DB11-T 2350-2024 數(shù)據(jù)交易安全評估指南

DB11北京市市場監(jiān)督管理局發(fā)布 蜜度信息技術(shù)有限公司、國網(wǎng)北京海淀供電投資有限公司、北京航空航天大學(xué)、北京國網(wǎng)信通埃森哲信息技巍、王吾冰、穆帥先、楊祖艷、宗丹辰、邱鍇莫雄劍、潘沖、焦承林、譚伊舒、趙瑩、高尚滔、胡月、盧怡賢、戴薇數(shù)據(jù)交易安全評估指南為提升安全能力提供參考。數(shù)據(jù)交易安全評估范圍基礎(chǔ)項評估：對各指標(biāo)維度進(jìn)行達(dá)標(biāo)與不達(dá)標(biāo)判斷，如其中某項指標(biāo)維度基礎(chǔ)項不滿足要求，則加分項評估無效，對應(yīng)指標(biāo)維度安全要求加分項評估：指標(biāo)維度滿足基礎(chǔ)項要求的情況下，開展指標(biāo)維度加分項評估。指標(biāo)維度加分項權(quán)重可結(jié)合具體行業(yè)情況及數(shù)據(jù)交易應(yīng)用場景，參考本標(biāo)準(zhǔn)建議權(quán)重范圍進(jìn)行a)依法成立并有效存續(xù)的法人、非法人組織機(jī)構(gòu)，或具備相應(yīng)民事行b)在一年內(nèi)不存在數(shù)據(jù)類違法違規(guī)記錄，未發(fā)生過數(shù)據(jù)泄露c)在五年內(nèi)未因違反網(wǎng)絡(luò)安全法律法規(guī)受到a)具備數(shù)據(jù)安全技術(shù)能力和安全管理制度，如敏感數(shù)據(jù)識別、數(shù)據(jù)分類分級、數(shù)據(jù)脫等級保護(hù)要求，宜具備對接收方的數(shù)據(jù)共享、調(diào)用情況的監(jiān)測措施，相關(guān)日志留存時間不b)具有明確的概要描述、產(chǎn)品形態(tài)、應(yīng)用場景、使用范圍、服務(wù)方式c)具有數(shù)據(jù)來源權(quán)屬合法合規(guī)的報告或e)真實、準(zhǔn)確、完整披露數(shù)據(jù)交易標(biāo)的信息，不隱a)提供數(shù)據(jù)質(zhì)量、數(shù)據(jù)合規(guī)、數(shù)據(jù)安全等第三方專a)不以欺詐、誘騙、誤導(dǎo)、脅迫、賄賂等違法a)根據(jù)數(shù)據(jù)需方要求，給出數(shù)據(jù)需方關(guān)注的產(chǎn)品解答并進(jìn)行a)根據(jù)合同約定，按時、保質(zhì)提供數(shù)據(jù)交易標(biāo)的，供數(shù)c)配合監(jiān)管部門和數(shù)據(jù)交易場所開展數(shù)據(jù)交易標(biāo)的交付和交易結(jié)算過程中的履約監(jiān)管和交加分項評估：指標(biāo)維度滿足基礎(chǔ)項要求的情況下，開展指標(biāo)維度加分項評估。指標(biāo)維度加分項權(quán)重可結(jié)合具體行業(yè)情況及數(shù)據(jù)交易應(yīng)用場景，參考本標(biāo)準(zhǔn)建議a)依法成立并有效存續(xù)的法人、非法人組織機(jī)構(gòu)，或具備相應(yīng)民事行b)在1年內(nèi)不存在數(shù)據(jù)類違法違規(guī)記錄，未發(fā)生過數(shù)a)具備數(shù)據(jù)安全技術(shù)能力和安全管理制度，如敏感數(shù)據(jù)識別、數(shù)據(jù)分類分級、數(shù)據(jù)脫敏、數(shù)d)交易標(biāo)的涉及重要數(shù)據(jù)的，宜具備對接收方的數(shù)據(jù)共享、調(diào)用情況的監(jiān)測措施，相關(guān)日志a)不以欺詐、誘騙、誤導(dǎo)、脅迫、賄賂等違法a)按照數(shù)據(jù)交易雙方約定使用數(shù)據(jù)，授權(quán)使用不超出交a)對供方提供的數(shù)據(jù)交易標(biāo)的的安全性、合規(guī)性進(jìn)行審核；對數(shù)據(jù)交易標(biāo)的的符合性、有效b)對數(shù)據(jù)交付平臺業(yè)務(wù)安全性、穩(wěn)定性、連續(xù)性進(jìn)行評a)配合監(jiān)管部門和數(shù)據(jù)交易場所開展交易后的追溯和審計工作，接收重要數(shù)據(jù)的，留存交付b)按合同約定，保證數(shù)據(jù)交易標(biāo)的數(shù)據(jù)安全，防止c)在交易結(jié)束后，按合同約定清除相關(guān)數(shù)據(jù)的緩存，并對清除記錄及數(shù)據(jù)清除