DB11T 2049-2022 政務(wù)大數(shù)據(jù)安全技術(shù)框架

ICS35.240CCSL70

DB11北 京 市 地 方 標(biāo) 準(zhǔn)DB11/T2049—2022政務(wù)大數(shù)據(jù)安全技術(shù)框架Technicalframeworkofgovernmentbigdatasecurity2022-12-27發(fā)布 2023-04-01實(shí)施北京市市場監(jiān)督管理局 發(fā)布DB11/T2049—2022目 次前言 II范圍 1規(guī)性用1術(shù)和1政大據(jù)全術(shù)架的2政大據(jù)安要求 6政大據(jù)間同全要求 9政大據(jù)礎(chǔ)施全要求 11附錄A（料）內(nèi)源、產(chǎn)參方12參考14IDB11/T2049—2022前 言本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。本文件由北京市經(jīng)濟(jì)和信息化局提出并歸口。本文件由北京市經(jīng)濟(jì)和信息化局組織實(shí)施。（北京IIDB11/T2049—2022政務(wù)大數(shù)據(jù)安全技術(shù)框架范圍本文件適用于指導(dǎo)政務(wù)部門以及參與政務(wù)大數(shù)據(jù)處理活動(dòng)的相關(guān)組織開展政務(wù)大數(shù)據(jù)安全技術(shù)體系規(guī)劃、建設(shè)、監(jiān)督與管理。（）GB/T20269信息技術(shù)大數(shù)據(jù)大數(shù)據(jù)系統(tǒng)基本要求GB/T20271信息安全技術(shù)信息系統(tǒng)通用安全技術(shù)要求GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求GB/T35273信息安全技術(shù)個(gè)人信息安全規(guī)范GB/T35274息全術(shù) 數(shù)服安能要求GB/T35295信息技術(shù)大數(shù)據(jù)術(shù)語GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T38664.2 2GB/T39477信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求DB11/T1918 GB/T35295界定的以及下列術(shù)語和定義適用于本文件。3.1大數(shù)據(jù)bigdata[來源：GB/T35295—2017,2.1.1]3.2政務(wù)大數(shù)據(jù)governmentbigdata政務(wù)部門在履行職責(zé)過程中制作或獲取的，以電子化形式記錄、保存的大數(shù)據(jù)。1DB11/T2049—20223.3政務(wù)大數(shù)據(jù)域governmentbigdatadomain在政務(wù)大數(shù)據(jù)處理活動(dòng)中，遵從共同安全策略的資源和資產(chǎn)的集合。注：數(shù)據(jù)處理，包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開等。3.4政務(wù)大數(shù)據(jù)參與方participantofgovernmentbigdata參與政務(wù)大數(shù)據(jù)處理活動(dòng)的主體。3.5政務(wù)大數(shù)據(jù)基礎(chǔ)設(shè)施infrastructureforgovernmentbigdata為政務(wù)大數(shù)據(jù)處理活動(dòng)提供算力、存儲、網(wǎng)絡(luò)、安全等服務(wù)的信息基礎(chǔ)設(shè)施。圖1政務(wù)大數(shù)據(jù)安全技術(shù)框架2DB11/T2049—20221A。