DB3310∕T 90-2022 公共數(shù)據(jù)安全可信保障指南(臺州市).pdf

《DB3310∕T 90-2022 公共數(shù)據(jù)安全可信保障指南(臺州市).pdf》由會員上傳分享，免費在線閱讀，更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫。

ICS35.240.01CCSL673310浙江省臺州市地方標(biāo)準(zhǔn)DB3310/T90—2022公共數(shù)據(jù)安全可信保障指南Guidanceforsupportingpublicdatasecurityandtrustworthiness2022-12-12發(fā)布2022-12-16實施臺州市市場監(jiān)督管理局發(fā)布 DB3310/T90—2022目次前言.............................................................................................................................................................II1范圍.................................................................................................................................................................12規(guī)范性引用文件.............................................................................................................................................13術(shù)語和定義.....................................................................................................................................................14基本原則.........................................................................................................................................................15制度保障.........................................................................................................................................................26技術(shù)保障.........................................................................................................................................................37運行保障.........................................................................................................................................................4I DB3310/T90—2022前言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由臺州市大數(shù)據(jù)發(fā)展管理局提出、歸口并組織實施。本文件起草單位：臺州市大數(shù)據(jù)發(fā)展管理局、中國人民大學(xué)。本文件主要起草人：張曉瑋、林賢杰、陳友增、林國、安小米、李真、居林歡、陳余超、王帥涵、劉桓鑫、白文琳、王麗麗、許濟滄、黃婕、鄺苗苗、齊宇、沈榮。II DB3310/T90—2022公共數(shù)據(jù)安全可信保障指南1范圍本文件描述了公共數(shù)據(jù)安全可信保障的基本原則、制度保障、技術(shù)保障和運行保障等內(nèi)容。本文件適用于公共數(shù)據(jù)主管部門、公共管理和服務(wù)機構(gòu)的公共數(shù)據(jù)安全可信保障活動。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。