义统一规范和管理规则; b 应建立数据安全元数据管理规范,如口令策略、权限列表、授权策略; 应建立元数据访问控制策略,明确元数据管理角色及其授权控制机制,并通过技术手段实现对 元数据管理角色的授权和访问管理: 小 d 应建立元数据操作审计制度,根据审计制度要求,采集元数据操作日志,确保元数据操作的可 追潮; e 应建立统一的元数据管理平台,将各领域的元数据通过集中的平台进行提供。
运行监管安全要求包括: a)应制定数据生命周期各阶段数据访问和操作的日志记录规范要求和监管要求; 应根据日志记录规范和监管要求,对数据采集、传输、存储、处理、交换、销毁等过程进 效的日志记录,实现政务数据共享全链路的可追溯:
DB3301/T02762018
c)应建立统一的数据访问和操作的日志记录和分析技术工具,该技术工具可对各类数据访问和操 作的日志进行统一的处理和分析,实现对数据异常访问和操作的告警,实现对数据滥用、违规 使用、缔约过失、越权使用等行为的识别、监控、预警和追责; 应对服务第三方实施的安全控制措施、变更管理、应急响应等进行持续监管,通过技术措施或 文件审核等方式对服务第三方承诺的安全控制项进行评估验证; 应建立针对敏感数据的动态可持续的数据风险监管体系,周期性的对敏感数据的脆弱性、面临 的安全威胁、安全措施的有效性等内容进行风险评估。
终端管理安全要求包括: a)应制订面向终端的数据安全管理规范,明确终端层面的数据防泄漏管理要求; b)应为进入城市大脑内部网络环境的终端设备分配终端识别号,并实现终端设备与用户账号的 对一绑定; 应建立并实施整体的终端安全解决方案,实现终端设备与组织机构内部员工的有效绑定CECS 246:2008 给水排水工程顶管技术规程,按照 统一的部署标准在终端系统上安装各类防控软件(如防病毒、硬盘加密、终端入侵检测、终端 防泄漏等软件),对终端系统上的数据进行风险监控。