表1政務(wù)大數(shù)據(jù)域主要功能名稱主要功能數(shù)據(jù)生產(chǎn)域?qū)φ?wù)大數(shù)據(jù)進(jìn)行收集、生產(chǎn)和使用數(shù)據(jù)加工域?qū)φ?wù)大數(shù)據(jù)進(jìn)行加工以形成政務(wù)大數(shù)據(jù)資產(chǎn)數(shù)據(jù)共享域政務(wù)部門之間或在政務(wù)部門內(nèi)部提供或獲取政務(wù)大數(shù)據(jù)數(shù)據(jù)開放域面向社會(huì)提供政務(wù)大數(shù)據(jù)數(shù)據(jù)運(yùn)營域面向社會(huì)特定群體提供政務(wù)大數(shù)據(jù)，以開展數(shù)據(jù)運(yùn)營服務(wù)2圖2政務(wù)大數(shù)據(jù)域間流動(dòng)圖標(biāo)引序號說明：1—數(shù)據(jù)生產(chǎn)域收集、生產(chǎn)的數(shù)據(jù)，進(jìn)入到數(shù)據(jù)加工域進(jìn)行加工；2—經(jīng)數(shù)據(jù)加工域加工后的數(shù)據(jù)，進(jìn)入到數(shù)據(jù)生產(chǎn)域進(jìn)行使用；3—經(jīng)數(shù)據(jù)加工域加工后的數(shù)據(jù)，進(jìn)入數(shù)據(jù)共享域進(jìn)行共享；4—數(shù)據(jù)共享域中的數(shù)據(jù)，進(jìn)入數(shù)據(jù)加工域進(jìn)行加工；3DB11/T2049—20225—數(shù)據(jù)生產(chǎn)域收集、生產(chǎn)的數(shù)據(jù)，進(jìn)入共享域進(jìn)行共享；6—數(shù)據(jù)共享域中的數(shù)據(jù)，進(jìn)入數(shù)據(jù)生產(chǎn)域進(jìn)行使用；7—數(shù)據(jù)共享域中的數(shù)據(jù)，進(jìn)入數(shù)據(jù)開放域面向社會(huì)進(jìn)行開放；8—數(shù)據(jù)共享域中的數(shù)據(jù)，進(jìn)入數(shù)據(jù)運(yùn)營域以開展數(shù)據(jù)運(yùn)營；9—數(shù)據(jù)運(yùn)營域產(chǎn)生新數(shù)據(jù)，進(jìn)入數(shù)據(jù)共享域以進(jìn)行共享。3圖3政務(wù)大數(shù)據(jù)跨組織流動(dòng)圖。表2政務(wù)大數(shù)據(jù)域間協(xié)同關(guān)系數(shù)據(jù)生產(chǎn)域數(shù)據(jù)加工域數(shù)據(jù)共享域數(shù)據(jù)開放域數(shù)據(jù)運(yùn)營域數(shù)據(jù)生產(chǎn)域/●●//數(shù)據(jù)加工域●/●//數(shù)據(jù)共享域●●●●●數(shù)據(jù)開放域//●//數(shù)據(jù)運(yùn)營域//●//注：“●”代表域間需要直接協(xié)同，“/”代表域間不需要直接協(xié)同。政務(wù)大數(shù)據(jù)基礎(chǔ)設(shè)施包括基礎(chǔ)資源平臺和基礎(chǔ)安全平臺等?；A(chǔ)資源平臺為政務(wù)大數(shù)據(jù)處理活動(dòng)提供統(tǒng)一的算力、存儲和網(wǎng)絡(luò)等基礎(chǔ)資源服務(wù)；基礎(chǔ)安全平臺為政務(wù)大數(shù)據(jù)處理活動(dòng)提供統(tǒng)一的身份認(rèn)證、密碼服務(wù)、數(shù)據(jù)監(jiān)測溯源等基礎(chǔ)安全保障，如圖4所示。4DB11/T2049—2022圖4政務(wù)大數(shù)據(jù)基礎(chǔ)設(shè)施圖4A。