DB11T 2049-2022 政務大數據安全技術框架

ICS35.240CCSL70

DB11北 京 市 地 方 標 準DB11/T2049—2022政務大數據安全技術框架Technicalframeworkofgovernmentbigdatasecurity2022-12-27發(fā)布 2023-04-01實施北京市市場監(jiān)督管理局 發(fā)布DB11/T2049—2022目 次前言 II范圍 1規(guī)性用1術和1政大據全術架的2政大據安要求 6政大據間同全要求 9政大據礎施全要求 11附錄A（料）內源、產參方12參考14IDB11/T2049—2022前 言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規(guī)則》的規(guī)定起草。本文件由北京市經濟和信息化局提出并歸口。本文件由北京市經濟和信息化局組織實施。（北京IIDB11/T2049—2022政務大數據安全技術框架范圍本文件適用于指導政務部門以及參與政務大數據處理活動的相關組織開展政務大數據安全技術體系規(guī)劃、建設、監(jiān)督與管理。（）GB/T20269信息技術大數據大數據系統(tǒng)基本要求GB/T20271信息安全技術信息系統(tǒng)通用安全技術要求GB/T22239信息安全技術網絡安全等級保護基本要求GB/T35273信息安全技術個人信息安全規(guī)范GB/T35274息全術 數服安能要求GB/T35295信息技術大數據術語GB/T37988信息安全技術數據安全能力成熟度模型GB/T38664.2 2GB/T39477信息安全技術政務信息共享數據安全技術要求GB/T39786信息安全技術信息系統(tǒng)密碼應用基本要求DB11/T1918 GB/T35295界定的以及下列術語和定義適用于本文件。3.1大數據bigdata[來源：GB/T35295—2017,2.1.1]3.2政務大數據governmentbigdata政務部門在履行職責過程中制作或獲取的，以電子化形式記錄、保存的大數據。1DB11/T2049—20223.3政務大數據域governmentbigdatadomain在政務大數據處理活動中，遵從共同安全策略的資源和資產的集合。注：數據處理，包括數據的收集、存儲、使用、加工、傳輸、提供、公開等。3.4政務大數據參與方participantofgovernmentbigdata參與政務大數據處理活動的主體。3.5政務大數據基礎設施infrastructureforgovernmentbigdata為政務大數據處理活動提供算力、存儲、網絡、安全等服務的信息基礎設施。圖1政務大數據安全技術框架2DB11/T2049—20221A。表1政務大數據域主要功能名稱主要功能數據生產域對政務大數據進行收集、生產和使用數據加工域對政務大數據進行加工以形成政務大數據資產數據共享域政務部門之間或在政務部門內部提供或獲取政務大數據數據開放域面向社會提供政務大數據數據運營域面向社會特定群體提供政務大數據，以開展數據運營服務2圖2政務大數據域間流動圖標引序號說明：1—數據生產域收集、生產的數據，進入到數據加工域進行加工；2—經數據加工域加工后的數據，進入到數據生產域進行使用；3—經數據加工域加工后的數據，進入數據共享域進行共享；4—數據共享域中的數據，進入數據加工域進行加工；3DB11/T2049—20225—數據生產域收集、生產的數據，進入共享域進行共享；6—數據共享域中的數據，進入數據生產域進行使用；7—數據共享域中的數據，進入數據開放域面向社會進行開放；8—數據共享域中的數據，進入數據運營域以開展數據運營；9—數據運營域產生新數據，進入數據共享域以進行共享。3圖3政務大數據跨組織流動圖。表2政務大數據域間協同關系數據生產域數據加工域數據共享域數據開放域數據運營域數據生產域/●●//數據加工域●/●//數據共享域●●●●●數據開放域//●//數據運營域//●//注：“●”代表域間需要直接協同，“/”代表域間不需要直接協同。政務大數據基礎設施包括基礎資源平臺和基礎安全平臺等?；A資源平臺為政務大數據處理活動提供統(tǒng)一的算力、存儲和網絡等基礎資源服務；基礎安全平臺為政務大數據處理活動提供統(tǒng)一的身份認證、密碼服務、數據監(jiān)測溯源等基礎安全保障，如圖4所示。4DB11/T2049—2022圖4政務大數據基礎設施圖4A。表3政務大數據處理維度的參與方角色定義數據控制者有權決定數據處理目的、方式，對數據進行管控的組織、個人數據生產者收集、生產數據的組織、個人數據加工者清洗、加工數據的組織、個人數據運營者開發(fā)、提供數據服務的組織數據使用者使用、消費數據的組織、個人平臺運營者處理政務數據的信息系統(tǒng)或政務大數據基礎設施的所有者、管理者和服務提供者表4政務大數據處理維度的參與方與政務大數據域及基礎設施的關系數據控制者數據生產者數據加工者數據運營者數據使用者平臺運營者政務大數據域數據生產域●●//●●數據加工域●/●//●數據共享域●////●數據開放域●///●●數據運營域●//●●●政務大數據基礎設施基礎資源平臺/////●基礎安全平臺/////●注：“●”代表存在參與關系，“/”代表不存在參與關系。5DB11/T2049—2022根據政務大數據在數據流轉過程中的角色類型，政務大數據參與方可分為數據提供者、數據接收者兩類，各參與方的定義見表5，各參與方示例見附錄A。