DB6101-T 3189-2024 檢驗(yàn)檢測數(shù)據(jù)管理規(guī)范 數(shù)據(jù)安全

ICS35.020CCSL706101IDB6101/T3189—2024前言 2規(guī)范性引用文件 3術(shù)語和定義 4總則 5基本要求 26數(shù)據(jù)安全管理 26.1數(shù)據(jù)收集 26.2數(shù)據(jù)存儲 26.3數(shù)據(jù)使用 26.4數(shù)據(jù)加工 26.5數(shù)據(jù)傳輸 26.6數(shù)據(jù)提供 36.7數(shù)據(jù)公開 36.8數(shù)據(jù)刪除 37證實(shí)方法 37.1驗(yàn)證內(nèi)容 37.2驗(yàn)證方法 3參考文獻(xiàn) 4DB6101/T3189—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本文件由西安市市場監(jiān)督管理局提出并歸口。本文件起草單位：瑞特認(rèn)證檢測集團(tuán)有限公司、陜西瑞智信息技術(shù)有限公司、中鐵一局集團(tuán)有限公司、陜西漢通建設(shè)工程質(zhì)量檢測有限公司、陜西省建筑工程質(zhì)量檢測中心有限公司、西安市質(zhì)量與標(biāo)準(zhǔn)化研究院、西安尚易安華信息科技有限責(zé)任公司、國網(wǎng)陜西省電力公司西安供電公司、湖北鐵建工程檢測有限公司。本文件主要起草人：曹原、王暉、祁喆、胡亞芹、曹珺溥、暢亞文、張源、劉欣、劉娟、范文麗、田鵬輝、劉雯、王磊、馬良。本文件由瑞特認(rèn)證檢測集團(tuán)有限公司負(fù)責(zé)解釋。本文件首次發(fā)布。本文件在實(shí)施過程中如有疑問或建議，請將咨詢或修改建議等信息反饋至下列單位：單位：瑞特認(rèn)證檢測集團(tuán)有限公司地址：陜西省西安市藍(lán)田縣華胥鎮(zhèn)西北家具工業(yè)園區(qū)新港七路8號電話編：7105231DB6101/T3189—2024檢驗(yàn)檢測數(shù)據(jù)管理規(guī)范數(shù)據(jù)安全本文件規(guī)定了檢驗(yàn)檢測數(shù)據(jù)管理總則、基本要求、數(shù)據(jù)安全管理和證實(shí)方法的要求。本文件適用于西安市檢驗(yàn)檢測數(shù)據(jù)管理的數(shù)據(jù)安全要求。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T11457信息技術(shù)軟件工程術(shù)語GB/T37973信息安全技術(shù)大數(shù)據(jù)安全管理指南GB/T37988信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型3術(shù)語和定義GB/T11457、GB/T37973、GB/T37988界定的術(shù)語和定義適用于本文件。3.1數(shù)據(jù)安全通過管理和技術(shù)措施,確保數(shù)據(jù)有效保護(hù)和合規(guī)使用的狀態(tài)。[來源：GB/T37988—2019，3.1]3.2大數(shù)據(jù)具有數(shù)量巨大、種類多樣、流動速度快、特征多變等特性，并且難以用傳統(tǒng)數(shù)據(jù)體系結(jié)構(gòu)和數(shù)據(jù)處理技術(shù)進(jìn)行有效組織、存儲、計算、分析和管理的數(shù)據(jù)集。[來源：GB/T37973—2019，3.1]3.3數(shù)據(jù)脫敏通過一系列數(shù)據(jù)處理方法對原始數(shù)據(jù)進(jìn)行處理以屏蔽敏感數(shù)據(jù)的一種數(shù)據(jù)保護(hù)方法。[來源：GB/T37988—2019，3.12]3.4完整性系統(tǒng)或部件防止未授權(quán)訪問或修改計算機(jī)程序或數(shù)據(jù)的程度。