數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全責(zé)任要求

《數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全責(zé)任要求》由會(huì)員分享，可在線閱讀，更多相關(guān)《數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全責(zé)任要求（8頁(yè)珍藏版）》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。

1、ICS點(diǎn)擊此處添加ICS號(hào)點(diǎn)擊此處添加中國(guó)標(biāo)準(zhǔn)文獻(xiàn)分類號(hào)DB浙江省杭州市地方標(biāo)準(zhǔn)DB XX/ XXXXXXXXX數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全管理責(zé)任要求點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)XXXX-XX-XX發(fā)布XXXX-XX-XX實(shí)施發(fā)布DBXX/ XXXXXXXXX目次前言II1范圍12規(guī)范性引用文件13術(shù)語和定義14縮略語25數(shù)據(jù)安全責(zé)任方通用要求26數(shù)據(jù)提供方安全職責(zé)26.1數(shù)據(jù)來源合法26.2數(shù)據(jù)管理27數(shù)據(jù)使用方安全職責(zé)37.1共享數(shù)據(jù)申請(qǐng)37.2共享數(shù)據(jù)管理38數(shù)據(jù)管理方安全職責(zé)38.1統(tǒng)籌協(xié)調(diào)38.2數(shù)據(jù)管理38.3安全監(jiān)管48.4安全檢查49服務(wù)第三方安全職責(zé)49.1通用要求

2、49.2數(shù)據(jù)服務(wù)安全職責(zé)59.3應(yīng)用開發(fā)安全職責(zé)59.4監(jiān)管服務(wù)安全職責(zé)5前言本標(biāo)準(zhǔn)按照GB/T 1.1-2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由杭州市數(shù)據(jù)資源管理局提出并歸口。本標(biāo)準(zhǔn)主要起草單位：杭州市數(shù)據(jù)資源管理局、蕭山區(qū)數(shù)據(jù)資源管理局、杭州安恒信息技術(shù)股份有限公司、浙江鴻程計(jì)算機(jī)系統(tǒng)有限公司。本標(biāo)準(zhǔn)主要起草人：周俊、樊興悅、郭鵬飛、齊同軍、章建平、丁熙、任子骙、孫茂陽、趙忠、徐飛。5數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全管理責(zé)任要求1 范圍本標(biāo)準(zhǔn)規(guī)范了政務(wù)數(shù)據(jù)資源管理過程中，數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)管理方和服務(wù)第三方的數(shù)據(jù)安全職責(zé)。本標(biāo)準(zhǔn)適用于政務(wù)數(shù)據(jù)共享過程的數(shù)據(jù)安全責(zé)任劃分。2 規(guī)范性引用文件下列文

3、件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 25069 信息安全技術(shù) 術(shù)語GB/T 37988 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型GB/T 37973 信息安全技術(shù) 大數(shù)據(jù)安全管理指南3 術(shù)語和定義3.1數(shù)據(jù)安全責(zé)任方承擔(dān)政務(wù)數(shù)據(jù)安全管理工作的相關(guān)單位，包括數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)管理方和服務(wù)第三方。3.2數(shù)據(jù)管理方 由政府賦予政務(wù)數(shù)據(jù)管理職能的行政機(jī)構(gòu)。3.3服務(wù)第三方 通過簽訂合同的方式，承擔(dān)信息技術(shù)服務(wù)的商業(yè)機(jī)構(gòu)。3.4公共數(shù)據(jù)工作平臺(tái)開展政務(wù)數(shù)據(jù)共享工作的管理平臺(tái)

4、。3.5數(shù)據(jù)血緣數(shù)據(jù)在產(chǎn)生、傳輸、存儲(chǔ)、處理、交換到銷毀的全生命周期過程中，數(shù)據(jù)之間形成的可回溯的關(guān)聯(lián)關(guān)系。3.6交付件對(duì)監(jiān)管活動(dòng)起到佐證作用的任何實(shí)體，包括但不限于各種文檔、圖片、錄音、錄像、實(shí)物、數(shù)據(jù)等，并以紙質(zhì)、電子等形式有效保存。3.7數(shù)據(jù)服務(wù)提供數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理（包括計(jì)算、分析、可視化等）、數(shù)據(jù)交換、數(shù)據(jù)銷毀等數(shù)據(jù)生存形態(tài)演變的一種網(wǎng)絡(luò)信息服務(wù)。GB/T 35274 定義3.34 縮略語API 應(yīng)用程序接口（Application Programming Interface）5 數(shù)據(jù)安全責(zé)任方通用要求數(shù)據(jù)安全責(zé)任方要求包括：a) 應(yīng)按照誰主管、誰負(fù)責(zé)，誰提供、誰

