浙江省地方標準DB33T2488-2022公共數(shù)據(jù)安全體系評估規(guī)_第1頁
浙江省地方標準DB33T2488-2022公共數(shù)據(jù)安全體系評估規(guī)_第2頁
浙江省地方標準DB33T2488-2022公共數(shù)據(jù)安全體系評估規(guī)_第3頁
浙江省地方標準DB33T2488-2022公共數(shù)據(jù)安全體系評估規(guī)_第4頁
浙江省地方標準DB33T2488-2022公共數(shù)據(jù)安全體系評估規(guī)_第5頁
已閱讀5頁,還剩29頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領

文檔簡介

33I III IV 1 1 1 2 2 2 3 3 3 3 4 4 4 4 4 5 5 5 5 5 6 6 6 6 6 7 7 7 7 8 8 8 8 8 8 9 9 9 10A.1現(xiàn)狀分析 10A.2建設內(nèi)容 10A.3建設成效 11 12 13 14 15 16請注意本標準的某些內(nèi)容可能涉及專利。本標準的發(fā)布機構(gòu)不承擔識別專利的責任。本標準由浙江省大數(shù)據(jù)發(fā)展管理局提出、歸口并組局、臺州市大數(shù)據(jù)發(fā)展管理局、麗水市大數(shù)據(jù)發(fā)展——公共數(shù)據(jù)分類分級指南(DB33/T2351—21公共數(shù)據(jù)安全體系建設指南本標準不適用于涉及國家秘密的公共數(shù)據(jù)及相關處GB/T37973信息安全技術大數(shù)據(jù)安全管理GB/T39477信息安全技術政務信息共享數(shù)據(jù)安全技術要求DB33/T2350數(shù)字化改革術DB33/T2351公共數(shù)據(jù)分類分級GB/T25069、GB/T37973、GB/T394772用戶行為畫像userbehavior4總體原則及架構(gòu)4.1.1權(quán)責一致公共數(shù)據(jù)安全體系建設宜遵循誰收集誰負責、誰使用誰負責、誰運行誰4.1.2分級管理4.1.3全程可控4.1.4持續(xù)優(yōu)化4.1.5協(xié)調(diào)發(fā)展4.2體系架構(gòu)35.1制度規(guī)范子體系架構(gòu)境等相關場景要求??砂凑杖壖軜?gòu)建立公共數(shù)據(jù)安全制度規(guī)范5.2數(shù)據(jù)分類分級管理制度a)公共數(shù)據(jù)分類分級原則、要求、維度和方法等;b)公共數(shù)據(jù)分類分級操作指南和工作流程等;c)公共數(shù)據(jù)類別和級別的變更場景、變更申請審批流程及變更工作要求等;5.3數(shù)據(jù)訪問權(quán)限管理制度4c)公共數(shù)據(jù)訪問賬號權(quán)限分配、開通、使用、變更、重置、鎖定、注銷等的申請審批流程;d)具備超級管理員權(quán)限或數(shù)據(jù)批量復制、處理、導出和刪除等高風險操作權(quán)限賬號的安全要求5.4數(shù)據(jù)脫敏管理制度5.5數(shù)據(jù)共享和開放安全管理制度c)各類別和級別公共數(shù)據(jù)共享和開放的應用場景;d)各類別和級別公共數(shù)據(jù)共享和開放的工作流程;5.6數(shù)據(jù)安全銷毀管理制度a)各類別和級別公共數(shù)據(jù)銷毀對象;b)各類別和級別公共數(shù)據(jù)銷毀場景;5.7供應方安全管理制度a)供應方引入的安全管理要求,包括資質(zhì)和背景安全審查等;5.8安全監(jiān)督檢查制度a)公共數(shù)據(jù)安全管理監(jiān)督檢查內(nèi)容;b)公共數(shù)據(jù)安全管理監(jiān)督檢查方式;5c)公共數(shù)據(jù)安全管理監(jiān)督檢查工作周5.9安全日志審計制度5.10安全事件管理與應急響應制度a)公共數(shù)據(jù)安全事件分類分級方法;c)各類別公共數(shù)據(jù)安全應急預案編制及應急演練工作要求等?!