[來源：GB/T11457—2006，2.789]4總則檢驗(yàn)檢測業(yè)務(wù)數(shù)據(jù)處理活動主要圍繞著檢驗(yàn)檢測的業(yè)務(wù)功能展開，產(chǎn)生的數(shù)據(jù)包括但不限于：樣品信息、見證取樣信息、抽樣信息、受理信息、檢驗(yàn)信息和報告信息。2DB6101/T3189—2024檢驗(yàn)檢測業(yè)務(wù)數(shù)據(jù)的生命周期各個階段包括：數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)使用、數(shù)據(jù)加工、數(shù)據(jù)傳輸、數(shù)據(jù)提供、數(shù)據(jù)公開、數(shù)據(jù)刪除。5基本要求5.1組織應(yīng)明確檢驗(yàn)檢測數(shù)據(jù)安全策略，制定方針、目標(biāo)和原則，形成文件。5.2數(shù)據(jù)安全應(yīng)覆蓋數(shù)據(jù)生命周期相關(guān)的業(yè)務(wù)、系統(tǒng)和應(yīng)用，并明確與之相關(guān)的崗位、人員和職責(zé)。5.3應(yīng)建立數(shù)據(jù)安全風(fēng)險評估體制機(jī)制，有效實(shí)施，并持續(xù)改進(jìn)其有效性和效率。5.4應(yīng)建立數(shù)據(jù)安全應(yīng)急響應(yīng)體系，包括應(yīng)急預(yù)案、應(yīng)急演練、監(jiān)測與預(yù)警、應(yīng)急處置流程、保障措施等內(nèi)容。6數(shù)據(jù)安全管理6.1數(shù)據(jù)收集6.1.1應(yīng)建立數(shù)據(jù)收集操作規(guī)程，覆蓋檢驗(yàn)檢測數(shù)據(jù)收集全過程，明確數(shù)據(jù)收集的數(shù)據(jù)源、獲取目的，并應(yīng)對數(shù)據(jù)收集的環(huán)境、設(shè)施和技術(shù)工具進(jìn)行評估。6.1.2應(yīng)采取必要的技術(shù)手段對數(shù)據(jù)收集過程進(jìn)行監(jiān)視，規(guī)范數(shù)據(jù)獲取渠道及其獲取數(shù)據(jù)格式、獲取流程和獲取方式，并定期評估數(shù)據(jù)獲取操作規(guī)程的合規(guī)性。6.1.3應(yīng)在數(shù)據(jù)獲取、清洗、標(biāo)識、加載過程中，采用必要的安全措施。6.2數(shù)據(jù)存儲6.2.1應(yīng)建立數(shù)據(jù)存儲安全管理操作規(guī)程，按照檢驗(yàn)檢測數(shù)據(jù)類型確定數(shù)據(jù)存儲期限進(jìn)行留存，對數(shù)據(jù)存儲的環(huán)境、設(shè)施和技術(shù)工具進(jìn)行評估。6.2.2應(yīng)采取必要的技術(shù)措施滿足不同層次數(shù)據(jù)加密存儲能力。6.2.3應(yīng)在數(shù)據(jù)副本、備份、歸檔、留存、密鑰管理過程中，采用必要的安全措施。6.3數(shù)據(jù)使用6.3.1應(yīng)明確數(shù)據(jù)使用制度，對數(shù)據(jù)使用全過程進(jìn)行有效監(jiān)控，使用數(shù)據(jù)前進(jìn)行安全評估，符合要求后方可使用，數(shù)據(jù)使用后應(yīng)進(jìn)行有效跟蹤并評估其安全影響。6.3.2應(yīng)綜合業(yè)務(wù)需要采用訪問控制機(jī)制。6.3.3應(yīng)在展示敏感信息時，采用必要的數(shù)據(jù)脫敏等技術(shù)。6.4數(shù)據(jù)加工6.4.1應(yīng)建立數(shù)據(jù)加工安全操作規(guī)程，根據(jù)檢驗(yàn)檢測數(shù)據(jù)相關(guān)適用標(biāo)準(zhǔn)的要求以及業(yè)務(wù)需求，對敏感檢驗(yàn)檢測數(shù)據(jù)進(jìn)行脫敏處理，保證數(shù)據(jù)可用性和安全性。