数据资源管理政务数据安全责任要求.docx

《数据资源管理政务数据安全责任要求.docx》由会员分享，可在线阅读，更多相关《数据资源管理政务数据安全责任要求.docx（8页珍藏版）》请在三一文库上搜索。

1、ICS点击此处添加ICS号点击此处添加中国标准文献分类号DB浙江省杭州市地方标准DB XX/ XXXXXXXXX数据资源管理 政务数据安全管理责任要求点击此处添加与国际标准一致性程度的标识XXXX-XX-XX发布XXXX-XX-XX实施发布DBXX/ XXXXXXXXX目次前言II1范围12规范性引用文件13术语和定义14缩略语25数据安全责任方通用要求26数据提供方安全职责26.1数据来源合法26.2数据管理27数据使用方安全职责37.1共享数据申请37.2共享数据管理38数据管理方安全职责38.1统筹协调38.2数据管理38.3安全监管48.4安全检查49服务第三方安全职责49.1通用要求

2、49.2数据服务安全职责59.3应用开发安全职责59.4监管服务安全职责5前言本标准按照GB/T 1.1-2009给出的规则起草。本标准由杭州市数据资源管理局提出并归口。本标准主要起草单位：杭州市数据资源管理局、萧山区数据资源管理局、杭州安恒信息技术股份有限公司、浙江鸿程计算机系统有限公司。本标准主要起草人：周俊、樊兴悦、郭鹏飞、齐同军、章建平、丁熙、任子骙、孙茂阳、赵忠、徐飞。5数据资源管理 政务数据安全管理责任要求1 范围本标准规范了政务数据资源管理过程中，数据提供方、数据使用方、数据管理方和服务第三方的数据安全职责。本标准适用于政务数据共享过程的数据安全责任划分。2 规范性引用文件下列文

3、件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 25069 信息安全技术 术语GB/T 37988 信息安全技术 数据安全能力成熟度模型GB/T 37973 信息安全技术 大数据安全管理指南3 术语和定义3.1数据安全责任方承担政务数据安全管理工作的相关单位，包括数据提供方、数据使用方、数据管理方和服务第三方。3.2数据管理方 由政府赋予政务数据管理职能的行政机构。3.3服务第三方 通过签订合同的方式，承担信息技术服务的商业机构。3.4公共数据工作平台开展政务数据共享工作的管理平台

4、3.5数据血缘数据在产生、传输、存储、处理、交换到销毁的全生命周期过程中，数据之间形成的可回溯的关联关系。3.6交付件对监管活动起到佐证作用的任何实体，包括但不限于各种文档、图片、录音、录像、实物、数据等，并以纸质、电子等形式有效保存。3.7数据服务提供数据采集、数据传输、数据存储、数据处理（包括计算、分析、可视化等）、数据交换、数据销毁等数据生存形态演变的一种网络信息服务。GB/T 35274 定义3.34 缩略语API 应用程序接口（Application Programming Interface）5 数据安全责任方通用要求数据安全责任方要求包括：a) 应按照谁主管、谁负责，谁提供、谁

5、负责，谁使用、谁负责，谁运营、谁负责的原则，在各自职责范围内，做好数据安全管理工作；b) 应明确数据安全责任方之间的安全责任边界，通过合同或其他有效措施，明确界定各方职责；涉及需要依赖另一方安全措施有效性的，责任由双方共同承担；c) 数据提供方、数据使用方、数据管理方可通过签订合同的方式，将数据安全管理和技术支撑工作外包给服务第三方，但安全责任不随服务外包而转移；d) 数据共享工作应通过公共数据工作平台进行，原则上不允许数据使用方与数据提供方私下进行数据的交换和共享；e) 应按照网络安全等级保护、关键信息基础设施保护等要求，制定并实施安全管理制度、规程和安全策略；f) 应保障各阶段数据血缘的完