措施的有效性在數(shù)據(jù)交易過程中，對數(shù)據(jù)交易場所進(jìn)行安全評估建立可參考的指標(biāo)體系，加分項和權(quán)重范圍根基礎(chǔ)項評估：對各指標(biāo)維度進(jìn)行達(dá)標(biāo)與不達(dá)標(biāo)判斷，如其中某項指標(biāo)維度基礎(chǔ)項不滿足要求，則加分項評估無效，對加分項評估：指標(biāo)維度滿足基礎(chǔ)項要求指標(biāo)維度加分項權(quán)重可結(jié)合具體行業(yè)情況及數(shù)據(jù)交易應(yīng)用場景，參考本標(biāo)準(zhǔn)建議權(quán)重范圍進(jìn)行評估打分，權(quán)重加總為b)近一年內(nèi)無數(shù)據(jù)類違法違規(guī)記錄的c)建立明確的數(shù)據(jù)交易規(guī)則，明確定義包括數(shù)據(jù)交易標(biāo)的準(zhǔn)入及審核、交易主體準(zhǔn)入及審核、計制度、應(yīng)用運維流程規(guī)范及巡檢制度，定期對制度進(jìn)行完善并就落實情況進(jìn)依法采取必要的處置措施，保存有關(guān)記錄，按照相關(guān)法律法規(guī)和監(jiān)管要求向主管部門報告。a)建立數(shù)據(jù)交易合規(guī)巡檢機(jī)制，定期對交易主體、數(shù)據(jù)交易標(biāo)的的安全性、合規(guī)性進(jìn)行檢查；b)建立數(shù)據(jù)交易參與方的信用管理機(jī)制，對入駐各方服務(wù)內(nèi)容、質(zhì)量、交易行為等進(jìn)行評估；d)完善數(shù)據(jù)交易異議處理機(jī)制，為交易雙方提a)在經(jīng)政府批準(zhǔn)依法設(shè)立的數(shù)據(jù)交易場所內(nèi)建設(shè)，且部署在d)建立安全風(fēng)險監(jiān)測機(jī)制，及時發(fā)現(xiàn)安全缺陷、漏洞e)建立隱私保護(hù)機(jī)制，包括數(shù)據(jù)匿名化處理、用戶同意f)支持監(jiān)管部門訪問交易日志、數(shù)據(jù)存證、電子服務(wù)合同等審計資料，開展數(shù)據(jù)交易服務(wù)的h)提供傳輸鏈路加密、傳輸數(shù)據(jù)保密性和完整性校驗i)提供安全穩(wěn)定的數(shù)據(jù)交付環(huán)境，并采取數(shù)據(jù)加密、訪問控制、數(shù)據(jù)防泄漏、水印溯源、安全審計等措施，防止交易過程中的數(shù)據(jù)泄露、篡改、破壞或非法獲取、非法交易、非法利b)具備惡意代碼防護(hù)能力，能夠?qū)灰讛?shù)據(jù)含有的惡意代碼交易參與方審核、交易數(shù)據(jù)和需求審核、交易暫停、交d)授予數(shù)據(jù)交易各參與方所需的最小必要權(quán)限，b)按照相關(guān)制度要求審核數(shù)據(jù)交易參a)通過資料審核、身份鑒別等方式驗證第三方評估結(jié)論，對第三方提供報告的真實性和有效b)根據(jù)數(shù)據(jù)供需雙方提供的材料，審核數(shù)a)審核申請上架的數(shù)據(jù)交易標(biāo)的相關(guān)材料，包括但不限于數(shù)b)對于包含敏感數(shù)據(jù)的數(shù)據(jù)交易標(biāo)的，提供相應(yīng)的安全b)依據(jù)數(shù)據(jù)交易標(biāo)的分類分級、應(yīng)用場景等進(jìn)行權(quán)限管理和d)輔助供需雙方對數(shù)據(jù)交易標(biāo)的類型、質(zhì)量、用途、使用范圍、交付方式b)審核數(shù)據(jù)交易參與方按照合同約定完成c)提供安全交易環(huán)境，對數(shù)據(jù)交付過程中的加工、計e)具備交易結(jié)算功能，按照合同約定對交a)根據(jù)交付要求，提供隱私保護(hù)計算c)采用數(shù)據(jù)加密技術(shù)對網(wǎng)絡(luò)數(shù)據(jù)進(jìn)行加密，防a)數(shù)據(jù)交易各參與方確認(rèn)交易結(jié)束后，關(guān)閉數(shù)據(jù)訪問通b)對數(shù)據(jù)交易過程中交易記錄等證據(jù)材料進(jìn)行管理、記d)未經(jīng)授權(quán)不私自留存及使用數(shù)據(jù)供方或需方的數(shù)a)提供投訴舉報渠道，審核數(shù)據(jù)交易各環(huán)節(jié)的數(shù)據(jù)b)建立爭議解決機(jī)制，對服務(wù)中的爭議進(jìn)c)對數(shù)據(jù)