6.4.2應(yīng)對檢驗(yàn)檢測數(shù)據(jù)脫敏處理過程的操作記錄進(jìn)行保存，以滿足數(shù)據(jù)脫敏處理安全審計要求。6.5數(shù)據(jù)傳輸6.5.1應(yīng)建立數(shù)據(jù)傳輸安全操作規(guī)程，通過部署安全通道、數(shù)據(jù)加密等措施保證大數(shù)據(jù)系統(tǒng)中數(shù)據(jù)傳輸?shù)谋Ｃ苄?，對?shù)據(jù)傳輸?shù)沫h(huán)境、設(shè)施和技術(shù)工具進(jìn)行評估。6.5.2應(yīng)采用斷點(diǎn)續(xù)傳、超時重新連接等技術(shù)機(jī)制，保障數(shù)據(jù)傳輸任務(wù)的可靠性，并具備對傳輸數(shù)據(jù)的完整性進(jìn)行驗(yàn)證的能力。3DB6101/T3189—20246.6數(shù)據(jù)提供6.6.1應(yīng)建立數(shù)據(jù)提供安全操作規(guī)范、規(guī)程，明確數(shù)據(jù)提供活動涉及的職能部門和崗位相關(guān)的用戶職責(zé)和權(quán)限，保證數(shù)據(jù)提供安全策略的有效性。6.6.2應(yīng)對數(shù)據(jù)提供活動進(jìn)行監(jiān)控，并采用數(shù)據(jù)加密、安全通道等管控措施提供數(shù)據(jù)，定期評估數(shù)據(jù)提供通道的安全性。6.6.3應(yīng)制定數(shù)據(jù)提供活動安全審計策略和審計日志管理操作規(guī)范，記錄數(shù)據(jù)提供活動日志。6.7數(shù)據(jù)公開6.7.1應(yīng)建立數(shù)據(jù)主動公開發(fā)布管理制度和操作規(guī)范，明確發(fā)布數(shù)據(jù)使用者的權(quán)利和義務(wù)。6.7.2應(yīng)提供數(shù)據(jù)發(fā)布清單，包括發(fā)布數(shù)據(jù)摘要、數(shù)據(jù)格式、更新頻率等內(nèi)容,以及使用條件等。6.7.3應(yīng)定期審核發(fā)布數(shù)據(jù)資源的使用報告。6.8數(shù)據(jù)刪除6.8.1應(yīng)建立組織的數(shù)據(jù)刪除流程，明確刪除安全要求，對刪除數(shù)據(jù)進(jìn)行審批、記錄，確保所有過程可控、可溯源、可審計。6.8.2應(yīng)建立不可逆數(shù)據(jù)刪除機(jī)制，配置必要的數(shù)據(jù)刪除工具，能根據(jù)業(yè)務(wù)場景需求以不可逆方式刪除相關(guān)的數(shù)據(jù)及其衍生的各種副本數(shù)據(jù)。6.8.3應(yīng)建立數(shù)據(jù)刪除效果評估和復(fù)核機(jī)制，定期檢查已被刪除的數(shù)據(jù)是否還能訪問。7證實(shí)方法7.1驗(yàn)證內(nèi)容數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除各階段的要求。7.2驗(yàn)證方法7.2.1應(yīng)對數(shù)據(jù)處理活動及其數(shù)據(jù)操作服務(wù)的安全進(jìn)行監(jiān)測，對數(shù)據(jù)處理活動及其數(shù)據(jù)操作服務(wù)的訪問進(jìn)行監(jiān)控。7.2.2應(yīng)定期對檢驗(yàn)檢測系統(tǒng)的安全控制措施進(jìn)行檢查，使所采取的安全措施覆蓋數(shù)據(jù)生命周期各個階段。7.2.3應(yīng)定期安排或在爆發(fā)網(wǎng)絡(luò)攻擊、重大安全漏洞時，及時開展專項(xiàng)安全檢查。4DB6101/T3189—2024參考文獻(xiàn)[1]GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保