5、負(fù)責(zé)，誰使用、誰負(fù)責(zé)，誰運(yùn)營(yíng)、誰負(fù)責(zé)的原則，在各自職責(zé)范圍內(nèi)，做好數(shù)據(jù)安全管理工作；b) 應(yīng)明確數(shù)據(jù)安全責(zé)任方之間的安全責(zé)任邊界，通過合同或其他有效措施，明確界定各方職責(zé)；涉及需要依賴另一方安全措施有效性的，責(zé)任由雙方共同承擔(dān)；c) 數(shù)據(jù)提供方、數(shù)據(jù)使用方、數(shù)據(jù)管理方可通過簽訂合同的方式，將數(shù)據(jù)安全管理和技術(shù)支撐工作外包給服務(wù)第三方，但安全責(zé)任不隨服務(wù)外包而轉(zhuǎn)移；d) 數(shù)據(jù)共享工作應(yīng)通過公共數(shù)據(jù)工作平臺(tái)進(jìn)行，原則上不允許數(shù)據(jù)使用方與數(shù)據(jù)提供方私下進(jìn)行數(shù)據(jù)的交換和共享；e) 應(yīng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)、關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)等要求，制定并實(shí)施安全管理制度、規(guī)程和安全策略；f) 應(yīng)保障各階段數(shù)據(jù)血緣的完

6、整性，并提供相應(yīng)的數(shù)據(jù)操作日志用于監(jiān)管審計(jì)；g) 共享數(shù)據(jù)的使用期限應(yīng)符合相關(guān)規(guī)定的要求，對(duì)超過申請(qǐng)使用期限的數(shù)據(jù)應(yīng)進(jìn)行銷毀；h) 應(yīng)建立數(shù)據(jù)安全培訓(xùn)機(jī)制，定期開展數(shù)據(jù)安全意識(shí)教育和安全專項(xiàng)技能培訓(xùn)，培訓(xùn)計(jì)劃和培訓(xùn)內(nèi)容應(yīng)覆蓋不同崗位人員的數(shù)據(jù)安全管理與技能要求。6 數(shù)據(jù)提供方安全職責(zé)6.1 數(shù)據(jù)來源合法數(shù)據(jù)提供方在采集政務(wù)數(shù)據(jù)過程中應(yīng)滿足以下要求：a) 應(yīng)按照法定職責(zé)，采集政務(wù)數(shù)據(jù)資源，明確本部門數(shù)據(jù)采集范圍、采集程序、維護(hù)規(guī)范，確保數(shù)據(jù)的準(zhǔn)確性、完整性、時(shí)效性；b) 除法律、法規(guī)另有規(guī)定，應(yīng)當(dāng)遵循“一數(shù)一源”的原則，不得重復(fù)采集公共數(shù)據(jù)工作平臺(tái)已有數(shù)據(jù)。6.2 數(shù)據(jù)管理數(shù)據(jù)提供方在進(jìn)行數(shù)據(jù)管

7、理時(shí)，應(yīng)滿足以下要求：a) 應(yīng)編制本部門政務(wù)數(shù)據(jù)資源目錄，定義共享數(shù)據(jù)范圍和保存期限；b) 應(yīng)根據(jù)相關(guān)數(shù)據(jù)分類分級(jí)要求，設(shè)置數(shù)據(jù)標(biāo)簽；c) 應(yīng)及時(shí)響應(yīng)數(shù)據(jù)使用方的共享數(shù)據(jù)申請(qǐng)，按共享審批授權(quán)流程進(jìn)行審批授權(quán)，提供共享數(shù)據(jù)；d) 應(yīng)確保所提供共享數(shù)據(jù)的準(zhǔn)確性、完整性、時(shí)效性。7 數(shù)據(jù)使用方安全職責(zé)7.1 共享數(shù)據(jù)申請(qǐng)數(shù)據(jù)使用方申請(qǐng)共享數(shù)據(jù)時(shí)，應(yīng)滿足以下要求：a) 應(yīng)基于履職需要，進(jìn)行共享數(shù)據(jù)申請(qǐng)；b) 申請(qǐng)共享數(shù)據(jù)時(shí)，應(yīng)明確申請(qǐng)共享類型、申請(qǐng)依據(jù)（法律要求、履職需要等）、使用場(chǎng)景、使用系統(tǒng)及IP、使用時(shí)間、系統(tǒng)安全級(jí)別及措施、部署層級(jí)、日均調(diào)用量等具體使用需求。7.2 共享數(shù)據(jù)管理數(shù)據(jù)使用方使用

