DB52T 1557-2021 大數(shù)據(jù)開放共享安全管理規(guī)范

DB52DB52/T1557—2021大數(shù)據(jù)開放共享安全管理規(guī)范Securitymanagementspecificationforopeningandsharingofbigdata2021-01-14發(fā)布2021-05-01實(shí)施貴州省市場(chǎng)監(jiān)督管理局發(fā)布I 1 1 1 2 3 4 6 1大數(shù)據(jù)開放共享安全管理規(guī)范2規(guī)范性引用文件僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本(包括所有的修訂單)適用于本GB/T22239信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求3術(shù)語和定義23e)數(shù)據(jù)流通服務(wù)機(jī)構(gòu)職責(zé)：組織、協(xié)調(diào)和指導(dǎo)數(shù)據(jù)流通平臺(tái)的建設(shè)、使用和開發(fā)工作；組織對(duì)數(shù)據(jù)流通平臺(tái)的安全檢查和風(fēng)險(xiǎn)評(píng)估；監(jiān)督和指導(dǎo)數(shù)據(jù)流通的日常管理、業(yè)務(wù)流轉(zhuǎn)、運(yùn)行維護(hù)等經(jīng)營(yíng)活動(dòng)；對(duì)數(shù)據(jù)流通參與方的注冊(cè)信息進(jìn)行審核；審查和確定數(shù)據(jù)流通平臺(tái)用戶的行為和權(quán)限；建立和執(zhí)行針對(duì)數(shù)據(jù)流通各參與方的安全監(jiān)管、審計(jì)制度和流程；建立和執(zhí)行針對(duì)數(shù)據(jù)銷毀的安全監(jiān)管、審計(jì)制度和流程。4.3人員要求數(shù)據(jù)流通服務(wù)機(jī)構(gòu)應(yīng)滿足以下要求：a)建立數(shù)據(jù)流通安全領(lǐng)導(dǎo)小組，由機(jī)構(gòu)最高管理者或授權(quán)代表擔(dān)任組長(zhǎng)；b)建立數(shù)據(jù)流通安全管理職能部門，設(shè)立安全管理負(fù)責(zé)人崗位，明確安全責(zé)任；c)設(shè)立數(shù)據(jù)流通系統(tǒng)管理員、安全管理員、安全審計(jì)員等崗位，明確各崗位的安全職責(zé)；d)對(duì)數(shù)據(jù)流通重要崗位人員進(jìn)行安全審查和技術(shù)考核，確保無違法違規(guī)記錄；e)對(duì)數(shù)據(jù)流通重要崗位人員簽署安全保密協(xié)議，與重要崗位人員簽署崗位責(zé)任協(xié)議；f)對(duì)數(shù)據(jù)流通各類崗位人員制定和實(shí)施培訓(xùn)計(jì)劃，培訓(xùn)內(nèi)容包括安全意識(shí)、專項(xiàng)技能等，具備與崗位要求相適應(yīng)的安全管理知識(shí)和專業(yè)技術(shù)水平；g)對(duì)第三方人員進(jìn)行安全管理，對(duì)于可能接觸流通數(shù)據(jù)的第三方人員，簽署安全保密協(xié)議。4.4制度要求數(shù)據(jù)流通服務(wù)機(jī)構(gòu)應(yīng)滿足以下要求：a)根據(jù)數(shù)據(jù)流通的安全需求和安全目標(biāo)，結(jié)合自身實(shí)際情況，制定明確的數(shù)據(jù)流通安全管理策略；b)建立和執(zhí)行安全責(zé)任制度，實(shí)行領(lǐng)導(dǎo)責(zé)任制，明確各崗位應(yīng)承擔(dān)的責(zé)任和義務(wù)；c)建立和執(zhí)行安全工作制度，包括人員、物理設(shè)施與環(huán)境、運(yùn)行與開發(fā)、數(shù)據(jù)安全和個(gè)人信息安d)為數(shù)據(jù)流通管理人員或操作人員執(zhí)行的管理或業(yè)務(wù)操作建立操作規(guī)程；e)定期對(duì)數(shù)據(jù)流通服務(wù)安全管理策略、制度和規(guī)程進(jìn)行評(píng)審，并及時(shí)進(jìn)行更新。5數(shù)據(jù)流通5.1數(shù)據(jù)開放數(shù)據(jù)開放服務(wù)參考框架如圖1所示。數(shù)據(jù)開放涉及到數(shù)據(jù)提供方、數(shù)據(jù)接收方和數(shù)據(jù)流通服務(wù)機(jī)構(gòu)。