6、整性，并提供相应的数据操作日志用于监管审计；g) 共享数据的使用期限应符合相关规定的要求，对超过申请使用期限的数据应进行销毁；h) 应建立数据安全培训机制，定期开展数据安全意识教育和安全专项技能培训，培训计划和培训内容应覆盖不同岗位人员的数据安全管理与技能要求。6 数据提供方安全职责6.1 数据来源合法数据提供方在采集政务数据过程中应满足以下要求：a) 应按照法定职责，采集政务数据资源，明确本部门数据采集范围、采集程序、维护规范，确保数据的准确性、完整性、时效性；b) 除法律、法规另有规定，应当遵循“一数一源”的原则，不得重复采集公共数据工作平台已有数据。6.2 数据管理数据提供方在进行数据管

7、理时，应满足以下要求：a) 应编制本部门政务数据资源目录，定义共享数据范围和保存期限；b) 应根据相关数据分类分级要求，设置数据标签；c) 应及时响应数据使用方的共享数据申请，按共享审批授权流程进行审批授权，提供共享数据；d) 应确保所提供共享数据的准确性、完整性、时效性。7 数据使用方安全职责7.1 共享数据申请数据使用方申请共享数据时，应满足以下要求：a) 应基于履职需要，进行共享数据申请；b) 申请共享数据时，应明确申请共享类型、申请依据（法律要求、履职需要等）、使用场景、使用系统及IP、使用时间、系统安全级别及措施、部署层级、日均调用量等具体使用需求。7.2 共享数据管理数据使用方使用

8、共享数据时，应满足以下要求：a) 应在所申请应用场景和应用系统范围内使用共享数据；b) 应根据获取共享数据的安全级别，提供不同等级的安全防护措施；c) 对所获取的共享数据进行融合加工分析时，应对新生成的结果数据设置相应等级数据标签，并落实相应等级的安全防护措施； d) 不应对脱敏后的个人信息和敏感数据进行再识别；e) 应对共享数据使用情况进行记录分析，确保数据正当使用；f) 应将超过使用时间的共享数据进行销毁。8 数据管理方安全职责8.1 统筹协调由数据管理方进行数据统筹协调管理工作，并满足以下要求：a) 应依照国家网络和数据安全法律、法规和标准，制定数据安全规章、政策和标准，指导其它数据安全

9、责任方开展数据安全管理工作；b) 应建立数据安全监测预警、信息通报和应急处置机制，制定数据安全应急预案，开展应急演练，通报数据安全事件，调查处理重大数据安全事件。8.2 数据管理数据管理方进行数据管理工作时，应满足以下要求：a) 应组织编制政务数据资源目录，对政务数据实行统一目录管理，明确数据提供方、共享开放属性等要素；b) 应牵头制定数据分类分级规则，对数据提供方提交的数据分类分级情况进行审核，对不符合要求的数据分类分级情况，责令数据提供方重新设置标签；c) 对数据使用方的数据共享申请进行二次审批，重点审核数据使用场景和时间是否与申请依据相符；d) 明确数据接口安全管理制度，包括数据接口安全

10、控制措施、接口适用范围、日均调用量，发布者和使用者权利与义务等，并定期审查发布的数据中是否含有违规信息；e) 对数据使用方的数据分析模型进行审核，确保衍生的数据不超过数据使用方所申请的数据使用范围，对分析结果输出进行抽查，避免分析结果输出中包含可恢复的个人信息、重要数据等数据和结构标识，防止个人信息、重要数据等敏感信息的泄漏；f)应加强对公共数据工作平台的安全管理工作。8.3 安全监管数据管理方应对其他数据安全责任方进行安全监管，并满足以下要求：a) 应制定数据运行监管规范，对数据提供方、数据使用方和服务第三方的数据访问和操作行为进行监管；b) 应对服务第三方提供的产品和服务进行监管，要求服务