表3政務(wù)大數(shù)據(jù)處理維度的參與方角色定義數(shù)據(jù)控制者有權(quán)決定數(shù)據(jù)處理目的、方式，對數(shù)據(jù)進(jìn)行管控的組織、個(gè)人數(shù)據(jù)生產(chǎn)者收集、生產(chǎn)數(shù)據(jù)的組織、個(gè)人數(shù)據(jù)加工者清洗、加工數(shù)據(jù)的組織、個(gè)人數(shù)據(jù)運(yùn)營者開發(fā)、提供數(shù)據(jù)服務(wù)的組織數(shù)據(jù)使用者使用、消費(fèi)數(shù)據(jù)的組織、個(gè)人平臺運(yùn)營者處理政務(wù)數(shù)據(jù)的信息系統(tǒng)或政務(wù)大數(shù)據(jù)基礎(chǔ)設(shè)施的所有者、管理者和服務(wù)提供者表4政務(wù)大數(shù)據(jù)處理維度的參與方與政務(wù)大數(shù)據(jù)域及基礎(chǔ)設(shè)施的關(guān)系數(shù)據(jù)控制者數(shù)據(jù)生產(chǎn)者數(shù)據(jù)加工者數(shù)據(jù)運(yùn)營者數(shù)據(jù)使用者平臺運(yùn)營者政務(wù)大數(shù)據(jù)域數(shù)據(jù)生產(chǎn)域●●//●●數(shù)據(jù)加工域●/●//●數(shù)據(jù)共享域●////●數(shù)據(jù)開放域●///●●數(shù)據(jù)運(yùn)營域●//●●●政務(wù)大數(shù)據(jù)基礎(chǔ)設(shè)施基礎(chǔ)資源平臺/////●基礎(chǔ)安全平臺/////●注：“●”代表存在參與關(guān)系，“/”代表不存在參與關(guān)系。5DB11/T2049—2022根據(jù)政務(wù)大數(shù)據(jù)在數(shù)據(jù)流轉(zhuǎn)過程中的角色類型，政務(wù)大數(shù)據(jù)參與方可分為數(shù)據(jù)提供者、數(shù)據(jù)接收者兩類，各參與方的定義見表5，各參與方示例見附錄A。表5政務(wù)大數(shù)據(jù)流轉(zhuǎn)維度的參與方角色定義數(shù)據(jù)提供者向政務(wù)大數(shù)據(jù)域提供數(shù)據(jù)的組織、個(gè)人數(shù)據(jù)接收者從政務(wù)大數(shù)據(jù)域接收數(shù)據(jù)的組織、個(gè)人一個(gè)組織或個(gè)人可以承擔(dān)多個(gè)維度的多個(gè)參與方角色，同一維度的一個(gè)參與方角色也可以對應(yīng)多個(gè)組織或個(gè)人。政務(wù)大數(shù)據(jù)域應(yīng)滿足以下通用安全要求：GB/T22239GB/T39786GB/T35273GB/T35274GB/T38664.2GB/T39477DB11/T1918GB/T37988GB/T20269GB/T20271數(shù)據(jù)控制者應(yīng)滿足以下安全要求：a）獲得數(shù)據(jù)提供者的授權(quán)，并在授權(quán)范圍內(nèi)合法處理數(shù)據(jù)；b）對數(shù)據(jù)生產(chǎn)者數(shù)據(jù)生產(chǎn)行為進(jìn)行授權(quán)和監(jiān)督管理；c）f）在發(fā)現(xiàn)可能違反法律、行政法規(guī)或者侵犯他人等合法權(quán)益時(shí)，立即采取應(yīng)急處置措施。數(shù)據(jù)生產(chǎn)者應(yīng)滿足以下安全要求：6DB11/T2049—2022h）記錄數(shù)據(jù)生產(chǎn)過程。數(shù)據(jù)提供者應(yīng)滿足以下安全要求：數(shù)據(jù)使用者應(yīng)滿足以下安全要求：數(shù)據(jù)控制者應(yīng)滿足以下安全要求：a）獲得數(shù)據(jù)提供者的授權(quán)，并在授權(quán)范圍內(nèi)處理數(shù)據(jù)；b）對數(shù)據(jù)加工者進(jìn)行授權(quán)，明確授權(quán)目的和范圍；檔等相關(guān)要求；數(shù)據(jù)加工在合法授權(quán)范圍內(nèi)，禁止未經(jīng)授權(quán)的操作行為；的數(shù)據(jù)加工行為進(jìn)行審計(jì)；數(shù)據(jù)加工者應(yīng)滿足以下安全要求：a）獲得數(shù)據(jù)控制者的授權(quán)，并在授權(quán)范圍內(nèi)合法加工數(shù)據(jù)；b）全面準(zhǔn)確理解數(shù)據(jù)加工安全需求；數(shù)據(jù)控制者應