矓?shù)據(jù)安全監(jiān)測與預警技術等。a)數(shù)據(jù)源統(tǒng)一鑒別技術;h)數(shù)據(jù)備份與恢復技術;6k)數(shù)據(jù)有效銷毀技術等。a)公共數(shù)據(jù)訪問權(quán)限集中認證技術;b)公共數(shù)據(jù)訪問權(quán)限統(tǒng)一入口訪問;c)基于終端、網(wǎng)絡、系統(tǒng)、文件、數(shù)據(jù)b)接口安全監(jiān)測與預警技術;b)公共數(shù)據(jù)安全威脅的發(fā)現(xiàn)和識別;7——公共數(shù)據(jù)安全培訓等。a)公共數(shù)據(jù)安全決策方:領導公共數(shù)據(jù)安全管理工作,負責公共數(shù)據(jù)安b)公共數(shù)據(jù)安全管理方:根據(jù)相關法律法規(guī)和制度規(guī)范要求,參考本指南建立公系(包括制度規(guī)范子體系、技術防護子體系和運行管理子體系指導公共數(shù)據(jù)安全要求的c)公共數(shù)據(jù)安全執(zhí)行方:負責落實和配合公共數(shù)據(jù)安全管理工作;d)公共數(shù)據(jù)安全監(jiān)審方:對公共數(shù)據(jù)安全管理工作進行監(jiān)督、檢查和審計,落實公共數(shù)據(jù)安全e)公共數(shù)據(jù)安全管理負責人:宜委任具備公共數(shù)據(jù)安全管理相為公共數(shù)據(jù)安全管理負責人,為其提供人力、技術宜建立基于數(shù)據(jù)資源目錄的分類分級運行管理機b)公共數(shù)據(jù)訪問權(quán)限分配表建立和維護;g)高風險數(shù)據(jù)操作權(quán)限特殊管控工作等。宜建立公共數(shù)據(jù)共享和開放安全運行管理機b)公共數(shù)據(jù)共享和開放接口上線前安全檢查;e)公共數(shù)據(jù)共享和開放渠道(如批量共享、接口共享、文件導出、郵件、網(wǎng)絡、終端等)的敏8a)對公共數(shù)據(jù)處理環(huán)境安全、公共數(shù)據(jù)訪問權(quán)限管理、公共數(shù)據(jù)共享和開放安全管理、公共數(shù)據(jù)銷毀管理、個人信息使用等重要環(huán)節(jié)的安全管理工作落實情況和效果的安全檢查;b)安全檢查問題通知和整改;8.1.2評估工作全流程包含確定評估范圍、組建評估團隊、制定評估方案、實施評估、報告編制以及9a)初次系統(tǒng)性開展公共數(shù)據(jù)安全體系建設的;b)按照既定安全體系評估機制,周期性開展公共數(shù)據(jù)安全體系評估的;a)總體判斷評估對象的公共數(shù)據(jù)安全體系建設水平。評估結(jié)果可作為公共數(shù)據(jù)處理活動開展的b)研判公共數(shù)據(jù)安全體系風險隱患,發(fā)現(xiàn)公共數(shù)據(jù)安全防護的薄弱環(huán)節(jié)。針對評A.1現(xiàn)狀分析a)制度規(guī)范子體系。已制定出臺公共數(shù)據(jù)安全管理總則等綱領文件和公共數(shù)據(jù)安全銷毀管理、供應方安全管理、安全事件管理與應急響應、公共數(shù)據(jù)脫敏管理、安全日志審計和監(jiān)督檢查等相關配套制度。公共數(shù)據(jù)分類分級管理、公共數(shù)據(jù)開放及共享管理、公共數(shù)據(jù)訪問權(quán)限管b)技術防護子體系。數(shù)據(jù)共享和開放安全技術能力、訪問權(quán)限管理技術能力、全生命周期安全c)運行管理子體系。