DB15/T 2199-2021 数据交易安全技术要求.pdf
- 文档部分内容预览:
5.2数据资源购买方安全要求
数据资源购买方应满足以下要求: a)为合法组织机构,完成在数据资源交易服务机构的注册与审核; b 向数据资源交易服务机构提供书面的数据资源使用安全承诺,明确数据资源需求内容、用途 等,确保符合国家法律法规要求,并对数据资源使用过程和结果负责; C 在按照数据资源交易约定方式完成数据资源使用后,应及时按照相关规定销毁交易数据,并 妥善保管销毁证明或记录。
北京标准规范范本5.3数据资源交易服务机构安全要求
数据资源交易服务机构应满足以下要求:人 a)为境内的合法组织机构,得到相关行政主管部门的授权或许可,并具备承担数据资源交易服 务相对应的安全保障能力; b 在境内部署用于数据资源交易服务的数据资源交易平台,至少符合CB/T222399中第三级的 相关安全要求,服务机构至少满足GB/T37988中的三级要求; c 对数据资源交易主体身份、资质等信息进行核验、登记和备案,建立登记档案,并定期核验 更新; d 交易过程中所涉及的数据资源应严格保密,不得使用、泄露、出售或者非法向他人提供,未 经数据资源提供方授权,不得留存所交易的数据资源; e 对交易过程中的违法违规操作具有追溯能力:
DB15/T2199—2021 f 建立数据安全交易管理制度和评价考核制度,实施数据安全技术防护,开展数据安全风险评 估,制定数据安全事件应急预案,定期组织数据安全培训,确保数据资源交易安全; g 设立数据安全责任人,应由具有相关资质并具备相关管理工作经历和数据安全专业知识的人 员担任,应签署安全保密协议和岗位责任协议。
6数据资源交易安全技术要求
数据资源提供方应满足但不限于以下要求: a)基于应用场景、交易类别等对交易数据资源进行分类标识; b)建立工具打标和人工审核的分类机制,能识别数据资源中禁止交易数据的敏感数据; c)对分类交易数据资源进行安全风险评估,并出具安全风险评估报告。
6. 1. 2 数据质量
数据资源提供方应满足但不限于以下要求: a)确保交易数据资源的格式规范、准确性、一致性和完整性符合数据质量评价标准 b)对数据资源进行数据质量校验和监控,发现异常数据及时告警和更正。
6. 1. 3 安全合规
数据资源交易服务机构应满足但不限于以下要求: a)对数据资源提供方提供的数据来源合法性及安全风险评估报告进行审核,确保数据资源可交 易; 要求数据资源提供方提供交易数据资源获取渠道合法、权利清晰无争议的承诺或确权证明材 料; C 对数据资源购买方的数据使用操作日志进行审核,确保数据使用合法合规。
数据资源交易服务机构应满足但不限于以下要求: 提供对数据传输通道两端进行数据资源交易主体身份鉴别和多因素认证机制,如可信数字证 书、生物识别方式等,确保交易主体身份安全可靠: b 采用符合GM/T0054等国家相关标准的密码技术对数据传输通道进行加密,并提供对传输数 据的完整性进行检测并执行恢复控制; C 对数据传输安全策略的变更进行审核和监控,部署通道安全配置、密码算法配置、密钥管理 等保护措施的技术工具; d 在数据传输链路上采取交易数据资源监控技术,具有完备的数据保护机制和数据泄露检测能 力; e 建立数据传输链路余机制,保证数据传输可靠性和网络传输服务可用性
6. 3. 1数据存储
数据资源交易服务机构应满足但不限于以下要求:
DB15/T2199202
具备多用户数据存储安全隔离能力; 对交易数据资源采用符合GM/T0054规定的数据加密方式和密码算法进行存储加密保护; 提供数据资源存储系统配置扫描工具,定期对数据资源存储系统的安全配置进行扫描,以保 证符合安全基线要求; 利用技术工具监测数据资源存储系统的数据使用规范性; e)采取相关技术手段防止数据资源在未授权条件下的下载、复制等方式的输出; 要求数据资源购买方应采取相关技术手段对交易数据进行安全储存,确保数据不泄露。
6.3.2数据备份和恢复
数据资源交易服务机构应满足但不限于以下要求: ) 建立用于数据复制、备份、恢复的统一技术工具,并将具体的备份策略固化到工具中,保证 相关工作的自动化执行: 根据数据资源存储时效性相关的合规性要求,建立数据复制、备份与恢复操作过程规范,包 括复制、备份和恢复的日志记录规范; 建立数据复制、数据备份与恢复的定期检查和更新工作程序,包括数据副本更新频率、保存 期限等,确保数据副本或备份数据的有效性。
数据资源交易服务机构应满足但不限于以下要求: a 要求数据资源提供方基于应用场景定义脱敏规则,提供基于规则的数据静态脱敏,并对数据 脱敏处理过程进行记录; b)对交易数据资源进行敏感数据审核,确保数据可交易
数据资源交易服务机构应满足但不限于以下要求: a)明确数据分析安全审核流程,对数据分析的数据源、数据分析需求、分析逻辑进行审核,以 确保数据分析目的、分析操作等方面的正当性; b 采取敏感数据审查和管控措施,避免输出的数据分析结果包含可恢复的个人信息、重要数据 等数据和结构标识,以防止数据分析结果危害个人隐私、公司商业价值、社会公共利益和国 家安全; C 确保使用的数据分析工具具备产品销售许可证。
