數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范

ICS點(diǎn)擊此處添加ICS號點(diǎn)擊此處添加中國標(biāo)準(zhǔn)文獻(xiàn)分類號DB浙江省杭州市地方標(biāo)準(zhǔn)DB XX/ XXXXXXXXX數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范點(diǎn)擊此處添加標(biāo)準(zhǔn)英文譯名點(diǎn)擊此處添加與國際標(biāo)準(zhǔn)一致性程度的標(biāo)識XXXX-XX-XX發(fā)布XXXX-XX-XX實施發(fā)布DBXX/ XXXXXXXXX目次前言II1范圍12規(guī)范性引用文件13術(shù)語和定義14監(jiān)管目的15監(jiān)管流程25.1監(jiān)管角色與職責(zé)25.2監(jiān)管框架26監(jiān)管內(nèi)容26.1敏感數(shù)據(jù)監(jiān)管26.2特權(quán)賬號監(jiān)管36.3基礎(chǔ)設(shè)施監(jiān)管37實現(xiàn)方式47.1總則47.2人工機(jī)制47.3自動機(jī)制4前言本標(biāo)準(zhǔn)按照GB/T 1.1-2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由杭州市數(shù)據(jù)資源管理局提出并歸口。本標(biāo)準(zhǔn)主要起草單位：杭州市數(shù)據(jù)資源管理局、蕭山區(qū)數(shù)據(jù)資源管理局、杭州安恒信息技術(shù)股份有限公司。本標(biāo)準(zhǔn)主要起草人：丁熙、郭鵬飛、齊同軍、章建平、夏鵬、任子骙、樊興悅、周俊、孫茂陽、肖國軍。4數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范1 范圍本標(biāo)準(zhǔn)規(guī)范了杭州市數(shù)據(jù)資源管理過程中數(shù)據(jù)安全監(jiān)管目的、監(jiān)管流程、監(jiān)管內(nèi)容和實現(xiàn)方式。本標(biāo)準(zhǔn)適用于開展數(shù)據(jù)安全監(jiān)管工作。2 規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T 25069 信息安全技術(shù) 術(shù)語DB3301T 0276-2018 政務(wù)數(shù)據(jù)共享安全管理規(guī)范GB/T 37972信息安全技術(shù) 云計算服務(wù)運(yùn)行監(jiān)管框架3 術(shù)語和定義GB/T 25069界定的以及下列術(shù)語和定義適用于本文件。3.1數(shù)據(jù)活動指數(shù)據(jù)的收集、存儲、加工、使用、提供、交易、公開等行為。3.2安全監(jiān)管方為保障數(shù)據(jù)安全而開展安全監(jiān)控和審計的組織。3.3被監(jiān)管方進(jìn)行數(shù)據(jù)活動的組織和人員。3.4交付件對監(jiān)管活動起到佐證作用的任何實體，包括但不限于文檔、圖片、錄音、錄像、實物、數(shù)據(jù)等，并以紙質(zhì)、電子等形式有效保存。3.5特權(quán)賬號特權(quán)賬號包括但不限于主機(jī)操作系統(tǒng)管理賬號、數(shù)據(jù)庫管理及運(yùn)維賬號，中間件系統(tǒng)管理賬號，網(wǎng)絡(luò)設(shè)備管理賬號，安全系統(tǒng)和設(shè)備管理賬號及應(yīng)用系統(tǒng)內(nèi)嵌賬號。4 監(jiān)管目的開展數(shù)據(jù)安全監(jiān)管的目的是保障：a) 數(shù)據(jù)安全保護(hù)工作持續(xù)滿足國家及省、市相關(guān)法律法規(guī)、行政命令、政策和標(biāo)準(zhǔn)要求；b) 數(shù)據(jù)活動安全風(fēng)險可控；c) 安全監(jiān)管方能夠有效、及時掌握基礎(chǔ)設(shè)施的運(yùn)行質(zhì)量和安全狀態(tài)。5 監(jiān)管流程5.1 監(jiān)管角色與職責(zé)安全監(jiān)管包含兩個主要角色：a) 安全監(jiān)管方，應(yīng)對數(shù)據(jù)運(yùn)行各階段開展安全監(jiān)控和審計，對數(shù)據(jù)生命周期各階段可能存在的未授權(quán)訪問、數(shù)據(jù)濫用、數(shù)據(jù)泄漏等安全風(fēng)險的防控。b) 被監(jiān)管方，應(yīng)按照安全監(jiān)管要求提供相關(guān)交付件用于審計分析，收到相關(guān)安全風(fēng)險通報后及時整改。5.2 監(jiān)管框架圖1 數(shù)據(jù)安全監(jiān)管框架被監(jiān)管方應(yīng)對數(shù)據(jù)活動過程中的敏感數(shù)據(jù)安全、特權(quán)人員權(quán)限和基礎(chǔ)設(shè)施運(yùn)行落實相關(guān)管理和技術(shù)措施，并為安全監(jiān)管方提供可證明的交付件，交付件可通過接口自動獲取或人工手動提交。