已具備安全管理負責人、安全日志監(jiān)審、安全培訓等運行管理,安全管理團隊也基本形成。數(shù)據(jù)訪問權(quán)限運行管理、安全監(jiān)督檢查的監(jiān)審方及監(jiān)審機制、安全事件應A.2建設內(nèi)容A.2.1概述子體系三個方面開展,主要包括制定分類分權(quán)限管控、安全事件應急響應等運行管理機制。具體包括三個方A.2.2優(yōu)化公共數(shù)據(jù)安全制度規(guī)范子體系A.2.3提升公共數(shù)據(jù)安全技術防護子體系能力、數(shù)據(jù)動態(tài)脫敏能力,實現(xiàn)數(shù)據(jù)處理階段的安全;建立數(shù)據(jù)加密/脫敏、接口管控、血緣關系分析通過建立敏感數(shù)據(jù)監(jiān)測、安全風險監(jiān)測預警、通訊安全保密等能力,提升公共數(shù)據(jù)安全防護水平。A.2.4完善公共數(shù)據(jù)安全運行管理子體系A.3建設成效a)數(shù)據(jù)安全制度規(guī)范體系逐漸完善。現(xiàn)行規(guī)范制度覆蓋面、合理性、可操作性方面得到優(yōu)化,新增分類分級、公共數(shù)據(jù)開放及共享等制度規(guī)范,指導開展義數(shù)據(jù)安全責任、事項操作流程,細化分解數(shù)據(jù)安全評價b)數(shù)據(jù)安全防護技術能力提升。公共數(shù)據(jù)脫敏等技術應用為數(shù)據(jù)安全流通提供了有效的安全處c)數(shù)據(jù)安全運行管理體系優(yōu)化改進。依托大數(shù)據(jù)平臺數(shù)據(jù)自動識別、數(shù)據(jù)標識、數(shù)據(jù)多維展現(xiàn)大幅上升。依據(jù)數(shù)據(jù)權(quán)限授予最小化原則,梳理并重新定義數(shù)據(jù)管控權(quán)限,規(guī)避數(shù)據(jù)權(quán)限不清造成的風險隱患。應急演練與應急實戰(zhàn)常態(tài)化,檢驗與調(diào)整優(yōu)化應急響應組織架構(gòu)、響應等854Q301202106561243->854Q********64679001100413425->646Z*****LYAFR7OP3BC722222->***********7入7263002Y6091020864->7263***6727161662705304130->***********a)數(shù)據(jù)權(quán)限申請審批授予。按照數(shù)據(jù)權(quán)限分配、開通、使用、變更、重置、鎖定、注銷流程的b)數(shù)據(jù)權(quán)限常規(guī)性變更。針對人員離崗、人員崗位變動、系統(tǒng)迭代、系統(tǒng)下線等變更情況,及時進行權(quán)限回收,更新數(shù)據(jù)權(quán)限清單,保證c)數(shù)據(jù)權(quán)限定期核查。按照季度進行數(shù)據(jù)權(quán)限定期核查工作,對2021年第四季度數(shù)據(jù)權(quán)限核查結(jié)果記錄表a)事件判定。發(fā)現(xiàn)數(shù)據(jù)安全事件時(大數(shù)據(jù)平臺安全模塊告警、人工主動上報經(jīng)監(jiān)測工作件分級”標準初步判定信息安全事件等級,并向應急協(xié)調(diào)小組報b)預案啟動。Ⅰ級和Ⅱ級事件(Ⅰ級最高)由應急協(xié)調(diào)小組組長下達應急預案啟動指令,并將事件情況上報監(jiān)管部門提供偵查、協(xié)助處理;Ⅲ級和Ⅳc)應急處置。由應急工作小組組長組織開展應急處置工作并協(xié)調(diào)內(nèi)外部人員支撐,應急工

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論