(yīng)滿足以下安全要求：a）獲得數(shù)據(jù)提供者的授權(quán)，并在授權(quán)范圍內(nèi)合法共享數(shù)據(jù)；b）對數(shù)據(jù)接收者進(jìn)行授權(quán)，明確授權(quán)目的和范圍；7DB11/T2049—2022措施，保證數(shù)據(jù)共享安全；f）g）數(shù)據(jù)控制者應(yīng)滿足以下安全要求：a）獲得數(shù)據(jù)提供者的授權(quán)，并在授權(quán)范圍內(nèi)合法開放數(shù)據(jù)；b）對數(shù)據(jù)使用者進(jìn)行授權(quán)，明確授權(quán)目的和范圍；社會(huì)開放；數(shù)據(jù)使用者應(yīng)滿足以下安全要求：數(shù)據(jù)控制者應(yīng)滿足以下安全要求：a）獲得數(shù)據(jù)提供者授權(quán)，并在合法范圍內(nèi)運(yùn)營數(shù)據(jù)；b）對數(shù)據(jù)運(yùn)營者進(jìn)行授權(quán)，明確授權(quán)的目的和范圍；c）建立數(shù)據(jù)運(yùn)營規(guī)范，保證數(shù)據(jù)運(yùn)營安全；d）審核運(yùn)營數(shù)據(jù)的應(yīng)用場景，確保運(yùn)營數(shù)據(jù)使用沒有超出提供者的授權(quán)范圍；e）具備對政務(wù)數(shù)據(jù)運(yùn)營過程的安全審計(jì)能力，定期對數(shù)據(jù)運(yùn)營行為進(jìn)行審計(jì)；f）數(shù)據(jù)運(yùn)營者應(yīng)滿足以下安全要求：d）支持基于區(qū)塊鏈和數(shù)字水印技術(shù)實(shí)現(xiàn)對數(shù)據(jù)運(yùn)營服務(wù)過程的溯源；e）涉及數(shù)據(jù)交易活動(dòng)的，提供證明數(shù)據(jù)交易合法性的授權(quán)文件；8DB11/T2049—2022f）不得非法向他人轉(zhuǎn)讓授權(quán)運(yùn)營的數(shù)據(jù)。數(shù)據(jù)使用者應(yīng)滿足以下安全要求：政務(wù)大數(shù)據(jù)域間協(xié)同應(yīng)滿足以下通用安全要求：保護(hù)數(shù)據(jù)相關(guān)方合法權(quán)益；等級；中數(shù)據(jù)的安全性和完整性；數(shù)據(jù)生產(chǎn)域應(yīng)滿足以下安全要求：a）明確數(shù)據(jù)加工限制和約束條件，確保數(shù)據(jù)加工不能損害相關(guān)權(quán)利人的合法權(quán)益；b）按照最小化原則提供用于加工的數(shù)據(jù)；c）采取相應(yīng)的措施，控制數(shù)據(jù)加工者對數(shù)據(jù)的訪問。數(shù)據(jù)加工域應(yīng)滿足以下安全要求：a）接受加工委托時(shí)，提供其安全保障能力的證明材料；b）驗(yàn)證接收數(shù)據(jù)的完整性及與數(shù)據(jù)加工需求的一致性；c）將加工過程中發(fā)現(xiàn)異常數(shù)據(jù)及時(shí)告知對方，涉及敏感數(shù)據(jù)的在告知時(shí)應(yīng)進(jìn)行加密傳輸。數(shù)據(jù)加工域應(yīng)滿足以下安全要求：9DB11/T2049—2022數(shù)據(jù)共享域應(yīng)滿足以下安全要求：數(shù)據(jù)生產(chǎn)域應(yīng)滿足以下安全要求：a）明確用于共享的數(shù)據(jù)的共享方式、范圍、時(shí)效、授權(quán)條件及其他限制條件；b）使用共享數(shù)據(jù)時(shí)，嚴(yán)格按共享規(guī)則使用，并對共享數(shù)據(jù)進(jìn)行有效保護(hù)；c）將使用過程中發(fā)現(xiàn)異常數(shù)據(jù)及時(shí)告知數(shù)據(jù)提供者，涉及敏感數(shù)據(jù)的在告知時(shí)應(yīng)進(jìn)行加密傳輸。