浙江省地方標準DB33T2488-2022公共數據安全體系評估規(guī)

33I III IV 1 1 1 2 2 2 3 3 3 3 4 4 4 4 4 5 5 5 5 5 6 6 6 6 6 7 7 7 7 8 8 8 8 8 8 9 9 9 10A.1現狀分析 10A.2建設內容 10A.3建設成效 11 12 13 14 15 16請注意本標準的某些內容可能涉及專利。本標準的發(fā)布機構不承擔識別專利的責任。本標準由浙江省大數據發(fā)展管理局提出、歸口并組局、臺州市大數據發(fā)展管理局、麗水市大數據發(fā)展——公共數據分類分級指南（DB33/T2351—21公共數據安全體系建設指南本標準不適用于涉及國家秘密的公共數據及相關處GB/T37973信息安全技術大數據安全管理GB/T39477信息安全技術政務信息共享數據安全技術要求DB33/T2350數字化改革術DB33/T2351公共數據分類分級GB/T25069、GB/T37973、GB/T394772用戶行為畫像userbehavior4總體原則及架構4.1.1權責一致公共數據安全體系建設宜遵循誰收集誰負責、誰使用誰負責、誰運行誰4.1.2分級管理4.1.3全程可控4.1.4持續(xù)優(yōu)化4.1.5協(xié)調發(fā)展4.2體系架構35.1制度規(guī)范子體系架構境等相關場景要求?？砂凑杖壖軜嫿⒐矓祿踩贫纫?guī)范5.2數據分類分級管理制度a)公共數據分類分級原則、要求、維度和方法等；b)公共數據分類分級操作指南和工作流程等；c)公共數據類別和級別的變更場景、變更申請審批流程及變更工作要求等；5.3數據訪問權限管理制度4c)公共數據訪問賬號權限分配、開通、使用、變更、重置、鎖定、注銷等的申請審批流程；d)具備超級管理員權限或數據批量復制、處理、導出和刪除等高風險操作權限賬號的安全要求5.4數據脫敏管理制度5.5數據共享和開放安全管理制度c)各類別和級別公共數據共享和開放的應用場景；d)各類別和級別公共數據共享和開放的工作流程；5.6數據安全銷毀管理制度a)各類別和級別公共數據銷毀對象；b)各類別和級別公共數據銷毀場景；5.7供應方安全管理制度a)供應方引入的安全管理要求，包括資質和背景安全審查等；5.8安全監(jiān)督檢查制度a)公共數據安全管理監(jiān)督檢查內容；b)公共數據安全管理監(jiān)督檢查方式；5c)公共數據安全管理監(jiān)督檢查工作周5.9安全日志審計制度5.10安全事件管理與應急響應制度a)公共數據安全事件分類分級方法；c)各類別公共數據安全應急預案編制及應急演練工作要求等?！矓祿踩O(jiān)測與預警技術等。a)數據源統(tǒng)一鑒別技術；h)數據備份與恢復技術；6k)數據有效銷毀技術等。a)公共數據訪問權限集中認證技術；b)公共數據訪問權限統(tǒng)一入口訪問；c)基于終端、網絡、系統(tǒng)、文件、數據b)接口安全監(jiān)測與預警技術；b)公共數據安全威脅的發(fā)現和識別；7——公共數據安全培訓等。a)公共數據安全決策方：領導公共數據安全管理工作，負責公共數據安b)公共數據安全管理方：根據相關法律法規(guī)和制度規(guī)范要求，參考本指南建立公系（包括制度規(guī)范子體系、技術防護子體系和運行管理子體系指導公共數據安全要求的c)公共數據安全執(zhí)行方：負責落實和配合公共數據安全管理工作；d)公共數據安全監(jiān)審方：對公共數據安全管理工作進行監(jiān)督、檢查和審計，落實公共數據安全e)公共數據安全管理負責人：宜委任具備公共數據安全管理相為公共數據安全管理負責人，為其提供人力、技術宜建立基于數據資源目錄的分類分級運行管理機b)公共數據訪問權限分配表建立和維護；g)高風險數據操作權限特殊管控工作等。