數(shù)據(jù)流通服務(wù)機(jī)構(gòu)依托數(shù)據(jù)流通平臺(tái)，制定數(shù)據(jù)流通安全管理保障措施，為數(shù)據(jù)提供方、數(shù)據(jù)接收方提供數(shù)據(jù)開放服務(wù)。數(shù)據(jù)開放包括數(shù)據(jù)準(zhǔn)備、數(shù)據(jù)發(fā)布和開放結(jié)束。4數(shù)據(jù)流通服務(wù)機(jī)構(gòu)數(shù)據(jù)流通服務(wù)機(jī)構(gòu)數(shù)據(jù)開放數(shù)據(jù)準(zhǔn)備數(shù)據(jù)發(fā)布開放結(jié)束數(shù)據(jù)流通平臺(tái)數(shù)據(jù)流通安全管理保障數(shù)據(jù)流通安全管理保障數(shù)據(jù)接收方數(shù)據(jù)提供方56.1.2.1數(shù)據(jù)安全要求參與開放的數(shù)據(jù)應(yīng)滿足以下要求：a)應(yīng)確保通過合同或其他諸如強(qiáng)制的內(nèi)部策略等明確界定數(shù)據(jù)接收方接收的數(shù)據(jù)范圍和要求，確保其提供同等或更高的數(shù)據(jù)保護(hù)水平；b)應(yīng)采用防計(jì)算機(jī)病毒系統(tǒng)對(duì)數(shù)據(jù)進(jìn)行安全性掃描，確保數(shù)據(jù)的安全可靠；c)應(yīng)是真實(shí)可靠的數(shù)據(jù)，不應(yīng)有蓄意偽造、篡改等造成數(shù)據(jù)污染的行為；d)不應(yīng)攜帶涉密、商業(yè)秘密、隱私等敏感信息及違法信息。6.1.2.2數(shù)據(jù)分類要求應(yīng)對(duì)開放數(shù)據(jù)進(jìn)行分類，數(shù)據(jù)分類應(yīng)滿足以下要求：a)數(shù)據(jù)分類應(yīng)易于理解；b)應(yīng)形成文檔化的數(shù)據(jù)分類條目，便于查詢。6.1.3訪問控制策略6.1.3.1策略制定應(yīng)根據(jù)數(shù)據(jù)提供方數(shù)據(jù)開放的需求和目標(biāo)，結(jié)合數(shù)據(jù)接收方的實(shí)際需求，按照最小授權(quán)原則，制定明確的數(shù)據(jù)開放訪問控制策略。6.1.3.2策略更新應(yīng)根據(jù)數(shù)據(jù)提供方數(shù)據(jù)開放的需求和目標(biāo)、數(shù)據(jù)接收方的需求、數(shù)據(jù)流通平臺(tái)的變化情況，及時(shí)調(diào)整現(xiàn)有的訪問控制策略，動(dòng)態(tài)保障數(shù)據(jù)流通平臺(tái)的訪問權(quán)限。6.1.4方案設(shè)計(jì)要求數(shù)據(jù)流通服務(wù)機(jī)構(gòu)進(jìn)行數(shù)據(jù)開放應(yīng)制定詳細(xì)方案，方案設(shè)計(jì)應(yīng)滿足以下要求：a)方案設(shè)計(jì)前應(yīng)進(jìn)行安全性及數(shù)據(jù)泄露風(fēng)險(xiǎn)評(píng)估，根據(jù)評(píng)估結(jié)果確定應(yīng)采取的保護(hù)措施；b)應(yīng)自行或組織具有相應(yīng)能力的承建單位承擔(dān)數(shù)據(jù)開放方案的設(shè)計(jì)；c)應(yīng)聯(lián)合數(shù)據(jù)提供方對(duì)設(shè)計(jì)方案進(jìn)行審查論證。6.2數(shù)據(jù)發(fā)布安全6.2.1數(shù)據(jù)流通平臺(tái)安全數(shù)據(jù)流通平臺(tái)應(yīng)滿足以下要求：a)符合GB/T22239中第3級(jí)的相關(guān)安全要求；b)采用的密碼技術(shù)應(yīng)遵循相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。6.2.2數(shù)據(jù)傳輸安全數(shù)據(jù)傳輸應(yīng)滿足以下要求：a)應(yīng)對(duì)數(shù)據(jù)接收方進(jìn)行身份鑒別；b)應(yīng)采用密碼技術(shù)進(jìn)行數(shù)據(jù)傳輸保護(hù)，采用的密碼技術(shù)應(yīng)遵循相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。6.2.3數(shù)據(jù)安全審計(jì)數(shù)據(jù)開放過程應(yīng)滿足以下安全審計(jì)要求：67d)不應(yīng)攜帶涉密、商業(yè)秘密、隱私b)應(yīng)形成文檔化的數(shù)據(jù)分類條目，便于查詢。a)方案設(shè)計(jì)前應(yīng)進(jìn)行