8、共享數(shù)據(jù)時(shí)，應(yīng)滿足以下要求：a) 應(yīng)在所申請(qǐng)應(yīng)用場(chǎng)景和應(yīng)用系統(tǒng)范圍內(nèi)使用共享數(shù)據(jù)；b) 應(yīng)根據(jù)獲取共享數(shù)據(jù)的安全級(jí)別，提供不同等級(jí)的安全防護(hù)措施；c) 對(duì)所獲取的共享數(shù)據(jù)進(jìn)行融合加工分析時(shí)，應(yīng)對(duì)新生成的結(jié)果數(shù)據(jù)設(shè)置相應(yīng)等級(jí)數(shù)據(jù)標(biāo)簽，并落實(shí)相應(yīng)等級(jí)的安全防護(hù)措施； d) 不應(yīng)對(duì)脫敏后的個(gè)人信息和敏感數(shù)據(jù)進(jìn)行再識(shí)別；e) 應(yīng)對(duì)共享數(shù)據(jù)使用情況進(jìn)行記錄分析，確保數(shù)據(jù)正當(dāng)使用；f) 應(yīng)將超過使用時(shí)間的共享數(shù)據(jù)進(jìn)行銷毀。8 數(shù)據(jù)管理方安全職責(zé)8.1 統(tǒng)籌協(xié)調(diào)由數(shù)據(jù)管理方進(jìn)行數(shù)據(jù)統(tǒng)籌協(xié)調(diào)管理工作，并滿足以下要求：a) 應(yīng)依照國(guó)家網(wǎng)絡(luò)和數(shù)據(jù)安全法律、法規(guī)和標(biāo)準(zhǔn)，制定數(shù)據(jù)安全規(guī)章、政策和標(biāo)準(zhǔn)，指導(dǎo)其它數(shù)據(jù)安全

9、責(zé)任方開展數(shù)據(jù)安全管理工作；b) 應(yīng)建立數(shù)據(jù)安全監(jiān)測(cè)預(yù)警、信息通報(bào)和應(yīng)急處置機(jī)制，制定數(shù)據(jù)安全應(yīng)急預(yù)案，開展應(yīng)急演練，通報(bào)數(shù)據(jù)安全事件，調(diào)查處理重大數(shù)據(jù)安全事件。8.2 數(shù)據(jù)管理數(shù)據(jù)管理方進(jìn)行數(shù)據(jù)管理工作時(shí)，應(yīng)滿足以下要求：a) 應(yīng)組織編制政務(wù)數(shù)據(jù)資源目錄，對(duì)政務(wù)數(shù)據(jù)實(shí)行統(tǒng)一目錄管理，明確數(shù)據(jù)提供方、共享開放屬性等要素；b) 應(yīng)牽頭制定數(shù)據(jù)分類分級(jí)規(guī)則，對(duì)數(shù)據(jù)提供方提交的數(shù)據(jù)分類分級(jí)情況進(jìn)行審核，對(duì)不符合要求的數(shù)據(jù)分類分級(jí)情況，責(zé)令數(shù)據(jù)提供方重新設(shè)置標(biāo)簽；c) 對(duì)數(shù)據(jù)使用方的數(shù)據(jù)共享申請(qǐng)進(jìn)行二次審批，重點(diǎn)審核數(shù)據(jù)使用場(chǎng)景和時(shí)間是否與申請(qǐng)依據(jù)相符；d) 明確數(shù)據(jù)接口安全管理制度，包括數(shù)據(jù)接口安全