DB33/T2351—2021數(shù)字化改革公共數(shù)據(jù)分類分級指南DB33/T2359—2021公共數(shù)據(jù)交換技術(shù)規(guī)范DB3310/T91—2022公共數(shù)據(jù)歸集指南DB3310/T93—2022公共數(shù)據(jù)授權(quán)運營指南3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1公共數(shù)據(jù)publicdata國家機關(guān)、法律法規(guī)規(guī)章授權(quán)的具有管理公共事務(wù)職能的組織，在依法履行職責(zé)和提供公共服務(wù)過程中獲取的數(shù)據(jù)資源以及法律法規(guī)規(guī)章規(guī)定納入公共數(shù)據(jù)管理范圍的其他數(shù)據(jù)資源。[來源：DB33/T2351—2021，3.1]3.2數(shù)據(jù)安全datasecurity數(shù)據(jù)的機密性、完整性、可用性和可控性。3.3可信trustworthiness以可驗證的方式滿足利益相關(guān)方期望的能力。4基本原則1 DB3310/T90—2022公共數(shù)據(jù)的安全可信宜覆蓋公共數(shù)據(jù)管理全生命周期、全要素和全場景。宜從制度保障、技術(shù)保障和運行保障三個層面，建立覆蓋數(shù)據(jù)收集、歸集、存儲、加工、傳輸、共享、開放、利用與處置全生命周期的公共數(shù)據(jù)安全可信保障體系。圖1公共數(shù)據(jù)安全可信保障示意圖5制度保障5.1總體要求宜制定完善公共數(shù)據(jù)分類分級、訪問控制、共享開放、脫敏銷毀、日志審計、監(jiān)督檢查、安全事件應(yīng)急處置、合作方及其人員管理等制度規(guī)范，指導(dǎo)公共數(shù)據(jù)安全管理工作。5.2數(shù)據(jù)收集5.2.1編制形成數(shù)據(jù)收集清單。5.2.2明確數(shù)據(jù)收集范圍和頻度，可共享獲取的數(shù)據(jù)，不宜重復(fù)收集。5.2.3制定數(shù)據(jù)收集操作規(guī)范，明確數(shù)據(jù)格式和收集渠道、方式和流程，可參照DB3310/T91—2022。5.3數(shù)據(jù)歸集5.3.1制定公共數(shù)據(jù)目錄和公共數(shù)據(jù)分類分級指南，可參照DB33/T2351—2021。5.3.2制定數(shù)據(jù)溯源管理制度，包括數(shù)據(jù)溯源策略和溯源機制。5.3.3建立數(shù)據(jù)訪問控制管理制度，對數(shù)據(jù)安全策略、賬戶權(quán)限以及關(guān)鍵參數(shù)設(shè)置等進行審核和監(jiān)督。5.4數(shù)據(jù)存儲5.4.1基于數(shù)據(jù)分類分級結(jié)果，制定數(shù)據(jù)存儲加密制度。2 DB3310/T90—20225.4.2制定數(shù)據(jù)復(fù)制、備份與恢復(fù)操作過程及日志記錄規(guī)范。5.5數(shù)據(jù)加工5.5.1建立數(shù)據(jù)倉建設(shè)規(guī)范，包括數(shù)據(jù)類型、分區(qū)命名、表命名和表結(jié)構(gòu)等。5.5.2建立主題庫、專題庫建設(shè)和發(fā)布標(biāo)準(zhǔn)。5.5.3建立數(shù)據(jù)建模規(guī)范、數(shù)據(jù)產(chǎn)品發(fā)布標(biāo)準(zhǔn)。5.6數(shù)據(jù)傳輸建立數(shù)據(jù)傳輸和交換技術(shù)規(guī)范，可參照DB33/T2359—2021。5.7數(shù)據(jù)共享5.7.1建立數(shù)據(jù)共享管理規(guī)范，明確共享數(shù)據(jù)申請、受理、審批、答復(fù)、使用和安全要求。5.7.2建立數(shù)據(jù)共享接口安全審查和發(fā)布規(guī)范。5.7.3建立數(shù)據(jù)共享接口安全監(jiān)測規(guī)范。5.7.4建立敏感數(shù)據(jù)調(diào)用認(rèn)證規(guī)范。5.7.5建立批量共享數(shù)據(jù)導(dǎo)出審批規(guī)范。5.8數(shù)據(jù)開放5.8.1建立數(shù)據(jù)開放管理規(guī)范，明確開放數(shù)據(jù)申請、受理、審批、答復(fù)、使用和安全要求。5.8.2建立數(shù)據(jù)開放域使用規(guī)范。5.8.3建立公共數(shù)據(jù)授權(quán)運營規(guī)范，可參照DB3310/T93—2022。5.8.4建立開放數(shù)據(jù)反哺回流規(guī)范。5.9數(shù)據(jù)利用5.9.1建立合作方及其人員管理規(guī)范。5.9.2建立數(shù)據(jù)操作安全審計規(guī)范。5.9.3建立數(shù)據(jù)脫敏、數(shù)據(jù)脫密、數(shù)據(jù)授權(quán)和數(shù)據(jù)訪問控制管理規(guī)范和制度。