公共數(shù)據(jù)安全體系評估規(guī)范

公共數(shù)據(jù)安全體系評估規(guī)范(報批稿) I前言 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 25總體要求 26評估模型 27制度規(guī)范子體系評估項 58技術(shù)防護子體系評估項 79運行管理子體系評估項 10評估流程 附錄A(資料性)公共數(shù)據(jù)安全體系評估指標(biāo)定義示例 附錄B(資料性)常用評估方式示例 21附錄C(資料性)計算方法示例 22附錄D(資料性)公共數(shù)據(jù)安全體系評估案例 24參考文獻 291信息安全技術(shù)術(shù)語信息安全技術(shù)大數(shù)據(jù)安全管理指南信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求24縮略語AIT:評估項(AssessmentAS:評估子項(Assessment5.1科學(xué)性評估項和評估方法的選取應(yīng)能夠體現(xiàn)公共數(shù)據(jù)安全體系的主要內(nèi)容，反映公共主要風(fēng)險。5.2適宜性評估項和評估方法的選取應(yīng)結(jié)合本地區(qū)本部門實際情況，引導(dǎo)公共數(shù)據(jù)安全體系合理建設(shè)。5.3可度量性評估項應(yīng)具備可以獲取的證明依據(jù)，并可以度量。5.4代表性評估項應(yīng)能較為全面地反映公共數(shù)據(jù)安全體系建設(shè)的總體水平。應(yīng)充分應(yīng)用評估結(jié)果，促進公共數(shù)據(jù)安全體系的持續(xù)優(yōu)化。6評估模型公共數(shù)據(jù)安全體系評估模型包括公共數(shù)據(jù)安全體系評估項、公共安全體系評估方法。公共數(shù)據(jù)安全體系評估模型詳見圖1。3功能性(有效性)制度規(guī)范可執(zhí)行性技術(shù)防護評圍全面性c)數(shù)據(jù)分類分級標(biāo)識技術(shù)；43)安全性：評估相關(guān)技術(shù)產(chǎn)品本身是否存在漏洞、配置錯誤(基線檢查)、業(yè)務(wù)邏輯錯誤2)專業(yè)性：評估相關(guān)人員是否有足夠能力勝任職責(zé)范圍內(nèi)的工作，評估相關(guān)人員是否定期53)有效性：評估該運行管理機制在該組織落實后，是否有678儲或使用脫敏功能(包含靜態(tài)和動態(tài)脫敏);檢查該技術(shù)產(chǎn)品是否可根9組建評估團隊制定評估方案實施評估組建評估團隊制定評估方案實施評估編制對應(yīng)的評估項(含子項)和評估維度，制定評估指標(biāo)(取定評估權(quán)重和賦分規(guī)則可參考附錄B),通過評估項(AIT)評估子項(AS)1估項(AIT?)制度(AIT?-AS?)62(全部滿足得3分)3織實際情況等。(全部滿足得2分)4制度(AIT?-AS?)7等。(全部滿足得5分)5(全部滿足得3分)6織實際情況等。(全部滿足得2分)77足得5分)8(全部滿足得3分)9織實際情況等。(全部滿足得2分)得5分)評估項(AIT)評估子項(AS)估項(AIT?)7(全部滿足得3分)織實際情況等。(全部滿足得2分)制度(AIT?-AS?)5流程、銷毀工作要求等。(全部滿足得5分)(全部滿足得3分)織實際情況等。(全部滿足得2分)供應(yīng)方安全管理制度(AIT?-AS?)8(全部滿足得3分)織實際情況等。(全部滿足得2分)安全監(jiān)督檢查制度5滿足得5分)(全部滿足得3分)織實際情況等。(全部滿足得2分)安全日志審計制度7(全部滿足得3分)織實際情況等。(全部滿足得2分)急響應(yīng)制度8(全部滿足得5分)評估項(AIT)評估子項(AS)估項(AIT?)急響應(yīng)制度8(全部滿足得3分)織實際情況等。(全部滿足得2分)技術(shù)防護子體系術(shù)(AIT?-AS??)4驗的功能。(全部滿足得4分)適用性：1.核查該技術(shù)產(chǎn)品是否有效。(全部滿足得2分)等。(全部滿足得1分)誤、業(yè)務(wù)邏輯錯誤等。(全部滿足得3分)8部滿足得4分)的功能。(全部滿足得2分)2.核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。(全部滿足得1分)誤、業(yè)務(wù)邏輯錯誤等。(全部滿足得3分)技術(shù)(AIT?