DB33/T 2488-2022 标准规范下载简介
DB33/T 2488-2022 公共数据安全体系评估规范.pdfICS35.240.01 CCS 67
DB33/T 2488202
Assessment specificationforpublicdata security systems
鹿山大桥主桥上部结构施工方案浙江省市场监督管理局 发布
江省市场监督管理局 发布
DB33/T24882022
引言 III 范围 规范性引用文件 3 术语和定义 缩略语 总体要求 6评估模型 制度规范子体系评估项 技术防护子体系评估项 9运行管理子体系评估项 10 10评估流程 附录A(资料性) 公共数据安全体系评估指标定义示例. 附录B(资料性) 常用评估方式示例 附录C(资料性) 计算方法示例 22 附录D(资料性) 公共数据安全体系评估案例 24 参考文献 29
DB33/T24882022
本标准按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别专利的责任。 本标准由浙江省大数据发展管理局提出、归口并组织实施。 本标准起草单位:浙江省大数据发展中心、数字浙江技术运营有限公司、浙江省标准化研究院、联 通数字科技有限公司、浙江省数据安全服务有限公司、杭州市数据资源管理局、宁波市大数据发展管理 局、温州市大数据发展管理局、湖州市大数据发展管理局、嘉兴市政务服务和数据资源管理办公室、绍 兴市大数据发展管理局、金华市大数据发展管理局、衢州市大数据发展管理局、舟山市大数据发展管理 、台州市大数据发展管理局、丽水市大数据发展管理局。 本标准主要起草人:金加和、王瑚、洪吉明、蓝宇娜、孟一丁、党铮、蒋纳成、赵程遥、毛远庆、 张斌、杜永华、池邦芬、箕猛霄、陈焕、包自毅、张新丰、顾闻、徐振华、张晓玮、杜战、范东媛、费 媛、叶春雷、孔俊、朱通、王沁怡、张伟伟、胡瑞玉、叶红叶、施筱玲、徐峰、蒋迪、甄理、俞巍滔、 杜辉、孙茂阳、胡琼达、朱宝剑、叶茜茜、陈玮萍、屠勇刚、韩建良、徐李锐、毛勇增、张岳军、林国、 王玲玲。 本标准为首次发布。
DB33/T24882022
为保障一体化智能化公共数据平台和公共数据安全,建立健全数据安全防护能力评估指标,规范和 指导各地各部门开展公共数据安全评估工作,推动全省公共数据安全管理工作可量化、可追溯、可评估, 依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《浙江省公共数据条例》制定 本标准。 本标准是公共数据安全体系相关系列标准之一。 与本标准的相关标准还包括: 公共数据安全体系建设指南(DB33/T2487一2022); 公共数据分类分级指南(DB33/T2351一2021)
DB33/T24882022公共数据安全体系评估规范1范围本标准规范了公共数据安全体系评估总体要求、评估模型、评估项和评估流程等,本标准适用于公共数据安全体系和能力评估,各级公共数据主管部门、公共管理和服务机构可参考执行。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本标准;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本标准。GB/T25069信息安全技术术语GB/T 37973信息安全技术大数据安全管理指南GB/T 37988信息安全技术数据安全能力成熟度模型GB/T 39477信息安全技术政务信息共享数据安全技术要求DB33/T2350数字化改革术语定义DB33/T2487公共数据安全体系建设指南3术语和定义GB/T25069、GB/T37973、GB/T37988、GB/T39477、DB33/T2350和DB33/T2487界定的以及下列术语和定义适用于本标准。3. 1评估项assessmentitem与公共数据安全三个子体系对应,每一个子体系对应一个评估项,包括制度规范子体系评估项、技术防护子体系评估项和运行管理子体系评估项。3. 2评估子项assessmentsubitem对应公共数据安全子体系各部分的建设内容,一个评估项包括若干个评估子项。3.3评估指标assessmentindex用以评估某一安全目标实现程度的数据安全相关活动和过程的最小单位,一个评估子项可基于评估内容,确定评估权重并赋予分值,定义若干个评估指标。3.4评估对象assessment object被评估的组织机构或部门,主要涉及相关配套制度文档、设备设施及人员等。1
DB33/T24882022
下列缩略语适用于本标准。 AIT:评估项(AssessmentItem) AS:评估子项(AssessmentSubItem) SUM:最终分值(Sum)
评估项和评估方法的选取应能够体现公共数据安全体系的主要内容,反映公共数据安全保障面临的 主要风险。
评估项和评估方法的选取应结合本地区本部门实际情况,引导公共数据安全体系合
分应用评估结果,促进公共数据安全体系的持续
全体系评估项、公共数据安全体系评估维度、公共数 本系评估方法。公共数据安全体系评估模 图
DB33/T24882022
公共数据安全体系评估维度
6.2.1制度规范子体系评估项
6.2.2技术防护子体系评估项
技术防护子体系评估项主要包含的评估子项: a)数据源统一鉴别技术; b)敏感数据识别技术; c)数据分类分级标识技术:
公共数据安全体系评估项
图1公共数据安全体系评估模型
DB33/T24882022
d) 数据脱敏技术; e) 数据加密技术; f) 传输通道加密技术; g. 数据血缘关系技术; h) 数据备份和恢复技术; i) 数据防泄漏技术; 销毁数据识别技术; k) 数据销毁技术; 1) 访问权限管理; m) 数据共享和开放; n) 安全监测与预警等。
6.2.3运行管理子体系评估项
DB33/T24882022
1)完整性:评估该运行管理机制是否包括完整的闭环运行管理环节; 2) 符合性:评估该运行管理机制是否已在该组织落地实施; 3)有效性:评估该运行管理机制在该组织落实后,是否有效的实现公共数据安全防护预期 效果。
7制度规范子体系评估项
7.1数据分类分级管理制度
公共数据分类分级管理相关制度评估子项内容主要包括: 全面性:查验制度文件是否包括分类分级原则、要求、维度、方法、操作指南、工作流程以 及类别和级别变更场景、变更申请审批流程及工作要求等; 可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施; 动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修 订相关制度文件,查验范围包括调研记录、修订记录等。
7.2数据访问权限管理制度