表5政務大數據流轉維度的參與方角色定義數據提供者向政務大數據域提供數據的組織、個人數據接收者從政務大數據域接收數據的組織、個人一個組織或個人可以承擔多個維度的多個參與方角色，同一維度的一個參與方角色也可以對應多個組織或個人。政務大數據域應滿足以下通用安全要求：GB/T22239GB/T39786GB/T35273GB/T35274GB/T38664.2GB/T39477DB11/T1918GB/T37988GB/T20269GB/T20271數據控制者應滿足以下安全要求：a）獲得數據提供者的授權，并在授權范圍內合法處理數據；b）對數據生產者數據生產行為進行授權和監(jiān)督管理；c）f）在發(fā)現可能違反法律、行政法規(guī)或者侵犯他人等合法權益時，立即采取應急處置措施。數據生產者應滿足以下安全要求：6DB11/T2049—2022h）記錄數據生產過程。數據提供者應滿足以下安全要求：數據使用者應滿足以下安全要求：數據控制者應滿足以下安全要求：a）獲得數據提供者的授權，并在授權范圍內處理數據；b）對數據加工者進行授權，明確授權目的和范圍；檔等相關要求；數據加工在合法授權范圍內，禁止未經授權的操作行為；的數據加工行為進行審計；數據加工者應滿足以下安全要求：a）獲得數據控制者的授權，并在授權范圍內合法加工數據；b）全面準確理解數據加工安全需求；數據控制者應滿足以下安全要求：a）獲得數據提供者的授權，并在授權范圍內合法共享數據；b）對數據接收者進行授權，明確授權目的和范圍；7DB11/T2049—2022措施，保證數據共享安全；f）g）數據控制者應滿足以下安全要求：a）獲得數據提供者的授權，并在授權范圍內合法開放數據；b）對數據使用者進行授權，明確授權目的和范圍；社會開放；數據使用者應滿足以下安全要求：數據控制者應滿足以下安全要求：a）獲得數據提供者授權，并在合法范圍內運營數據；b）對數據運營者進行授權，明確授權的目的和范圍；c）建立數據運營規(guī)范，保證數據運營安全；d）審核運營數據的應用場景，確保運營數據使用沒有超出提供者的授權范圍；e）具備對政務數據運營過程的安全審計能力，定期對數據運營行為進行審計；f）數據運營者應滿足以下安全要求：d）支持基于區(qū)塊鏈和數字水印技術實現對數據運營服務過程的溯源；e）涉及數據交易活動的，提供證明數據交易合法性的授權文件；8DB11/T2049—2022f）不得非法向他人轉讓授權運營的數據。數據使用者應滿足以下安全要求：政務大數據域間協同應滿足以下通用安全要求：保護數據相關方合法權益；等級；中數據的安全性和完整性；數據生產域應滿足以下安全要求：a）明確數據加工限制和約束條件，確保數據加工不能損害相關權利人的合法權益；b）按照最小化原則提供用于加工的數據；c）采取相應的措施，控制數據加工者對數據的訪問。數據加工域應滿足以下安全要求：a）接受加工委托時，提供其安全保障能力的證明材料；b）驗證接收數據的完整性及與數據加工需求的一致性；c）將加工過程中發(fā)現異常數據及時告知對方，涉及敏感數據的在告知時應進行加密傳輸。數據加工域應滿足以下安全要求：9DB11/T2049—2022數據共享域應滿足以下安全要求：數據生產域應滿足以下安全要求：a）明確用于共享的數據的共享方式、范圍、時效、授權條件及其他限制條件；b）使用共享數據時，嚴格按共享規(guī)則使用，并對共享數據進行有效保護；c）將使用過程中發(fā)現異常數據及時告知數據提供者，涉及敏感數據的在告知時應進行加密傳輸。數據共享域應滿足以下安全要求：數據開放域應及時發(fā)現禁止開放的敏感數據和個人信息，并告知數據提供者。數據共享域應滿足以下安全要求：a）嚴格按照數據提供者的授權，遵照數據開放目錄和開放計劃，向數據開放域提供數據；b）確保提供開放的數據不包含個人信息或敏感數據。數據運營域應滿足以下安全要求：a）提供其安全保障能力證明材料并獲得數據運營授權；b）未經提供者許可，不得留存共享獲得的數據；c）在數據運營過程中，及時發(fā)現不在授權范圍內的重要數據和個人信息，并通知數據提供者；d）定期向共享域報告數據安全運營情況，并提供相應的數據安全運營分析報告。數據共享域應滿足以下安全要求：的合法權益；10DB11/T2049—2022d）不同政務部門的數據共享域之間交換數據時應滿足以下安全要求：e）數據提供者和數據接收者應具備對政務數據交換過程的追溯和安全審計能力，定期對數據交換行為進行評估和審計，并及時處置存在的問題。平臺運營者應滿足以下安全要求：GB/T22239GB/T39786GB/T35274GB/T35273安全保護；按照GB/T37988務的能力，以滿足各政務大數據域的安全需求；并及時進行應急處置。11DB11/T2049—2022附錄A（資料性）域內資源、資產及參與方示例根據大數據應用場景的不同，各政務大數據域中所包含的資源和資產各不相同，表A.1給出了各域所包含的資源和資產示例。表A.1政務大數據域的資源和資產示例域類型資源和資產數據生產域政務部門門戶網站、政務信息系統(tǒng)等及相關數據數據加工域數據清洗、數據加工平臺等及相關數據數據共享域共享交換平臺、目錄區(qū)塊鏈系統(tǒng)等及相關數據數據開放域政務數據開放網站等及相關數據數據運營域金融專區(qū)、空間專區(qū)等數據專區(qū)及相關數據表A.2給出了政務大數據處理維度的參與方的示例。表A.2政務大數據處理維度的參與方示例參與方示例數據生產者政務部門、生產數據的企業(yè)等數據控制者政務部門等數據加工者信息技術服務外包機構等數據運營者金融專區(qū)、空間專區(qū)等數據專區(qū)運營企業(yè)等數據使用者個人、企業(yè)、政務部門等平臺運營者政務部門、信