-AS12)8否滿足該組織業(yè)務(wù)高峰期需求等。(全部滿足得1分)誤、業(yè)務(wù)邏輯錯誤等。(全部滿足得3分)8敏)。(全部滿足得4分)態(tài)或動態(tài)脫敏保護的功能。(全部滿足得2術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。(全部滿足得1分)誤、業(yè)務(wù)邏輯錯誤等。(全部滿足得3分)評估項(AIT)評估子項(AS)技術(shù)防護子體系5加密保護。(全部滿足得2分)2.核查該滿足該組織業(yè)務(wù)高峰期需求等。(全部滿足得1分)誤、業(yè)務(wù)邏輯錯誤等。(全部滿足得3分)6(全部滿足得4分)誤、業(yè)務(wù)邏輯錯誤等。(全部滿足得3分)3關(guān)系、建立數(shù)據(jù)資產(chǎn)全景視圖等功能。(全部滿足得4分)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。(全部滿足得1分)誤、業(yè)務(wù)邏輯錯誤等。(全部滿足得3分)術(shù)(AIT?-AS??)6備份數(shù)據(jù)完整性、數(shù)據(jù)恢復(fù)等功能。(全部滿足得4分)術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。(全部滿足得1分)誤、業(yè)務(wù)邏輯錯誤等。(全部滿足得3分)7部滿足得4分)的防泄漏。(全部滿足得2分)2.核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。(全部滿足得1分)評估項(AIT)評估子項(AS)技術(shù)防護子體系7誤、業(yè)務(wù)邏輯錯誤等。(全部滿足得3分)6據(jù)的識別等功能。(全部滿足得4分)適用性：1.核查該技術(shù)產(chǎn)品是否可有效識別并據(jù)銷毀場景的數(shù)據(jù)。(全部滿足得2分)2.品性能是否滿足該組織業(yè)務(wù)高峰期需求等。(全部滿足得誤、業(yè)務(wù)邏輯錯誤等。(全部滿足得3分)6據(jù)的識別等功能。(全部滿足得4分)適用性：1.核查該技術(shù)產(chǎn)品是否可有效識別并據(jù)銷毀場景的數(shù)據(jù)。(全部滿足得2分)2.品性能是否滿足該組織業(yè)務(wù)高峰期需求等。(全部滿足得誤、業(yè)務(wù)邏輯錯誤等。(全部滿足得3分)8脫敏相關(guān)技術(shù)產(chǎn)品聯(lián)動。(全部滿足得4分)問控制。(全部滿足得2分)2.核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)高峰期需求等。(全部滿足得1分)誤、業(yè)務(wù)邏輯錯誤等。(全部滿足得3分)全技術(shù)(AIT?-AS?2)7(全部滿足得4分)放安全。(全部滿足得2分)2.核查該技足該組織業(yè)務(wù)高峰期需求等。(全部滿足得1分)誤、業(yè)務(wù)邏輯錯誤等。(全部滿足得3分)評估項(AIT)評估子項(AS)技術(shù)防護子體系術(shù)(AIT?-AS23)7否全量接入重要系統(tǒng)日志，并具備支撐威脅發(fā)現(xiàn)、識別、得4分)風(fēng)險，支撐數(shù)據(jù)安全體系建設(shè)規(guī)劃。(全部滿足得2分)2.核查該技術(shù)產(chǎn)品性能是否滿足該組織高峰期(全部滿足得1分)誤、業(yè)務(wù)邏輯錯誤等。(全部滿足得3分)運行管理子體系6團隊的各方的職責(zé)分工。檢查是否設(shè)置了機構(gòu)主要負(fù)責(zé)人人及其工作職責(zé)。(全部滿足得4分)作。(全部滿足得3分)業(yè)操守，無不良記錄。(全部滿足得3分)機制(AIT?-AS25)6環(huán)工作機制。(全部滿足得3分)級結(jié)果反饋、分類分級機制優(yōu)化等工作過程(全部滿足得3分)得4分)機制(AIT?-AS26)8記錄。(全部滿足得3分)記錄。(全部滿足得4分)評估項(AIT)評估子項(AS)運行管理子體系全管理(AIT?-AS?7)7申請審批，接口上線前和上線后的安全檢查、敏感數(shù)據(jù)實時監(jiān)測告警處置等。(全部滿足得3分)和記錄。(全部滿足得3分)和記錄。(全部滿足得4分)安全日志審計機制71分)符合性：查驗安全日志審計工作過程文件和滿足得3分)得4分)安全監(jiān)督檢查機制7符合性：查驗安全監(jiān)督檢查工作過程文件和滿足得3分)滿足得4分)機制(AIT?