數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范

上傳人:H****r 文檔編號:23380785 上傳時間:2021-06-08 格式:DOCX 頁數(shù):7 大小:134.90KB
收藏 版權(quán)申訴 舉報 下載
數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范_第1頁
第1頁 / 共7頁
數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范_第2頁
第2頁 / 共7頁
數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范_第3頁
第3頁 / 共7頁

下載文檔到電腦,查找使用更方便

3 積分

下載資源

還剩頁未讀,繼續(xù)閱讀

資源描述:

《數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范》由會員分享,可在線閱讀,更多相關(guān)《數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范(7頁珍藏版)》請在裝配圖網(wǎng)上搜索。

1、ICS點擊此處添加ICS號點擊此處添加中國標準文獻分類號DB浙江省杭州市地方標準DB XX/ XXXXXXXXX數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范點擊此處添加標準英文譯名點擊此處添加與國際標準一致性程度的標識XXXX-XX-XX發(fā)布XXXX-XX-XX實施發(fā)布DBXX/ XXXXXXXXX目次前言II1范圍12規(guī)范性引用文件13術(shù)語和定義14監(jiān)管目的15監(jiān)管流程25.1監(jiān)管角色與職責25.2監(jiān)管框架26監(jiān)管內(nèi)容26.1敏感數(shù)據(jù)監(jiān)管26.2特權(quán)賬號監(jiān)管36.3基礎(chǔ)設(shè)施監(jiān)管37實現(xiàn)方式47.1總則47.2人工機制47.3自動機制4前言本標準按照GB/T 1.1-2009給出的規(guī)則起草。本標準由杭州

2、市數(shù)據(jù)資源管理局提出并歸口。本標準主要起草單位:杭州市數(shù)據(jù)資源管理局、蕭山區(qū)數(shù)據(jù)資源管理局、杭州安恒信息技術(shù)股份有限公司。本標準主要起草人:丁熙、郭鵬飛、齊同軍、章建平、夏鵬、任子骙、樊興悅、周俊、孫茂陽、肖國軍。4數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范1 范圍本標準規(guī)范了杭州市數(shù)據(jù)資源管理過程中數(shù)據(jù)安全監(jiān)管目的、監(jiān)管流程、監(jiān)管內(nèi)容和實現(xiàn)方式。本標準適用于開展數(shù)據(jù)安全監(jiān)管工作。2 規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅所注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。GB/T 25069 信息安全技術(shù) 術(shù)語DB33

3、01T 0276-2018 政務(wù)數(shù)據(jù)共享安全管理規(guī)范GB/T 37972信息安全技術(shù) 云計算服務(wù)運行監(jiān)管框架3 術(shù)語和定義GB/T 25069界定的以及下列術(shù)語和定義適用于本文件。3.1數(shù)據(jù)活動指數(shù)據(jù)的收集、存儲、加工、使用、提供、交易、公開等行為。3.2安全監(jiān)管方為保障數(shù)據(jù)安全而開展安全監(jiān)控和審計的組織。3.3被監(jiān)管方進行數(shù)據(jù)活動的組織和人員。3.4交付件對監(jiān)管活動起到佐證作用的任何實體,包括但不限于文檔、圖片、錄音、錄像、實物、數(shù)據(jù)等,并以紙質(zhì)、電子等形式有效保存。3.5特權(quán)賬號特權(quán)賬號包括但不限于主機操作系統(tǒng)管理賬號、數(shù)據(jù)庫管理及運維賬號,中間件系統(tǒng)管理賬號,網(wǎng)絡(luò)設(shè)備管理賬號,安全系統(tǒng)和

4、設(shè)備管理賬號及應(yīng)用系統(tǒng)內(nèi)嵌賬號。4 監(jiān)管目的開展數(shù)據(jù)安全監(jiān)管的目的是保障:a) 數(shù)據(jù)安全保護工作持續(xù)滿足國家及省、市相關(guān)法律法規(guī)、行政命令、政策和標準要求;b) 數(shù)據(jù)活動安全風險可控;c) 安全監(jiān)管方能夠有效、及時掌握基礎(chǔ)設(shè)施的運行質(zhì)量和安全狀態(tài)。5 監(jiān)管流程5.1 監(jiān)管角色與職責安全監(jiān)管包含兩個主要角色:a) 安全監(jiān)管方,應(yīng)對數(shù)據(jù)運行各階段開展安全監(jiān)控和審計,對數(shù)據(jù)生命周期各階段可能存在的未授權(quán)訪問、數(shù)據(jù)濫用、數(shù)據(jù)泄漏等安全風險的防控。b) 被監(jiān)管方,應(yīng)按照安全監(jiān)管要求提供相關(guān)交付件用于審計分析,收到相關(guān)安全風險通報后及時整改。5.2 監(jiān)管框架圖1 數(shù)據(jù)安全監(jiān)管框架被監(jiān)管方應(yīng)對數(shù)據(jù)活動過程中

5、的敏感數(shù)據(jù)安全、特權(quán)人員權(quán)限和基礎(chǔ)設(shè)施運行落實相關(guān)管理和技術(shù)措施,并為安全監(jiān)管方提供可證明的交付件,交付件可通過接口自動獲取或人工手動提交。安全監(jiān)管方應(yīng)對交付件進行分析審核和評估驗證等監(jiān)管活動,形成監(jiān)管結(jié)果。發(fā)現(xiàn)安全問題時應(yīng)向被監(jiān)管方反饋結(jié)果,必要時應(yīng)根據(jù)監(jiān)管結(jié)果給出合理的整改意見和建議。6 監(jiān)管內(nèi)容6.1 敏感數(shù)據(jù)監(jiān)管6.1.1 敏感數(shù)據(jù)級別標簽監(jiān)管結(jié)合國家法規(guī)標準與數(shù)據(jù)分類分級要求,判定敏感數(shù)據(jù)設(shè)置合法性與合理性。6.1.2 敏感數(shù)據(jù)傳輸監(jiān)管確保敏感數(shù)據(jù)落實相應(yīng)等級的傳輸加密保護,必要時可對安全通道方案、身份鑒別和認證機制、數(shù)據(jù)加密算法進行評估審核。6.1.3 敏感數(shù)據(jù)存儲監(jiān)管確保敏感數(shù)據(jù)

