DB11∕T 2049-2022 政務(wù)大數(shù)據(jù)安全技術(shù)框架

標準分享吧北DB11Technicalframeworkofg北京市市場監(jiān)督管理局發(fā)布標準分享吧 1 1 1 2 6 9 I本文件按照GB/T1.1—2020《標準化工作導(dǎo)則第1部分：標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)本文件起草單位：北京市大數(shù)據(jù)中心、中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、北京信息安全測評中心、聯(lián)通數(shù)字科技有限公司、北京數(shù)字認證股份有限公司、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、廈北京啟明星辰信息安全技術(shù)有限公司、京信數(shù)據(jù)政務(wù)大數(shù)據(jù)安全技術(shù)框架本文件適用于指導(dǎo)政務(wù)部門以及參與政務(wù)大數(shù)據(jù)處理活動的相關(guān)組織開展政務(wù)大數(shù)據(jù)安全技術(shù)GB/T20269信息技術(shù)大數(shù)據(jù)大數(shù)據(jù)GB/T20271信息安全技術(shù)信息系統(tǒng)通用安全GB/T35273信息安全技術(shù)個人信息GB/T35274信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力GB/T38664.2信息技術(shù)大數(shù)據(jù)政務(wù)數(shù)據(jù)開放共享第2部分GB/T39477信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用DB11/T1918政務(wù)數(shù)據(jù)分級與安全政務(wù)大數(shù)據(jù)governmentbi1政務(wù)大數(shù)據(jù)域governmentbigdata政務(wù)大數(shù)據(jù)參與方participantofgovernmentbi4政務(wù)大數(shù)據(jù)安全技術(shù)框架的構(gòu)成工域、數(shù)據(jù)共享域、數(shù)據(jù)開放域、數(shù)據(jù)運營域等政務(wù)大數(shù)據(jù)域；政務(wù)大數(shù)據(jù)基礎(chǔ)設(shè)施為24.2.1政務(wù)大數(shù)據(jù)域類型4.2.2政務(wù)大數(shù)據(jù)域間協(xié)同關(guān)系政務(wù)大數(shù)據(jù)在同一政務(wù)部門內(nèi)的政務(wù)大數(shù)據(jù)域之3政務(wù)大數(shù)據(jù)在不同政務(wù)部門間通過數(shù)據(jù)共享域?qū)嵅煌?wù)大數(shù)據(jù)域之間進行數(shù)據(jù)流動時，應(yīng)按照協(xié)議或者約定進行安全協(xié)作聯(lián)動和互相配/●●//●/●//●●●●●//●////●//4.3政務(wù)大數(shù)據(jù)基礎(chǔ)設(shè)施政務(wù)大數(shù)據(jù)基礎(chǔ)設(shè)施包括基礎(chǔ)資源平臺和基礎(chǔ)安全平臺等。基礎(chǔ)資源平臺為政務(wù)大數(shù)據(jù)動提供統(tǒng)一的算力、存儲和網(wǎng)絡(luò)等基礎(chǔ)資源服務(wù)；基礎(chǔ)安全平臺為政務(wù)大數(shù)據(jù)處理活動44.4.1政務(wù)大數(shù)據(jù)處理維度的參與方根據(jù)參與方在政務(wù)大數(shù)據(jù)處理過程中的角色類型，政務(wù)大數(shù)據(jù)參與方可分為數(shù)據(jù)控制者、數(shù)據(jù)方與政務(wù)大數(shù)據(jù)域、政務(wù)大數(shù)據(jù)基礎(chǔ)設(shè)施的關(guān)系見表4，各參與表4政務(wù)大數(shù)據(jù)處理維度的參與方與政務(wù)大數(shù)據(jù)域●●//●●●/●//●●////●●///●●●//●●●/////●/////●54.4.2政務(wù)大數(shù)據(jù)流轉(zhuǎn)維度的參與方根據(jù)政務(wù)大數(shù)據(jù)在數(shù)據(jù)流轉(zhuǎn)過程中的角色類型，政務(wù)大數(shù)據(jù)參與方可分為數(shù)據(jù)提供者一個組織或個人可以承擔多個維度的多個參與方角色，同一維度的一個參與方5政務(wù)大數(shù)據(jù)域安全要求c）政務(wù)