T/CIIA XXXXXXXX 15 附录 A(规范性附录)政务数据共享提供方安全风险评估准则 A.1 充分定义级 充分定义级政务数据共享提供方评估指标如下:序号 一级 指标 二级 指标 三级 指标 评估内容 高危标识 参考评估方法 参考分值 1.安全制度规范 组织保障/评估政务数据共享交换提供方是否明确政务数据共享交换服务工作机构和机构负责人 文档查验 4 2.制度体系/评估政务数据共享提供方是否具备政务数据共享中数据安全和个人信息保护制度、政务数据全过程质量管理体系、政务数据校核纠错规则、政务数据共享安全管理制度 文档查验 4 3.信息服务外包管理/政务数据共享交换提供方委托他人参与建设、运行、维护政府信息化项目,存储、加工政务数据的,评估其是否按照国家有关规定履行批准程序,并采取必要技术措施,监督受托方履行相应的政务数据安全保护义务 文档查验 2 4.安全技术防护 共享数据准备阶段 数据归集 共享数据提供方是否在归集共享数据过程中应采用身份鉴别、数据源认证等安全机制保障共享数据来源的真实性 技术验证 4 5.数据分级分类 是否按照政务信息资源分级分类相关要求对共享数据分类分级并进行标记 安全核查 4 6.是否按照数据级别确定并实施所必要的安全管理策略和保障措施 文档查验 2 7.是否按照数据级别明确使用方对共享数据的使用权限 安全核查 2 T/CIIA XXXXXXXX 16 8.资源目录管理 是否按照数据类别或主题形成数据资源目录 安全核查 4 9.是否定义资源目录对应数据资源的内容、安全分级与共享方式 安全核查 4 10.是否对资源目录发布进行审核 文档查验 2 11.是否对目录对应的共享资源建立相应的安全管理策略 文档查验 2 12.是否对资源目录共享类型变更、目录迁移等操作进行授权审计 文档查验 2 13.共享数据维护 是否建立共享数据质量控制机制,对共享数据进行定期维护 文档查验 4 14.是否对数据存储环境进行分域分级设计 安全核查 2 15.是否将数据分域分级存储 安全核查 2 16.是否具备共享数据更新和失效数据召回机制 文档查验 2 17.共享数据交换阶段 授权管理 是否满足授权管理安全技术要求,包括是否支持针对用户访问权限、数据操作权限、应用访问数据权限等维度的授权管理机制 文档查验 4 18.是否支持基于数据分级分类的多级授权和操作监管 安全核查 2 19.是否对权限范围外的数据、应用的尝试操作提出告警 技术验证 2 20.是否支持资源文件、库表、接口等共享方式上不同粒度的权限控制 技术验证 4 21.资源目录发布、共享数据发布和共享数据申请是否获得授权,明确授权的目的和范围 文档查验 2 T/CIIA XXXXXXXX 17 22.是否遵循数据共享最小化原则,仅授权对业务必须的数据共享访问 安全核查 2 23.是否检查有条件共享数据的使用请求符合规定条件 文档查验 2 24.是否可设定授权的有效期并定期检查授权的有效性 安全核查 2 25.数据导出 是否满足数据导出安全技术要求,包括是否对敏感数据建立数据脱敏安全策略,并按照安全策略进行脱敏 安全核查 4 26.是否根据应用需要保留敏感数据的原数据格式、属性或关联 安全核查 2 27.是否在数据导出过程中标记使用方使用敏感数据的权限 安全核查 2 28.数据交换 是否在交换敏感数据时,对发出数据和时间戳进行数字签名 安全核查 4 29.共享数据使用阶段 数据使用监管 是否基于国家相关法律法规对数据使用和分析处理的相关要求建立数据使用监管机制 文档查验 2 30.基础设施安全 数据桥接子系统 数据桥接子系统是否符合GB/T 44230-2024中的“7 系统安全要求”技术验证 2 31.安全运行管理 基础环境/评估政务数据基础设施是否部署于政务网络环境,是否符合网络安全相关要求,机构是否落实专人负责系统最高权限 安全核查 4 32.数据处理/评估是否定期对数据处理合法性、合规性等复核与检查,是否定期核验备份数据的完整性和可用性 安全核查 2 33.