-AS?o)8事件發(fā)生時，應(yīng)急響應(yīng)工作記錄和結(jié)果文件。安全培訓(xùn)機制5施、效果考核、計劃優(yōu)化調(diào)整等環(huán)節(jié)。(全部滿足得4分)優(yōu)化調(diào)整等工作過程文件和記錄。(全部滿足得3分)優(yōu)化調(diào)整等工作結(jié)果文件和記錄。(全部滿足得3分)DB33/TXXXX—2022(資料性)YZRs——評估子項權(quán)重值；資料查閱532資料查閱532資料查閱522理制度(AIT?-AS?)資料查閱531資料查閱521表D.1評估指標(biāo)計分表(續(xù))供應(yīng)方安全管理(AIT?-資料查閱532安全監(jiān)督檢查制度資料查閱532安全日志審計制度資料查閱532安全事件管理與應(yīng)急響應(yīng)制度(AIT?-AS?)資料查閱532技術(shù)防護子體系技術(shù)檢測422技術(shù)檢測333技術(shù)檢測433數(shù)據(jù)脫敏技術(shù)(AIT?-技術(shù)檢測433數(shù)據(jù)加密技術(shù)(AIT?-技術(shù)檢測423技術(shù)檢測433技術(shù)檢測333技術(shù)檢測421表D.1評估指標(biāo)計分表(續(xù))技術(shù)防護子體系數(shù)據(jù)防泄漏技術(shù)(AIT?-技術(shù)檢測433技術(shù)檢測323數(shù)據(jù)銷毀技術(shù)(AIT?-技術(shù)檢測423技術(shù)檢測333術(shù)(AIT?-AS2?)技術(shù)檢測421技術(shù)檢測433運行管理子體系數(shù)據(jù)安全團隊(AIT?-資料查閱問卷調(diào)查333數(shù)據(jù)分類分級管理機制資料查閱334數(shù)據(jù)訪問權(quán)限管理機制(AIT?-AS?后)資料查閱232理(AIT?-AS?)資料查閱233安全日志審計機制資料查閱333安全監(jiān)督檢查機制資料查閱334表D.1評估指標(biāo)計分表(續(xù))運行管理子體系安全事件應(yīng)急響應(yīng)機制資料查閱232安全培訓(xùn)機制(AIT?-資料查閱233評估團隊召開復(fù)評會議，根據(jù)評估過程記錄及評估證明材料，最終研判核準(zhǔn)各評估子項分值(復(fù)評)數(shù)據(jù)分類分級管理制度(AIT?-AS?)68數(shù)據(jù)訪問權(quán)限管理制度(AIT?-AS?)7數(shù)據(jù)脫敏管理制度(AIT?-AS?)78數(shù)據(jù)共享和開放安全管理制度(AIT?-AS?)79數(shù)據(jù)安全銷毀管理制度(AIT?-AS?)58供應(yīng)方安全管理(AIT?-AS?)8安全監(jiān)督檢查制度(AIT?-AS?)5安全日志審計制度(AIT?-AS?)78安全事件管理與應(yīng)急響應(yīng)制度(AIT?-AS?)8數(shù)據(jù)源統(tǒng)一鑒別技術(shù)(AIT?-AS??)48敏感數(shù)據(jù)識別技術(shù)(AIT?-AS?)88數(shù)據(jù)分類分級標(biāo)識技術(shù)(AIT?-AS1?)89數(shù)據(jù)脫敏技術(shù)(AIT?-AS??)88數(shù)據(jù)加密技術(shù)(AIT?-AS??)58傳輸通道加密技術(shù)(AIT?-AS??)69數(shù)據(jù)血緣關(guān)系技術(shù)(AIT?-AS?6)38數(shù)據(jù)備份和恢復(fù)技術(shù)(AIT?-AS??)67數(shù)據(jù)防泄漏技術(shù)(AIT?-ASi?)78銷毀數(shù)據(jù)識別技術(shù)(AIT?-AS?9)68數(shù)據(jù)銷毀技術(shù)(AIT?-AS?0)69訪問權(quán)限管理技術(shù)(AIT?-AS?)89數(shù)據(jù)共享和開放安全技術(shù)(AIT?-AS)77安全監(jiān)測與預(yù)警技術(shù)(AIT?-AS?)79評估子項分值(復(fù)評)數(shù)據(jù)安全團隊(AIT?-ASs)69數(shù)據(jù)分類分級管理機制(AIT?-AS?6)69數(shù)據(jù)訪