5.10數(shù)據(jù)處置5.10.1建立數(shù)據(jù)歸檔、封存和銷毀策略以及管理制度，明確歸檔、封存、銷毀對象和流程。5.10.2建立數(shù)據(jù)歸檔、封存和銷毀安全審計制度。6技術(shù)保障6.1總體要求宜利用態(tài)勢感知、權(quán)限管控、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)字簽名、高危操作阻斷、數(shù)據(jù)水印溯源、日志審計等安全技術(shù)手段，加強數(shù)據(jù)安全常態(tài)化監(jiān)測和智能風(fēng)險預(yù)警，提升數(shù)據(jù)安全防護能力。6.2數(shù)據(jù)收集和數(shù)據(jù)歸集6.2.1具備數(shù)據(jù)源鑒別、敏感數(shù)據(jù)識別技術(shù)能力。6.2.2具備數(shù)據(jù)分類分級操作、變更審核、結(jié)果發(fā)布和運用技術(shù)能力。3 DB3310/T90—20226.2.3具備數(shù)據(jù)權(quán)限管理技術(shù)能力。6.3數(shù)據(jù)存儲6.3.1具備數(shù)據(jù)圖譜、數(shù)據(jù)血緣分析技術(shù)能力。6.3.2具備數(shù)據(jù)存儲加密技術(shù)能力，對存儲的敏感數(shù)據(jù)進行保護。6.3.3具備數(shù)據(jù)備份和恢復(fù)技術(shù)能力，保障數(shù)據(jù)可用性和完整性。6.4數(shù)據(jù)加工6.4.1具備權(quán)限管控技術(shù)能力，實現(xiàn)數(shù)據(jù)權(quán)限的精細(xì)配置和可控訪問。6.4.2具備動態(tài)和靜態(tài)脫敏技術(shù)能力，保障敏感數(shù)據(jù)訪問安全。6.4.3具備環(huán)境分離技術(shù)能力，實現(xiàn)開發(fā)環(huán)境和生產(chǎn)環(huán)境分離。6.5數(shù)據(jù)傳輸6.5.1具備傳輸加密和通道加密技術(shù)能力，保障數(shù)據(jù)傳輸和傳輸通道安全。6.5.2具備離線、在線和實時數(shù)據(jù)傳輸技術(shù)能力，實現(xiàn)多樣化數(shù)據(jù)傳輸需求。6.6數(shù)據(jù)共享和數(shù)據(jù)開放6.6.1具備訪問控制、數(shù)據(jù)脫敏技術(shù)能力，保障敏感數(shù)據(jù)共享開放安全。6.6.2具備數(shù)據(jù)接口安全防護技術(shù)能力，實現(xiàn)高危操作預(yù)警阻斷。6.6.3具備數(shù)據(jù)溯源技術(shù)能力，實現(xiàn)數(shù)據(jù)泄漏后的追蹤溯源。6.6.4具備多方安全計算技術(shù)能力，實現(xiàn)數(shù)據(jù)安全融合利用。6.7數(shù)據(jù)利用具備數(shù)據(jù)防泄漏和防濫用能力，防范數(shù)據(jù)使用和流轉(zhuǎn)過程中的泄漏和濫用風(fēng)險。6.8數(shù)據(jù)處置6.8.1具備歸檔、封存和銷毀數(shù)據(jù)識別能力，根據(jù)數(shù)據(jù)分類分級結(jié)果，識別符合歸檔、封存和銷毀要求的數(shù)據(jù)。6.8.2具備安全數(shù)據(jù)歸檔、封存和銷毀技術(shù)，實現(xiàn)數(shù)據(jù)的有效歸檔、封存和銷毀。7運行保障7.1總體要求宜建立數(shù)據(jù)安全管理團隊、監(jiān)督檢查、安全事件應(yīng)急和演練、安全培訓(xùn)保障機制，加強事前審批、事中監(jiān)督、事后審計，提升數(shù)據(jù)安全運行保障能力。7.2安全管理團隊建立公共數(shù)據(jù)安全管理團隊，包括公共數(shù)據(jù)安全決策方、公共數(shù)據(jù)安全管理方、公共數(shù)據(jù)安全執(zhí)行方、公共數(shù)據(jù)安全監(jiān)審方。7.3監(jiān)督檢查7.3.1建立實時公共數(shù)據(jù)安全日志審計機制。4 DB3310/T90—20227.3.2建立周期性數(shù)據(jù)安全監(jiān)督檢查機制。7.3.3建立問題糾改責(zé)任管理機制。7.4安全事件應(yīng)急和演練7.4.1制定公共數(shù)據(jù)安全事件管理與應(yīng)急響應(yīng)相關(guān)配套制度。7.4.2建立公共數(shù)據(jù)安全發(fā)現(xiàn)、上報、處置、溯源和總結(jié)相關(guān)工作流程。7.4.3明確公共數(shù)據(jù)安全應(yīng)急預(yù)案編制和應(yīng)急演練工作要求。7.5安全培訓(xùn)7.5.1建立公共數(shù)據(jù)安全培訓(xùn)機制。7.5.2制定公共數(shù)據(jù)安全培訓(xùn)計劃。_________________________________5