《数据资源管理 政务数据安全监管规范》由会员分享,可在线阅读,更多相关《数据资源管理 政务数据安全监管规范(7页珍藏版)》请在金锄头文库上搜索。
1、ICS点击此处添加ICS号点击此处添加中国标准文献分类号DB浙江省杭州市地方标准DB XX/ XXXXXXXXX数据资源管理 政务数据安全监管规范点击此处添加标准英文译名点击此处添加与国际标准一致性程度的标识XXXX-XX-XX发布XXXX-XX-XX实施发布DBXX/ XXXXXXXXX目次前言II1范围12规范性引用文件13术语和定义14监管目的15监管流程25.1监管角色与职责25.2监管框架26监管内容26.1敏感数据监管26.2特权账号监管36.3基础设施监管37实现方式47.1总则47.2人工机制47.3自动机制4前言本标准按照GB/T 1.1-2009给出的规则起草。本标准由杭州
2、市数据资源管理局提出并归口。本标准主要起草单位:杭州市数据资源管理局、萧山区数据资源管理局、杭州安恒信息技术股份有限公司。本标准主要起草人:丁熙、郭鹏飞、齐同军、章建平、夏鹏、任子骙、樊兴悦、周俊、孙茂阳、肖国军。II数据资源管理 政务数据安全监管规范1 范围本标准规范了杭州市数据资源管理过程中数据安全监管目的、监管流程、监管内容和实现方式。本标准适用于开展数据安全监管工作。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069 信息安全技术 术语DB3
3、301T 0276-2018 政务数据共享安全管理规范GB/T 37972信息安全技术 云计算服务运行监管框架3 术语和定义GB/T 25069界定的以及下列术语和定义适用于本文件。3.1数据活动指数据的收集、存储、加工、使用、提供、交易、公开等行为。3.2安全监管方为保障数据安全而开展安全监控和审计的组织。3.3被监管方进行数据活动的组织和人员。3.4交付件对监管活动起到佐证作用的任何实体,包括但不限于文档、图片、录音、录像、实物、数据等,并以纸质、电子等形式有效保存。3.5特权账号特权账号包括但不限于主机操作系统管理账号、数据库管理及运维账号,中间件系统管理账号,网络设备管理账号,安全系统
4、和设备管理账号及应用系统内嵌账号。4 监管目的开展数据安全监管的目的是保障:a) 数据安全保护工作持续满足国家及省、市相关法律法规、行政命令、政策和标准要求;b) 数据活动安全风险可控;c) 安全监管方能够有效、及时掌握基础设施的运行质量和安全状态。5 监管流程5.1 监管角色与职责安全监管包含两个主要角色:a) 安全监管方,应对数据运行各阶段开展安全监控和审计,对数据生命周期各阶段可能存在的未授权访问、数据滥用、数据泄漏等安全风险的防控。b) 被监管方,应按照安全监管要求提供相关交付件用于审计分析,收到相关安全风险通报后及时整改。5.2 监管框架图1 数据安全监管框架被监管方应对数据活动过程
5、中的敏感数据安全、特权人员权限和基础设施运行落实相关管理和技术措施,并为安全监管方提供可证明的交付件,交付件可通过接口自动获取或人工手动提交。安全监管方应对交付件进行分析审核和评估验证等监管活动,形成监管结果。发现安全问题时应向被监管方反馈结果,必要时应根据监管结果给出合理的整改意见和建议。6 监管内容6.1 敏感数据监管6.1.1 敏感数据级别标签监管结合国家法规标准与数据分类分级要求,判定敏感数据设置合法性与合理性。6.1.2 敏感数据传输监管确保敏感数据落实相应等级的传输加密保护,必要时可对安全通道方案、身份鉴别和认证机制、数据加密算法进行评估审核。6.1.3 敏感数据存储监管确保敏感数
6、据落实相应等级的存储加密手段,必要时可对数据库配置、数据加密算法进行评估审核。6.1.4 敏感数据调用监管对敏感数据的访问行为进行分析审计,确保敏感数据调用合法合规。6.1.5 敏感数据脱敏使用监管对敏感数据脱敏、分析等数据操作行为进行日志分析与流量分析审核,确保敏感数据的使用符合申请需求。6.1.6 敏感数据销毁监管对敏感数据的销毁方式、审批记录和销毁过程进行审计,确保数据合规销毁。6.2 特权账号监管6.2.1 特权账号操作监管分析评估特权账号操作日志记录,重点监管审计数据库特权账号对数据资源的增,删,改,查。6.2.2 特权账号共享使用监管分析评估特权账号的登录登出记录,防止特权账号被多
7、人共享使用。6.2.3 特权账号口令监管分析评估特权账号的密码强度,防止账号密码被轻易破解。6.2.4 特权账号授权监管分析评估特权账号的授权记录,保障账号权限“最小可用”。6.3 基础设施监管6.3.1 基础设施运行监管对信息资产的日常运行及使用状态进行安全监管。6.3.2 基础设施合规监管开展等级保护测评、等级保护备案、个人信息保护规范等安全检查,确保被监管方落实安全合规建设。6.3.3 安全管理措施监管检查数据安全管理制度等文件,确保被监管方制定相关数据安全目标及规划。6.3.4 技术防护措施监管通过渗透测试或安全众测等方式,确保被监管方安全防护措施的有效性。6.3.5 安全事件处置监管
8、对被监管方安全通报的整改情况,应急事件的响应情况进行监管审计,确保安全事件进行有效处置。7 实现方式7.1 总则安全监管方应通过有效、准确、及时的方式获取数据安全监管所需的交付件,以便开展对业务运行状态和安全风险进行分析、评估、审核、验证等监管活动,实现方式包括人工机制和自动机制。7.2 人工机制被监管方按照约定的内容与频率,以确定的非在线方式,向安全监管方提交支撑运行监管活动的相关交付件。7.3 自动机制7.3.1 被监管方应按照约定的内容与频率,以确定的在线方式,向安全监管方提交支撑运行监管活动的相关交付件。7.3.2 安全监管方应通过搭建平台或系统,实现相关交付件内容的自动分析处理与判断。7.3.3 被监管方提交日志类型交付件时,日志内容应包括但不限于事件主体、事件客体、起止时间,操作内容和操作结果等元素。_