6. 5. 1 交换安全
数据资源交易服务机构应满足但不限于以下要求: 为数据资源交易主体提供安全的数据访问接口,并且明确接口安全规范,包括且不限于接口 名称、接口标识、请求方式、请求示例、接口安全要求等; 提供对数据访问接口的安全限制和安全控制措施,如身份鉴别、授权策略、访问控制机制、 签名、时间戳、安全协议等,具备对接口不安全输入参数进行限制或过滤能力,为接口提供 异常处理能力; c)对交易数据资源实施访问控制等安全措施,防止数据资源非法使用:
B15/T2199—2021 d)通过闪存、硬盘等介质存储设备进行线下数据资源交换时,应对介质存储设备进行病毒性检 测,确保介质存储设备安全可靠。
数据资源交易服务机构应满足但不限于以下要求: a)对数据访问人员实现统一账号管理、统一认证、统一授权和统一审计; 采用多因素认证的方式进行身份认证,如可信数字证书、生物识别方式等: 对交易主体和数据资源进行权限管理,遵循最小服务的原则,依据数据使用目的建立相应强 度或粒度的访问控制机制; d 对于托管交易模式,应为数据资源购买方提供安全隔离的数据使用环境,确保数据资源购买 方在平台中的数据、系统功能、会话、调度和分析环境等资源独立运行; e 要求数据资源购买方应遵循国家相关法律法规及交易约定正确使用数据,并完整记录数据使 用过程的操作日志。
6.5.3交易过程追溯
数据资源交易服务机构应满足但不限于以下要求: 跟踪和记录数据资源交易过程,包括数据资源提供方记录、数据资源购买方记录、数据资源 交易服务机构记录; 数据资源提供方提供包括对交易数据资源的来源记录、分类记录、脱敏记录、质量核验记录 及交付记录等; 数据资源购买方提供包括对交易数据资源的接收记录、质量认定记录、使用记录及销毁记录 等; 数据资源交易服务机构记录包括数据资源审核记录、身份核验记录、数据传输过程记录、数 据交换记录及数据销毁记录等。
数据资源交易服务机构应满足但不限于以下要求: a)对每笔数据资源交易操作进行详细记录,确保交易过程可查询和分析; b 提供数据资源交易日志,包括且不限于交易时间、交易主体、交易对象、交易数据标识、敏 感数据标签、交易结果等,并且数据资源交易日志保存时间不少于三年; C 采取必要措施对数据资源交易日志妥善保存,防止未授权的更改或删除,如权限控制、异机 备份等; d)提供数据资源交易日志访间接口给国家监管部门或第三方审计机构
数据交易服务机构应满足但不限于以下要求: a 根据数据资源交易模式,制定数据销毁策略和管理制度,明确销毁对象和流程; b 建立数据销毁的审批和记录流程,并设置数据销毁监督角色,监督数据销毁操作过程; C 要求数据资源购买方按照交易约定完成数据使用后,及时销毁交易数据,并提供销毁记录, 记录包括销毁时间、销毁方式、销毁结果等; 针对网络存储数据,建立硬销毁和软销毁的数据销毁方法和技术,如基于安全策略、基于分 布式杂凑算法等网络数据分布式存储的销毁策略与机制:
DB15/T2199—202 e 针对闪存、硬盘、磁带、光盘等介质存储数据,建立硬销毁和软销毁的数据销毁方法和技术, 如覆写、消磁、捣碎及楚毁等方式
针对闪存、硬盘、磁带、光盘等介质存储数据,建立硬销毁和软销毁的数据销毁方法和技术, 如覆写、消磁、捣碎及梵毁等方式。
DB15/T 2199202
A.1数据资源交易模式技术要求示例
附录A (资料性) 数据资源交易模式技术要求示例
在线数据资源交易模式是数据资源提供方以数据调用接口的形式通过网络向数据资源购 数据的数据交易模式。表A.1给出了数据资源交易参与方在在线数据资源交易模式下应满足的 要求项。表中相应项目对应本文件正文相应条目
表A.1在线数据资源交易模式安全技术项
A.2离线数据资源交易模式技术要求
离线数据资源交易模式是数据资源提供方通过离线方式向数据资源购买方交付数据的交易 A.2给出了数据资源交易参与方在离线数据资源交易模式下应满足的安全技术要求项。表中相 应本文件正文相应条目。
DB15/T21992021
表A.2离线数据资源交易模式安全技术项
托管数据资源交易模式是数据资源提供方将数据存放到数据资源交易服务机构指定的数据托管服 务平台医疗器械标准,数据资源购买方在数据托管服务平台内使用数据,数据不发生转移的交易模式。表A.3给出了数 据资源交易参与方在托管数据资源交易模式下应满足的安全技术要求项。表中相应项目对应本文件正文 相应条
表A.3托管数据资源交易模式安全技术项
DB15/T21992021
DB15/T 2199202
镀锌电焊网标准DB15/T 2199202
表A.3托管数据资源交易模式安全技术项(续)
DB15/T2199202
....- 数据标准
- 相关专题: