DB3301_T0276-2018_政务数据共享安全管理规范_杭州市 .docxVIP

DB3301_T0276-2018_政务数据共享安全管理规范_杭州市 .docx

  1. 1、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。。
  2. 2、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  3. 3、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
  4. 4、该文档为VIP文档,如果想要下载,成为VIP会员后,下载免费。
  5. 5、成为VIP后,下载本文档将扣除1次下载权益。下载后,不支持退款、换文档。如有疑问请联系我们
  6. 6、成为VIP后,您将拥有八大权益,权益包括:VIP文档下载权益、阅读免打扰、文档格式转换、高级专利检索、专属身份标志、高级客服、多端互通、版权登记。
  7. 7、VIP文档为合作方或网友上传,每下载1次, 网站将根据用户上传文档的质量评分、类型等,对文档贡献者给予高额补贴、流量扶持。如果你也想贡献VIP文档。上传文档
查看更多

ICS35.240.01

L70 DB3301浙江省杭州 市 地 方 标 准

DB3301/T0276—2018

政务数据共享安全管理规范

DB3301/T0276—2018

前 言

本标准按照GB/T1.1-2009给出的规则起草。本标准由杭州市数据资源管理局提出并归口。

本标准主要起草单位:杭州市数据资源管理局、杭州安恒信息技术股份有限公司、阿里云计算有限公司、阿里巴巴(中国)有限公司、浙江蚂蚁小微金融服务集团、浙江鸿程计算机系统有限公司。

本标准主要起草人:齐同军、周俊、黄雪峰、张敏翀、陈彩芳、陈树鹏、孙茂阳、徐飞。

DB3301/T0276—2018

政务数据共享安全管理规范

1 范围

本标准规定了政务数据共享的总则、基本要求、数据归集安全、数据传输安全、数据存储安全、数据处理安全、数据共享安全和数据销毁安全。

本标准适用于非涉密政务数据共享安全管理。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其必威体育精装版版本(包括所有的修改单)适用于本文件。

GB/T25069

GB/T35295

信息安全技术术语

信息技术大数据术语

3 术语和定义

DB3301/T0276—2018

3.7

服务第三方提供相关服务的供应方,包括但不限于基础设施服务提供者、网络环境服务提供者、应用服务提供

者、数据服务提供者、安全服务提供者。3.8

数据管理者政务数据的管理者,由政府赋予政务数据管理职能的行政机构。

4 总则

4.1 政务数据共享安全管理采取主动防御、综合防范方针,坚持保障政务数据安全与促进应用发展相协调、管理与技术并重的原则,实行统一协调、分工负责、分级管理。各参与方单位数据安全和信息化工作应同步规划、同步建设、同步运行。

4.2 政务数据共享安全要求包括通用安全要求,以及数据归集、数据传输、数据存储、数据处理、数据共享和数据销毁等流程环节安全要求。各参与方应根据自身角色和责任遵照执行。

4.3 支撑政务数据共享的平台基础设施和网络应符合国家等级保护和关键信息基础设施保护的相关法规和标准。

5 基本要求

DB3301/T0276—2018

a) 应固化员工入职、转岗、离职的人力资源流程,及时将人员的变更通知到相关方;b) 应及时调整人员变化所涉及的账号权限的赋权、更改和回收;

c) 应制定与各参与方人员的标准合同协议,以约束相关人员与组织的数据安全责任;

d) 应建立离任审计机制,对关键人员的离任进行审查,及时回收相关资源和授权,并对其在任期中的行为进行评估,分析是否存在滥用职权、弄虚作假、以权谋私等情况。

5.4 数据资产管理

数据资产管理安全要求包括:

a) 应制定数据资产安全管理制度,明确数据资产安全管理目标和安全原则、数据资产的全生命周期管理要求、资产登记要求和分类标记要求,并针对安全管理制度执行定期审核和更新;

b) 应建立数据资产登记机制,形成整体的数据资产清单,明确数据资产安全责任主体及相关方,并及时更新数据资产相关信息;

c) 应建立和实施数据资产分类和标记规范,包括:分类分级规定、元数据管理规范、操作指南、变更审批流程。根据分类管理要求,建立相应的标记策略、访问控制、数据加解密、数据脱敏等安全机制和管控措施;

d) 宜建立技术工具执行资产登记、分类标记等,实现自动化的属性标识工作。

5.5 数据供应链管理

数据供应链管理安全要求包括:

a) 应建立数据提供者、数据使用者、服务第三方安全管理规范,定义数据安全目标、原则和范围,

DB3301/T0276—2018

c) 应建立统一的数据访问和操作的日志记录和分析技术工具,该技术工具可对各类数据访问和操作的日志进行统一的处理和分析,实现对数据异常访问和操作的告警,实现对数据滥用、违规使用、缔约过失、越权使用等行为的识别、监控、预警和追责;

d) 应对服务第三方实施的安全控制措施、变更管理、应急响应等进行持续监管,通过技术措施或文件审核等方式对服务第三方承诺的安全控制项进行评估验证;

e) 应建立针对敏感数据的动态可持续的数据风险监管体系,周期性的对敏感数据的脆弱性、面临的安全威胁、安全措施的有效性等内容进行风险评估。

5.8 终端数据管理

终端管理安全要求包括:

a) 应制订面向终端的数据安全管理规范,明确终端层面的数据防泄漏管理要求;

b) 应为进入城市大脑内部网络环境的终端设备分配终端识别号,并实现终端设备与用户账号的一对一绑定;

c) 应建立并实施整体的终端安全解决方案,实现终端设备与组织机构内部员工的有效绑定,按照统一的部署标准在终

您可能关注的文档

文档评论(0)

WZF2025 + 关注
实名认证
文档贡献者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档