合规评/评估政务数据共享工作机构是否定期组织开展本部门政务数据共享安全性评估,并 文档查验 4 T/CIIA XXXXXXXX 18 估 组织整改 34.应急处置/评估发现安全事件时是否立即启动应急预案、采取处置措施、防止危害扩大、消除隐患并按定报告 文档查验 2 35.事件上报/评估是否具备数据安全事件上报机制 文档查验 2 36.安全审计/评估是否具备数据处理日志安全审计能力 安全核查 4 T/CIIA XXXXXXXX 19 A.2 量化控制级 量化控制级政务数据共享提供方评估指标如下:序号 一级 指标 二级 指标 三级 指标 评估内容 高危标识 参考评估方法 参考分值 1.安全制度规范 组织保障/评估政务数据共享交换服务方是否明确政务数据共享交换服务工作机构,机构负责人具备政务数据共享安全专业人员资质,且每年至少接受一次政务数据共享安全教育培训 文档查验 3 2.制度体系/评估政务数据共享交换服务方是否依照法律、行政法规的规定和国家标准的强制性要求,构建资源目录发布的审核机制,明确发布审核流程;文档查验 2 3./是否制定在数据交换过程中对每次数据交换指定唯一交换事务标识的标识规则 文档查验 2 4./是否具备用户管理、授权管理、数据导出、数据使用监管相关的安全管理制度,保障平台安全、稳定运行,维护政务数据安全 文档查验 2 5.信息服务外包管理/政务数据共享交换提供方委托他人参与建设、运行、维护政府信息化项目,存储、加工政务数据的,评估其是否按照国家有关规定履行批准程序,并采取必要技术措施,监督受托方履行相应的政务数据安全保护义务 文档查验 2 6.安全技术防护 共享数据准备阶段 共享数据归集 共享数据提供方是否在归集共享数据过程中应采用身份鉴别、数据源认证等安全机制保障共享数据来源的真实性 技术验证 3 7.数据分级分类 是否按照政务信息资源分级分类相关要求对共享数据分类分级并进行标记 安全核查 3 8.是否按照数据级别确定并实施所必要的安全管理策略和保障措施 文档查验 2 T/CIIA XXXXXXXX 20 9.是否按照数据级别明确使用方对共享数据的使用权限 安全核查 2 10.资源目录管理 是否按照数据类别或主题形成数据资源目录 安全核查 3 11.是否定义资源目录对应数据资源的内容、安全分级与共享方式 安全核查 3 12.是否对资源目录发布进行审核 文档查验 2 13.是否对目录对应的共享资源建立相应的安全管理策略 文档查验 2 14.是否对资源目录共享类型变更、目录迁移等操作进行授权审计 文档查验 2 15.共享数据维护 是否建立共享数据质量控制机制,对共享数据进行定期维护,保证所提供的共享数据完整准确、及时有效 文档查验 2 16.是否对数据存储环境进行分域分级设计 安全核查 2 17.是否根据数据重要性、量级、使用频率等因素将数据分域分级存储 安全核查 2 18.是否具备共享数据更新和失效数据召回机制 文档查验 3 19.共享数据交换阶段 授权管理 是否支持针对用户访问权限、数据操作权限、应用访问数据权限等维度的授权管理机制;是否支持基于数据分级分类的多级授权和操作监管 安全核查 2 20.是否对权限范围外的数据、应用的尝试操作提出告警 安全核查 2 21.是否支持资源文件、库表、接口等共享方式上不同粒度的权限控制 技术验证 2 22.资源目录发布、共享数据发布和共享数据申请是否获得授权,明确授权的目的和范 文档查验 3 T/CIIA XXXXXXXX 21 围,保留授权记录,并遵照授权执行 23.是否遵循数据共享最小化原则,仅授权对业务必须的数据共享访问 安全核查 2 24.是否检查有条件共享数据的使用请求符合规定条件 技术验证 3 25.是否可设定授权的有效期并定期检查授权的有效性 技术验证 3 26.是否根据安全策略,生成共享数据访问授权凭证、安全配置信息,并将这些配置信息安全分发到信息交换系统 安全核查 2 27.