10、控制措施、接口適用范圍、日均調(diào)用量，發(fā)布者和使用者權(quán)利與義務(wù)等，并定期審查發(fā)布的數(shù)據(jù)中是否含有違規(guī)信息；e) 對(duì)數(shù)據(jù)使用方的數(shù)據(jù)分析模型進(jìn)行審核，確保衍生的數(shù)據(jù)不超過數(shù)據(jù)使用方所申請(qǐng)的數(shù)據(jù)使用范圍，對(duì)分析結(jié)果輸出進(jìn)行抽查，避免分析結(jié)果輸出中包含可恢復(fù)的個(gè)人信息、重要數(shù)據(jù)等數(shù)據(jù)和結(jié)構(gòu)標(biāo)識(shí)，防止個(gè)人信息、重要數(shù)據(jù)等敏感信息的泄漏；f)應(yīng)加強(qiáng)對(duì)公共數(shù)據(jù)工作平臺(tái)的安全管理工作。8.3 安全監(jiān)管數(shù)據(jù)管理方應(yīng)對(duì)其他數(shù)據(jù)安全責(zé)任方進(jìn)行安全監(jiān)管，并滿足以下要求：a) 應(yīng)制定數(shù)據(jù)運(yùn)行監(jiān)管規(guī)范，對(duì)數(shù)據(jù)提供方、數(shù)據(jù)使用方和服務(wù)第三方的數(shù)據(jù)訪問和操作行為進(jìn)行監(jiān)管；b) 應(yīng)對(duì)服務(wù)第三方提供的產(chǎn)品和服務(wù)進(jìn)行監(jiān)管，要求服務(wù)

11、第三方提供相關(guān)交付件，通過對(duì)交付件進(jìn)行分析審核、評(píng)估驗(yàn)證等活動(dòng)，確保服務(wù)第三方所提供的產(chǎn)品和服務(wù)持續(xù)滿足安全能力要求；c) 監(jiān)管過程中發(fā)現(xiàn)的安全風(fēng)險(xiǎn)事件應(yīng)及時(shí)告知相關(guān)方，并監(jiān)督其整改；d) 宜委托有資質(zhì)和專業(yè)技術(shù)能力的服務(wù)第三方來承擔(dān)安全監(jiān)管工作，并做好授權(quán)和監(jiān)督審計(jì)工作，并確保承擔(dān)安全監(jiān)管工作的服務(wù)方獨(dú)立于其他服務(wù)第三方。8.4 安全檢查數(shù)據(jù)管理方應(yīng)定期對(duì)其他數(shù)據(jù)安全責(zé)任方開展安全檢查工作，對(duì)發(fā)現(xiàn)的問題采取以下措施：a) 對(duì)檢查中發(fā)現(xiàn)的安全管理缺陷或安全隱患，應(yīng)提出限期整改要求；b) 對(duì)檢查中發(fā)現(xiàn)的重大安全隱患，應(yīng)責(zé)令立即排除；c) 對(duì)檢查中發(fā)現(xiàn)的失泄密隱患，應(yīng)立即向保密行政管理部門報(bào)告；d

12、） 對(duì)檢查中發(fā)現(xiàn)的違法行為，應(yīng)立即制止，并提請(qǐng)公安部門依法查處。9 服務(wù)第三方安全職責(zé)9.1 通用要求9.1.1 人員管理服務(wù)第三方在提供服務(wù)時(shí)，應(yīng)滿足以下要求：a) 應(yīng)明確和被服務(wù)方的安全責(zé)任邊界，簽訂安全責(zé)任書，承擔(dān)違約責(zé)任；b) 應(yīng)遵循“最小可用”原則分配被服務(wù)方系統(tǒng)賬號(hào)權(quán)限；c) 服務(wù)人員應(yīng)使用唯一的系統(tǒng)賬號(hào)，嚴(yán)禁多名服務(wù)人員共用一個(gè)系統(tǒng)賬號(hào)；d) 應(yīng)建立服務(wù)人員離崗（調(diào)崗）管理制度，做好工作交接，簽訂離崗保密協(xié)議；e) 應(yīng)建立服務(wù)人員獎(jiǎng)懲機(jī)制，發(fā)現(xiàn)或被服務(wù)方通報(bào)人員異常及違規(guī)行為時(shí)，應(yīng)實(shí)行調(diào)研處置、崗位調(diào)離、解除聘任合同等懲戒措施。9.1.2 保密管理服務(wù)第三方在提供服務(wù)時(shí)，應(yīng)滿足以