11、第三方提供相关交付件，通过对交付件进行分析审核、评估验证等活动，确保服务第三方所提供的产品和服务持续满足安全能力要求；c) 监管过程中发现的安全风险事件应及时告知相关方，并监督其整改；d) 宜委托有资质和专业技术能力的服务第三方来承担安全监管工作，并做好授权和监督审计工作，并确保承担安全监管工作的服务方独立于其他服务第三方。8.4 安全检查数据管理方应定期对其他数据安全责任方开展安全检查工作，对发现的问题采取以下措施：a) 对检查中发现的安全管理缺陷或安全隐患，应提出限期整改要求；b) 对检查中发现的重大安全隐患，应责令立即排除；c) 对检查中发现的失泄密隐患，应立即向保密行政管理部门报告；d

12、 对检查中发现的违法行为，应立即制止，并提请公安部门依法查处。9 服务第三方安全职责9.1 通用要求9.1.1 人员管理服务第三方在提供服务时，应满足以下要求：a) 应明确和被服务方的安全责任边界，签订安全责任书，承担违约责任；b) 应遵循“最小可用”原则分配被服务方系统账号权限；c) 服务人员应使用唯一的系统账号，严禁多名服务人员共用一个系统账号；d) 应建立服务人员离岗（调岗）管理制度，做好工作交接，签订离岗保密协议；e) 应建立服务人员奖惩机制，发现或被服务方通报人员异常及违规行为时，应实行调研处置、岗位调离、解除聘任合同等惩戒措施。9.1.2 保密管理服务第三方在提供服务时，应满足以

13、下要求：a) 应与被服务方签订保密协议，明确保密义务和责任；b) 应建立保密管理制度，与本单位参与服务人员签订保密协议。9.1.3 服务质量服务第三方提供的产品和服务应满足以下要求：a) 提供的产品和服务应满足国家法律法规和地方规章的信息安全要求；b) 所使用服务工具应接受数据管理方或数据管理方授权机构的安全检查；c) 应制定网络和数据安全事件应急预案，定期组织开展应急演练；d) 应及时处置网络和数据安全事件，按规定将事件处置情况报告被服务方。9.1.4 安全监管服务第三方应接受数据管理方或数据管理方授权机构的安全监管，按要求记录服务过程中的过程信息，留存系统服务日志，提供相关交付件，并对通报

14、的安全风险进行整改。9.2 数据服务安全职责服务第三方在提供数据服务时，应满足以下要求：a) 应根据被服务方制定的安全策略和规则提供数据服务；b) 提供数据API开发服务的，应提供服务API的用户鉴别、鉴权和访问控制的能力，并具备防重放、代码注入、DoS/DDoS等攻击防护能力；c) 提供数据治理服务的应根据数据质量规则进行标准化处理，并通过技术手段保障数据的一致性;d) 提供数据同步服务的应通过技术手段保障数据同步过程的一致性，记录数据同步过程的所有日志；e) 应配合数据管理方或数据使用方对新生成的数据进行识别和打标。9.3 应用开发安全职责服务第三方在提供应用开发服务时，应满足以下要求：a

15、) 应在测试环境进行应用功能开发和测试，测试环境应与生产环境安全隔离；b) 应按照授权审批流程申请测试数据，并在完成测试后删除测试数据；c) 开发过程中涉及到使用敏感数据的，应脱敏后使用。9.4 监管服务安全职责服务第三方在提供监管服务时，应满足以下要求：a) 应在数据管理方的监督和授权下开展安全运行监管工作，需要其它数据安全责任方提供交付件时应有数据管理方授权；b) 应配合数据管理方制定监管规范，规定数据操作日志记录要求；c) 应汇聚并审计被监管方的数据操作日志，及时发现数据违规操作行为；d) 应对其它服务第三方实施的安全控制措施、变更管理、应急响应等进行持续监管，通过技术措施或文件审核等方式对服务第三方承诺的安全控制项进行评估验证。_