數(shù)據(jù)共享域應(yīng)滿足以下安全要求：數(shù)據(jù)開放域應(yīng)及時(shí)發(fā)現(xiàn)禁止開放的敏感數(shù)據(jù)和個(gè)人信息，并告知數(shù)據(jù)提供者。數(shù)據(jù)共享域應(yīng)滿足以下安全要求：a）嚴(yán)格按照數(shù)據(jù)提供者的授權(quán)，遵照數(shù)據(jù)開放目錄和開放計(jì)劃，向數(shù)據(jù)開放域提供數(shù)據(jù)；b）確保提供開放的數(shù)據(jù)不包含個(gè)人信息或敏感數(shù)據(jù)。數(shù)據(jù)運(yùn)營域應(yīng)滿足以下安全要求：a）提供其安全保障能力證明材料并獲得數(shù)據(jù)運(yùn)營授權(quán)；b）未經(jīng)提供者許可，不得留存共享獲得的數(shù)據(jù)；c）在數(shù)據(jù)運(yùn)營過程中，及時(shí)發(fā)現(xiàn)不在授權(quán)范圍內(nèi)的重要數(shù)據(jù)和個(gè)人信息，并通知數(shù)據(jù)提供者；d）定期向共享域報(bào)告數(shù)據(jù)安全運(yùn)營情況，并提供相應(yīng)的數(shù)據(jù)安全運(yùn)營分析報(bào)告。數(shù)據(jù)共享域應(yīng)滿足以下安全要求：的合法權(quán)益；10DB11/T2049—2022d）不同政務(wù)部門的數(shù)據(jù)共享域之間交換數(shù)據(jù)時(shí)應(yīng)滿足以下安全要求：e）數(shù)據(jù)提供者和數(shù)據(jù)接收者應(yīng)具備對政務(wù)數(shù)據(jù)交換過程的追溯和安全審計(jì)能力，定期對數(shù)據(jù)交換行為進(jìn)行評估和審計(jì)，并及時(shí)處置存在的問題。平臺運(yùn)營者應(yīng)滿足以下安全要求：GB/T22239GB/T39786GB/T35274GB/T35273安全保護(hù)；按照GB/T37988務(wù)的能力，以滿足各政務(wù)大數(shù)據(jù)域的安全需求；并及時(shí)進(jìn)行應(yīng)急處置。11DB11/T2049—2022附錄A（資料性）域內(nèi)資源、資產(chǎn)及參與方示例根據(jù)大數(shù)據(jù)應(yīng)用場景的不同，各政務(wù)大數(shù)據(jù)域中所包含的資源和資產(chǎn)各不相同，表A.1給出了各域所包含的資源和資產(chǎn)示例。表A.1政務(wù)大數(shù)據(jù)域的資源和資產(chǎn)示例域類型資源和資產(chǎn)數(shù)據(jù)生產(chǎn)域政務(wù)部門門戶網(wǎng)站、政務(wù)信息系統(tǒng)等及相關(guān)數(shù)據(jù)數(shù)據(jù)加工域數(shù)據(jù)清洗、數(shù)據(jù)加工平臺等及相關(guān)數(shù)據(jù)數(shù)據(jù)共享域共享交換平臺、目錄區(qū)塊鏈系統(tǒng)等及相關(guān)數(shù)據(jù)數(shù)據(jù)開放域政務(wù)數(shù)據(jù)開放網(wǎng)站等及相關(guān)數(shù)據(jù)數(shù)據(jù)運(yùn)營域金融專區(qū)、空間專區(qū)等數(shù)據(jù)專區(qū)及相關(guān)數(shù)據(jù)表A.2給出了政務(wù)大數(shù)據(jù)處理維度的參與方的示例。表A.2政務(wù)大數(shù)據(jù)處理維度的參與方示例參與方示例數(shù)據(jù)生產(chǎn)者政務(wù)部門、生產(chǎn)數(shù)據(jù)的企業(yè)等數(shù)據(jù)控制者政務(wù)部門等數(shù)據(jù)加工者信息技術(shù)服務(wù)外包機(jī)構(gòu)等數(shù)據(jù)運(yùn)營者金融專區(qū)、空間專區(qū)等數(shù)據(jù)專區(qū)運(yùn)營企業(yè)等數(shù)據(jù)使用者個(gè)人、企業(yè)、政務(wù)部門等平臺運(yùn)營者政務(wù)部門、信