大數(shù)據(jù)域的參與方應(yīng)按照GB/T37988對自身數(shù)據(jù)安5.2數(shù)據(jù)生產(chǎn)域a）獲得數(shù)據(jù)提供者的授權(quán)，并在授權(quán)范圍內(nèi)合d）具備對政務(wù)數(shù)據(jù)生產(chǎn)過程的安全審計能力，定期對數(shù)據(jù)生產(chǎn)者的數(shù)據(jù)生產(chǎn)e）制定安全策略并采取相應(yīng)的安全措施，a）遵守政務(wù)數(shù)據(jù)生產(chǎn)規(guī)程，在控制者授權(quán)范圍內(nèi)進65.3數(shù)據(jù)加工域a）獲得數(shù)據(jù)提供者的授權(quán)，并在授權(quán)范圍b）對數(shù)據(jù)加工者進行授權(quán)，明確授權(quán)目的和范a）獲得數(shù)據(jù)控制者的授權(quán)，并在授權(quán)范圍內(nèi)合c）對數(shù)據(jù)進行分類分級，建立數(shù)據(jù)資源目5.4數(shù)據(jù)共享域a）獲得數(shù)據(jù)提供者的授權(quán)，并在授權(quán)范圍內(nèi)合b）對數(shù)據(jù)接收者進行授權(quán)，明確授權(quán)目的和范78f）具備對政務(wù)數(shù)據(jù)共享過程安全審計能力，定期對數(shù)據(jù)共5.5數(shù)據(jù)開放域a）獲得數(shù)據(jù)提供者的授權(quán)，并在授權(quán)范圍內(nèi)合b）對數(shù)據(jù)使用者進行授權(quán)，明確授權(quán)目的和范e）具備對政務(wù)數(shù)據(jù)開放過程的安全審計能力，定期對5.6數(shù)據(jù)運營域b）對數(shù)據(jù)運營者進行授權(quán)，明確授權(quán)的目的和a）獲得數(shù)據(jù)控制者的授權(quán)，并基于授權(quán)和數(shù)據(jù)運營規(guī)范合法c）制定數(shù)據(jù)運營安全策略，采取技術(shù)和管理措施，d）支持基于區(qū)塊鏈和數(shù)字水印技術(shù)實現(xiàn)對數(shù)據(jù)9b）保證數(shù)據(jù)使用環(huán)境和使用過程的安全性，以防數(shù)據(jù)的泄露和濫b）數(shù)據(jù)提供者應(yīng)對數(shù)據(jù)接收者進行授權(quán)，明確數(shù)據(jù)權(quán)責是否全部或部分轉(zhuǎn)移給接收者；c）數(shù)據(jù)接收者應(yīng)采取必要的技術(shù)手段和管控手段g）平臺運營者應(yīng)制定域間安全訪問策略，并實施a）接受加工委托時，提供其安全保障能力b）驗證接收數(shù)據(jù)的完整性及與數(shù)據(jù)加工需求的一致c）將加工過程中發(fā)現(xiàn)異常數(shù)據(jù)及時告知對方，涉及敏感數(shù)據(jù)的在告知a）接受加工委托時，提供其安全保障能力b）驗證接收數(shù)據(jù)的完整性及與數(shù)據(jù)加工需求的一致c）將加工過程中發(fā)現(xiàn)異常數(shù)據(jù)及時告知對方，涉及敏感數(shù)據(jù)的在告知b）及時準確、完整的接收需要加工的數(shù)據(jù)，并提供給數(shù)據(jù)加工者；數(shù)據(jù)開放域應(yīng)及時發(fā)現(xiàn)禁止開放的敏感數(shù)據(jù)和個人信息，并告知數(shù)a）提供其安全保障能力證明材料并獲得數(shù)b）未經(jīng)提供者許可，不得留存共享獲得的d）定期向共享域報告數(shù)據(jù)安全運營情況，并提供相應(yīng)的數(shù)據(jù)b）數(shù)據(jù)提供者應(yīng)建立敏感數(shù)據(jù)的脫敏安全策略，并按照安全要求進行脫敏；d）數(shù)據(jù)接收者應(yīng)建立檢查機制，保障共享數(shù)據(jù)安全策略b）按照GB/T37988的要求對自身數(shù)據(jù)安全保護能力進行評定；f）實時監(jiān)測政務(wù)大數(shù)據(jù)基礎(chǔ)設(shè)施的安全狀況，及時對信息安全隱患和事件進g）制定網(wǎng)絡(luò)安全應(yīng)急預(yù)案，定期開展應(yīng)急演練，按A.1政務(wù)大數(shù)據(jù)域的資源和資產(chǎn)示例A.2政務(wù)大數(shù)據(jù)處理維度的參與方示例A.3政務(wù)大數(shù)據(jù)流轉(zhuǎn)維度的參與方示例域接收數(shù)據(jù)，相應(yīng)的，數(shù)據(jù)生產(chǎn)者就是數(shù)據(jù)提供者，數(shù)當