宜建立公共數據共享和開放安全運行管理機b)公共數據共享和開放接口上線前安全檢查；e)公共數據共享和開放渠道（如批量共享、接口共享、文件導出、郵件、網絡、終端等）的敏8a)對公共數據處理環(huán)境安全、公共數據訪問權限管理、公共數據共享和開放安全管理、公共數據銷毀管理、個人信息使用等重要環(huán)節(jié)的安全管理工作落實情況和效果的安全檢查；b)安全檢查問題通知和整改；8.1.2評估工作全流程包含確定評估范圍、組建評估團隊、制定評估方案、實施評估、報告編制以及9a)初次系統(tǒng)性開展公共數據安全體系建設的；b)按照既定安全體系評估機制，周期性開展公共數據安全體系評估的；a)總體判斷評估對象的公共數據安全體系建設水平。評估結果可作為公共數據處理活動開展的b)研判公共數據安全體系風險隱患，發(fā)現公共數據安全防護的薄弱環(huán)節(jié)。針對評A.1現狀分析a)制度規(guī)范子體系。已制定出臺公共數據安全管理總則等綱領文件和公共數據安全銷毀管理、供應方安全管理、安全事件管理與應急響應、公共數據脫敏管理、安全日志審計和監(jiān)督檢查等相關配套制度。公共數據分類分級管理、公共數據開放及共享管理、公共數據訪問權限管b)技術防護子體系。數據共享和開放安全技術能力、訪問權限管理技術能力、全生命周期安全c)運行管理子體系。已具備安全管理負責人、安全日志監(jiān)審、安全培訓等運行管理，安全管理團隊也基本形成。數據訪問權限運行管理、安全監(jiān)督檢查的監(jiān)審方及監(jiān)審機制、安全事件應A.2建設內容A.2.1概述子體系三個方面開展，主要包括制定分類分權限管控、安全事件應急響應等運行管理機制。具體包括三個方A.2.2優(yōu)化公共數據安全制度規(guī)范子體系A.2.3提升公共數據安全技術防護子體系能力、數據動態(tài)脫敏能力，實現數據處理階段的安全；建立數據加密/脫敏、接口管控、血緣關系分析通過建立敏感數據監(jiān)測、安全風險監(jiān)測預警、通訊安全保密等能力，提升公共數據安全防護水平。A.2.4完善公共數據安全運行管理子體系A.3建設成效a)數據安全制度規(guī)范體系逐漸完善?，F行規(guī)范制度覆蓋面、合理性、可操作性方面得到優(yōu)化，新增分類分級、公共數據開放及共享等制度規(guī)范，指導開展義數據安全責任、事項操作流程，細化分解數據安全評價b)數據安全防護技術能力提升。公共數據脫敏等技術應用為數據安全流通提供了有效的安全處c)數據安全運行管理體系優(yōu)化改進。依托大數據平臺數據自動識別、數據標識、數據多維展現大幅上升。依據數據權限授予最小化原則，梳理并重新定義數據管控權限，規(guī)避數據權限不清造成的風險隱患。應急演練與應急實戰(zhàn)常態(tài)化，檢驗與調整優(yōu)化應急響應組織架構、響應等854Q301202106561243->854Q********64679001100413425->646Z*****LYAFR7OP3BC722222->***********7入7263002Y6091020864->7263***6727161662705304130->***********a)數據權限申請審批授予。按照數據權限分配、開通、使用、變更、重置、鎖定、注銷流程的b)數據權限常規(guī)性變更。針對人員離崗、人員崗位變動、系統(tǒng)迭代、系統(tǒng)下線等變更情況，及時進行權限回收，更新數據權限清單，保證c)數據權限定期核查。按照季度進行數據權限定期核查工作，對2021年第四季度數據權限核查結果記錄表a)事件判定。發(fā)現數據安全事件時（大數據平臺安全模塊告警、人工主動上報經監(jiān)測工作件分級”標準初步判定信息安全事件等級，并向應急協(xié)調小組報b)預案啟動。Ⅰ級和Ⅱ級事件(Ⅰ級最高）由應急協(xié)調小組組長下達應急預案啟動指令，并將事件情況上報監(jiān)管部門提供偵查、協(xié)助處理；Ⅲ級和Ⅳc)應急處置。由應急工作小組組長組織開展應急處置工作并協(xié)調內外部人員支撐，應急工