安全監(jiān)管方應(yīng)對交付件進(jìn)行分析審核和評估驗證等監(jiān)管活動，形成監(jiān)管結(jié)果。發(fā)現(xiàn)安全問題時應(yīng)向被監(jiān)管方反饋結(jié)果，必要時應(yīng)根據(jù)監(jiān)管結(jié)果給出合理的整改意見和建議。6 監(jiān)管內(nèi)容6.1 敏感數(shù)據(jù)監(jiān)管6.1.1 敏感數(shù)據(jù)級別標(biāo)簽監(jiān)管結(jié)合國家法規(guī)標(biāo)準(zhǔn)與數(shù)據(jù)分類分級要求，判定敏感數(shù)據(jù)設(shè)置合法性與合理性。6.1.2 敏感數(shù)據(jù)傳輸監(jiān)管確保敏感數(shù)據(jù)落實相應(yīng)等級的傳輸加密保護(hù)，必要時可對安全通道方案、身份鑒別和認(rèn)證機(jī)制、數(shù)據(jù)加密算法進(jìn)行評估審核。6.1.3 敏感數(shù)據(jù)存儲監(jiān)管確保敏感數(shù)據(jù)落實相應(yīng)等級的存儲加密手段，必要時可對數(shù)據(jù)庫配置、數(shù)據(jù)加密算法進(jìn)行評估審核。6.1.4 敏感數(shù)據(jù)調(diào)用監(jiān)管對敏感數(shù)據(jù)的訪問行為進(jìn)行分析審計，確保敏感數(shù)據(jù)調(diào)用合法合規(guī)。6.1.5 敏感數(shù)據(jù)脫敏使用監(jiān)管對敏感數(shù)據(jù)脫敏、分析等數(shù)據(jù)操作行為進(jìn)行日志分析與流量分析審核，確保敏感數(shù)據(jù)的使用符合申請需求。6.1.6 敏感數(shù)據(jù)銷毀監(jiān)管對敏感數(shù)據(jù)的銷毀方式、審批記錄和銷毀過程進(jìn)行審計，確保數(shù)據(jù)合規(guī)銷毀。6.2 特權(quán)賬號監(jiān)管6.2.1 特權(quán)賬號操作監(jiān)管分析評估特權(quán)賬號操作日志記錄，重點(diǎn)監(jiān)管審計數(shù)據(jù)庫特權(quán)賬號對數(shù)據(jù)資源的增，刪，改，查。6.2.2 特權(quán)賬號共享使用監(jiān)管分析評估特權(quán)賬號的登錄登出記錄，防止特權(quán)賬號被多人共享使用。6.2.3 特權(quán)賬號口令監(jiān)管分析評估特權(quán)賬號的密碼強(qiáng)度，防止賬號密碼被輕易破解。6.2.4 特權(quán)賬號授權(quán)監(jiān)管分析評估特權(quán)賬號的授權(quán)記錄，保障賬號權(quán)限“最小可用”。6.3 基礎(chǔ)設(shè)施監(jiān)管6.3.1 基礎(chǔ)設(shè)施運(yùn)行監(jiān)管對信息資產(chǎn)的日常運(yùn)行及使用狀態(tài)進(jìn)行安全監(jiān)管。6.3.2 基礎(chǔ)設(shè)施合規(guī)監(jiān)管開展等級保護(hù)測評、等級保護(hù)備案、個人信息保護(hù)規(guī)范等安全檢查，確保被監(jiān)管方落實安全合規(guī)建設(shè)。6.3.3 安全管理措施監(jiān)管檢查數(shù)據(jù)安全管理制度等文件，確保被監(jiān)管方制定相關(guān)數(shù)據(jù)安全目標(biāo)及規(guī)劃。6.3.4 技術(shù)防護(hù)措施監(jiān)管通過滲透測試或安全眾測等方式，確保被監(jiān)管方安全防護(hù)措施的有效性。6.3.5 安全事件處置監(jiān)管對被監(jiān)管方安全通報的整改情況，應(yīng)急事件的響應(yīng)情況進(jìn)行監(jiān)管審計，確保安全事件進(jìn)行有效處置。7 實現(xiàn)方式7.1 總則安全監(jiān)管方應(yīng)通過有效、準(zhǔn)確、及時的方式獲取數(shù)據(jù)安全監(jiān)管所需的交付件，以便開展對業(yè)務(wù)運(yùn)行狀態(tài)和安全風(fēng)險進(jìn)行分析、評估、審核、驗證等監(jiān)管活動，實現(xiàn)方式包括人工機(jī)制和自動機(jī)制。7.2 人工機(jī)制被監(jiān)管方按照約定的內(nèi)容與頻率，以確定的非在線方式，向安全監(jiān)管方提交支撐運(yùn)行監(jiān)管活動的相關(guān)交付件。7.3 自動機(jī)制7.3.1 被監(jiān)管方應(yīng)按照約定的內(nèi)容與頻率，以確定的在線方式，向安全監(jiān)管方提交支撐運(yùn)行監(jiān)管活動的相關(guān)交付件。7.3.2 安全監(jiān)管方應(yīng)通過搭建平臺或系統(tǒng)，實現(xiàn)相關(guān)交付件內(nèi)容的自動分析處理與判斷。7.3.3 被監(jiān)管方提交日志類型交付件時，日志內(nèi)容應(yīng)包括但不限于事件主體、事件客體、起止時間，操作內(nèi)容和操作結(jié)果等元素。_