公共数据访问权限管理相关制度评估子项内容主要包括: 全面性:查验制度文件是否包括对公共数据载体和公共数据权限管理系统的账号权限安全管 理职责分工和工作要求,公共数据访问账号权限分配、开通、使用、变更、重置、锁定、注 销等的申请审批流程,对具备超级管理员权限或数据批量复制、处理、导出和删除等高风险 操作权限的帐号的重点安全管理要求等: 可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施; 动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修 订相关制度文件,查验范围包括调研记录、修订记录等
7.3数据脱敏管理制度
公共数据安全脱敏管理相关制度评估子项内容主要包括: 全面性:查验制度文件是否充分根据公共数据分类分级结果,是否包括公共数据脱敏规则、 管理要求、技术要求和脱敏工作流程等: 可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施; 动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修 订相关制度文件,查验范围包括调研记录、修订记录等。
7.4数据共享和开放安全管理制度
公共数据共享和开放安全管理相关制度评估子项内容主要包括: 全面性:查验制度文件是否充分根据公共数据分类分级结果;查验制度文件是否包括差 的公共数据共享和开放安全管理、技术要求、应用场景、工作流程和申请审批环节等:
DB33/T24882022
可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施; 动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修 订相关制度文件,查验范围包括调研记录、修订记录等
公共数据安全销毁管理相关制度评估子项内容主要包括: 全面性:查验制度文件是否充分根据公共数据分类分级结果;查验制度文件是否包括公共数 据销毁对象、销毁场景、销毁方式、销毁流程、销毁工作要求等; 可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施; 动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修 订相关制度文件,查验范围包括调研记录、修订记录等
7.6供应方安全管理制
供应方安全管理相关制度评估子项内容主要包括: 全面性:查验制度文件是否包括供应方及供应方人员的安全管理要求,涉及终端安全、网络 安全、数据安全、保密管理等方面;查验制度文件是否包括供应方及供应方人员的岗位安全 职责、安全考核要求和处罚措施;核查服务安全保护及保密协议是否明确了对供应方及供应 方人员的数据保密范围、保密责任与义务、保密期限等; 可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施; 动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修 订相关制度文件,查验范围包括调研记录、修订记录等
7.7安全监督检查制度
公共数据监督检查相关制度评估子项内容主要包括: 全面性:查验制度文件是否包括对公共数据安全体系建设现状的监督检查内容、方式、工作 周期、工作流程等; 可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施; 动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修 订相关制度文件,查验范围包括调研记录、修订记录等
7.8 安全日志审计制度
公共数据安全日志审计相关制度评估子项内容主要包括: 全面性:查验制度文件是否包括安全审计日志的采集内容、采集方式、标准化要求、日志存 储要求、审计策略和规则、异常预警及处置工作流程等; 可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施:
DB33/T24882022
8技术防护子体系评估项
8.1数据源统一鉴别技术
数据源统一鉴别技术评估子项内容主要包括: 功能性:检查该技术产品是否具备数据源身份统一鉴别、记录的功能,以及对数据真实性、 有效性、规范性进行检验的功能; 适用性:核查该技术产品是否有效防止非法数据源接入,实现防止虚假数据注入;核查该技 术产品性能是否满足该组织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等
8.2敏感数据识别技术
敏感数据识别技术评估子项内容主要包括: 功能性:检查该技术产品是否具备敏感数据识别功能; 适用性:核查该技术产品是否可有效识别出敏感数据;核查该技术产品性能是否满足该组织 业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等
8.3数据分类分级标识技术
数据分类分级标识技术评估子项内容主要包括: 功能性:检查该技术产品是否具备根据相关标准进行智能化分类分级的功能;检查该技术产 品是否具备数据分类分级标识功能;检查该技术产品是否具有数据分类分级结果的输出接口 用于分类分级结果的应用: 适用性:核查该技术产品是否可有效标识数据类别和级别;核查该技术产品性能是否满足该 组织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等
旅游度假区道路施工组织设计DB33/T24882022
公共数据脱敏技术评估子项内容主要包括: 功能性:检查该技术产品是否可实现敏感数据脱敏功能;检查该技术产品是否可实现数据存 储或使用脱敏功能(包含静态和动态脱敏);检查该技术产品是否可根据不同场景配置不同 的脱敏算法与规则等; 适用性:核查是否已有效对规定场景数据进行静态或动态脱敏保护;核查该技术产品性能是 否满足该组织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等
数据加密技术评估子项内容主要包括: 功能性:检查该技术产品是否可实现敏感数据存储和传输加密功能; 适用性:核查是否已有效对存储和传输的敏感数据实施加密保护;核查该技术产品性能是否 满足该组织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等
8.6传输通道加密技术
传输通道加密技术评估子项内容主要包括 功能性:检查该技术产品是否可实现数据传输通道加密; 适用性:核查是否已有效对数据传输通道实施加密保护;核查该技术产品性能是否满足该组 织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等,
某(集团)公司初轧扩建工程成品车间施工方案8.7数据血缘关系技术