13、下要求：a) 應(yīng)與被服務(wù)方簽訂保密協(xié)議，明確保密義務(wù)和責(zé)任；b) 應(yīng)建立保密管理制度，與本單位參與服務(wù)人員簽訂保密協(xié)議。9.1.3 服務(wù)質(zhì)量服務(wù)第三方提供的產(chǎn)品和服務(wù)應(yīng)滿足以下要求：a) 提供的產(chǎn)品和服務(wù)應(yīng)滿足國(guó)家法律法規(guī)和地方規(guī)章的信息安全要求；b) 所使用服務(wù)工具應(yīng)接受數(shù)據(jù)管理方或數(shù)據(jù)管理方授權(quán)機(jī)構(gòu)的安全檢查；c) 應(yīng)制定網(wǎng)絡(luò)和數(shù)據(jù)安全事件應(yīng)急預(yù)案，定期組織開展應(yīng)急演練；d) 應(yīng)及時(shí)處置網(wǎng)絡(luò)和數(shù)據(jù)安全事件，按規(guī)定將事件處置情況報(bào)告被服務(wù)方。9.1.4 安全監(jiān)管服務(wù)第三方應(yīng)接受數(shù)據(jù)管理方或數(shù)據(jù)管理方授權(quán)機(jī)構(gòu)的安全監(jiān)管，按要求記錄服務(wù)過程中的過程信息，留存系統(tǒng)服務(wù)日志，提供相關(guān)交付件，并對(duì)通報(bào)

14、的安全風(fēng)險(xiǎn)進(jìn)行整改。9.2 數(shù)據(jù)服務(wù)安全職責(zé)服務(wù)第三方在提供數(shù)據(jù)服務(wù)時(shí)，應(yīng)滿足以下要求：a) 應(yīng)根據(jù)被服務(wù)方制定的安全策略和規(guī)則提供數(shù)據(jù)服務(wù)；b) 提供數(shù)據(jù)API開發(fā)服務(wù)的，應(yīng)提供服務(wù)API的用戶鑒別、鑒權(quán)和訪問控制的能力，并具備防重放、代碼注入、DoS/DDoS等攻擊防護(hù)能力；c) 提供數(shù)據(jù)治理服務(wù)的應(yīng)根據(jù)數(shù)據(jù)質(zhì)量規(guī)則進(jìn)行標(biāo)準(zhǔn)化處理，并通過技術(shù)手段保障數(shù)據(jù)的一致性;d) 提供數(shù)據(jù)同步服務(wù)的應(yīng)通過技術(shù)手段保障數(shù)據(jù)同步過程的一致性，記錄數(shù)據(jù)同步過程的所有日志；e) 應(yīng)配合數(shù)據(jù)管理方或數(shù)據(jù)使用方對(duì)新生成的數(shù)據(jù)進(jìn)行識(shí)別和打標(biāo)。9.3 應(yīng)用開發(fā)安全職責(zé)服務(wù)第三方在提供應(yīng)用開發(fā)服務(wù)時(shí)，應(yīng)滿足以下要求：a

15、) 應(yīng)在測(cè)試環(huán)境進(jìn)行應(yīng)用功能開發(fā)和測(cè)試，測(cè)試環(huán)境應(yīng)與生產(chǎn)環(huán)境安全隔離；b) 應(yīng)按照授權(quán)審批流程申請(qǐng)測(cè)試數(shù)據(jù)，并在完成測(cè)試后刪除測(cè)試數(shù)據(jù)；c) 開發(fā)過程中涉及到使用敏感數(shù)據(jù)的，應(yīng)脫敏后使用。9.4 監(jiān)管服務(wù)安全職責(zé)服務(wù)第三方在提供監(jiān)管服務(wù)時(shí)，應(yīng)滿足以下要求：a) 應(yīng)在數(shù)據(jù)管理方的監(jiān)督和授權(quán)下開展安全運(yùn)行監(jiān)管工作，需要其它數(shù)據(jù)安全責(zé)任方提供交付件時(shí)應(yīng)有數(shù)據(jù)管理方授權(quán)；b) 應(yīng)配合數(shù)據(jù)管理方制定監(jiān)管規(guī)范，規(guī)定數(shù)據(jù)操作日志記錄要求；c) 應(yīng)匯聚并審計(jì)被監(jiān)管方的數(shù)據(jù)操作日志，及時(shí)發(fā)現(xiàn)數(shù)據(jù)違規(guī)操作行為；d) 應(yīng)對(duì)其它服務(wù)第三方實(shí)施的安全控制措施、變更管理、應(yīng)急響應(yīng)等進(jìn)行持續(xù)監(jiān)管，通過技術(shù)措施或文件審核等方式對(duì)服務(wù)第三方承諾的安全控制項(xiàng)進(jìn)行評(píng)估驗(yàn)證。_