数据导出 是否对敏感数据建立数据脱敏安全策略,并按照安全策略进行脱敏 安全核查 2 28.是否根据应用需要保留敏感数据的原数据格式、属性或关联;是否对数据脱敏操作过程进行记录,记录内容至少包括操作时间、操作人、操作对象 文档查验 2 29.是否在数据导出过程中标记使用方使用敏感数据的权限 安全核查 2 30.是否建立检查机制,保证共享数据安全策略正确配置与实施 文档查验 2 31.数据交换 是否在交换敏感数据时,对发出数据和时间戳进行数字签名 安全核查 3 32.是否校验数据使用方数字签名的合法性 安全核查 2 33.共享数据使用阶段 数据使用监管 是否基于国家相关法律法规对数据使用和分析处理的相关要求建立数据使用监管机制,是否能够查阅政务数据需求部门对共享数据使用行为的记录 文档查验 3 34.基础设数据桥接数据桥接子系统是否符合GB/T 44230-2024中的“7 系统安全要求”技术验证 2 T/CIIA XXXXXXXX 22 施安全 子系统 35.安全运行管理 基础环境/政务数据基础设施是否部署于政务网络环境,是否符合网络安全相关要求,机构是否落实专人负责系统最高权限 安全核查 2 36.数据处理/是否定期对数据处理合法性、合规性等复核与检查,定期核验备份数据的完整性和可用性 安全核查 3 37.合规评估/政务数据共享工作机构是否定期组织开展本部门政务数据共享安全性评估,并组织整改 文档查验 3 38.风险评估/政务数据共享工作机构是否定期组织开展本部门政务数据共享安全风险评估,并组织整改 文档查验 3 39.风险监测/是否具备数据安全风险监测机制与处置规范 文档查验 2 40.预警通报/发现安全事件时是否立即启动应急预案、采取处置措施、防止危害扩大、消除隐患并按规定报告 文档查验 2 41.应急处置/评估发现安全事件时是否立即启动应急预案、采取处置措施、防止危害扩大、消除隐患并按定报告 文档查验 2 42.事件上报/是否具备数据安全事件上报机制 文档查验 3 43.安全审计/是否具备数据处理日志安全审计能力 安全核查 3 T/CIIA XXXXXXXX 23 A.3 持续优化级 持续优化级政务数据共享提供方评估指标如下:序号 一级指标 二级指标 三级指标 评估内容 高危标识 参考评估方法 参考分值 1.安全制度规范 组织保障/是否明确政务数据共享交换服务工作机构,机构负责人具备政务数据共享安全专业人员资质,工作机构全员每年至少接受一次政务数据共享安全教育培训,同时根据反馈效果定期对数据安全教育培训计划进行审核与更新 文档查验 3 2.制度体系/是否具备政务数据共享中数据安全和个人信息保护制度;文档查验 2 3./建立健全政务数据全过程质量管理体系,提高政务数据质量管理能力,加强政务数据收集、存储、加工、传输、共享、使用、销毁等标准化管理 文档查验 3 4./建立政务数据校核纠错规则,提供纠错渠道 文档查验 2 5./建立健全政务数据共享安全管理制度,落实政务数据共享安全管理主体责任和政务数据分类分级管理要求,保障政务数据共享安全 文档查验 2 6./是否持续优化制度体系 文档查验 3 7./是否参与政务数据共享相关标准制定 文档查验 2 8.信息服务外包管理/政务数据共享交换提供方委托他人参与建设、运行、维护政府信息化项目,存储、加工政务数据的,评估其是否按照国家有关规定履行批准程序,参照GB/T 32926 信息安全技术 政府部门信息技术服务外包信息安全管理规范明确工作规范和标准,采取必要技术措施,监督受托方履行相应的政务数据安全保护义务,并根据对受托 文档查验 3 T/CIIA XXXXXXXX 24 方的监督结果,持续优化工作规范和标准 9.安全技术防护 共享数据准备阶段 共享数据归集 是否满足安全技术要求,包括共享数据提供方是否在归集共享数据过程中应采用身份鉴别、数据源认证等安全机制保障共享数据来源的真实性 技术验证 3 10。