6、落實相應(yīng)等級的存儲加密手段,必要時可對數(shù)據(jù)庫配置、數(shù)據(jù)加密算法進行評估審核。6.1.4 敏感數(shù)據(jù)調(diào)用監(jiān)管對敏感數(shù)據(jù)的訪問行為進行分析審計,確保敏感數(shù)據(jù)調(diào)用合法合規(guī)。6.1.5 敏感數(shù)據(jù)脫敏使用監(jiān)管對敏感數(shù)據(jù)脫敏、分析等數(shù)據(jù)操作行為進行日志分析與流量分析審核,確保敏感數(shù)據(jù)的使用符合申請需求。6.1.6 敏感數(shù)據(jù)銷毀監(jiān)管對敏感數(shù)據(jù)的銷毀方式、審批記錄和銷毀過程進行審計,確保數(shù)據(jù)合規(guī)銷毀。6.2 特權(quán)賬號監(jiān)管6.2.1 特權(quán)賬號操作監(jiān)管分析評估特權(quán)賬號操作日志記錄,重點監(jiān)管審計數(shù)據(jù)庫特權(quán)賬號對數(shù)據(jù)資源的增,刪,改,查。6.2.2 特權(quán)賬號共享使用監(jiān)管分析評估特權(quán)賬號的登錄登出記錄,防止特權(quán)賬號被多人

7、共享使用。6.2.3 特權(quán)賬號口令監(jiān)管分析評估特權(quán)賬號的密碼強度,防止賬號密碼被輕易破解。6.2.4 特權(quán)賬號授權(quán)監(jiān)管分析評估特權(quán)賬號的授權(quán)記錄,保障賬號權(quán)限“最小可用”。6.3 基礎(chǔ)設(shè)施監(jiān)管6.3.1 基礎(chǔ)設(shè)施運行監(jiān)管對信息資產(chǎn)的日常運行及使用狀態(tài)進行安全監(jiān)管。6.3.2 基礎(chǔ)設(shè)施合規(guī)監(jiān)管開展等級保護測評、等級保護備案、個人信息保護規(guī)范等安全檢查,確保被監(jiān)管方落實安全合規(guī)建設(shè)。6.3.3 安全管理措施監(jiān)管檢查數(shù)據(jù)安全管理制度等文件,確保被監(jiān)管方制定相關(guān)數(shù)據(jù)安全目標及規(guī)劃。6.3.4 技術(shù)防護措施監(jiān)管通過滲透測試或安全眾測等方式,確保被監(jiān)管方安全防護措施的有效性。6.3.5 安全事件處置監(jiān)管對

8、被監(jiān)管方安全通報的整改情況,應(yīng)急事件的響應(yīng)情況進行監(jiān)管審計,確保安全事件進行有效處置。7 實現(xiàn)方式7.1 總則安全監(jiān)管方應(yīng)通過有效、準確、及時的方式獲取數(shù)據(jù)安全監(jiān)管所需的交付件,以便開展對業(yè)務(wù)運行狀態(tài)和安全風險進行分析、評估、審核、驗證等監(jiān)管活動,實現(xiàn)方式包括人工機制和自動機制。7.2 人工機制被監(jiān)管方按照約定的內(nèi)容與頻率,以確定的非在線方式,向安全監(jiān)管方提交支撐運行監(jiān)管活動的相關(guān)交付件。7.3 自動機制7.3.1 被監(jiān)管方應(yīng)按照約定的內(nèi)容與頻率,以確定的在線方式,向安全監(jiān)管方提交支撐運行監(jiān)管活動的相關(guān)交付件。7.3.2 安全監(jiān)管方應(yīng)通過搭建平臺或系統(tǒng),實現(xiàn)相關(guān)交付件內(nèi)容的自動分析處理與判斷。7.3.3 被監(jiān)管方提交日志類型交付件時,日志內(nèi)容應(yīng)包括但不限于事件主體、事件客體、起止時間,操作內(nèi)容和操作結(jié)果等元素。_

展開閱讀全文
溫馨提示:
1: 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

相關(guān)資源

更多
正為您匹配相似的精品文檔
關(guān)于我們 - 網(wǎng)站聲明 - 網(wǎng)站地圖 - 資源地圖 - 友情鏈接 - 網(wǎng)站客服 - 聯(lián)系我們

copyright@ 2023-2025  zhuangpeitu.com 裝配圖網(wǎng)版權(quán)所有   聯(lián)系電話:18123376007

備案號:ICP2024067431-1 川公網(wǎng)安備51140202000466號


本站為文檔C2C交易模式,即用戶上傳的文檔直接被用戶下載,本站只是中間服務(wù)平臺,本站所有文檔下載所得的收益歸上傳人(含作者)所有。裝配圖網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對上載內(nèi)容本身不做任何修改或編輯。若文檔所含內(nèi)容侵犯了您的版權(quán)或隱私,請立即通知裝配圖網(wǎng),我們立即給予刪除!