DB15/T 2197-2021 大数据应用 数据安全管理责任指南.pdf
- 文档部分内容预览:
数据使用者应按照以下要求申请数据共享,安全控制措施包括: a) 应基于业务场景向数据提供者或数据管理者申请数据共享,并依据法律法规的要求在授权的 使用范围内使用共享数据; 申请共享数据时,应向数据提供者明确数据的使用目的、范围、期限、更新频率等具体使用 需求,共享数据的使用需经过两级审批(见5.2.2及5.4.1)。
5. 3. 2 共享数据使用
数据使用者按要求使用共享数据,安全控制措施包括: a)应在数据提供者的数据授权范围内使用共享数据; b)不应对脱敏后的个人信息和敏感数据通过技术手段进行再识别; C)应根据共享数据的保存期限进行数据销毁工作:
315/T21972021 d 应根据共享数据的安全级别特种设备标准,采取相应等级的安全防护措施进行防护; e 需要对共享数据进行再次加工时,应联合数据管理者对加工后的数据进行识别和设置分类分 级标签,并采取相应等级的防护措施进行安全防护; f 应完整记录数据使用过程中的操作日志,以便识别潜在的违约使用者; S 应明确数据使用的第一责任人
5.4数据管理者安全控制措施
5. 4. 1数据共享管理
数据管理者对数据共享过程进行管理,安全控制措施包括: 建立数据资源共享管理制度,指定专人负责数据资源目录的编制、审核和维护; 依据数据资源目录审核归集的数据资源,确保归集数据合规性、准确性和完整性; 牵头制定数据分类分级标准,按照数据类型与数据安全等级矩阵方法,确定数据敏感度等级; 针对具体业务场景,结合数据敏感度等级,确定场景数据使用风险等级;根据数据敏感度等 级、场景数据使用风险等级确定相应的控制措施: d 对数据提供者提交的数据分类分级情况进行审核,对不符合要求的数据分类和分级情况通报 数据提供者重新设置标签; e 牵头制定数据使用的策略和规则,对数据使用者的数据共享申请进行二次审批,重点审核数 据使用的目的和范围是否与其自身业务开展相关: 对数据使用者的分析数据结果输出进行抽查,避免分析结果输出中包含可恢复的个人信息、 重要数据等数据和结构标识,防止个人信息、重要数据等敏感信息的泄漏; 牵头数据共享交换各方对融合衍生后的数据进行识别和设置分类分级标签,并采取相应等级 的防护措施进行安全防护
5. 4. 2 安全管理
数据管理者对数据提供者、数据使用者和服务第三方的数据访问和操作进行管理,安全控制措施 包括: a 对数据收集、使用、存储、处理、共享交换、产生、销毁的过程进行监管,确保数据流转和 使用符合相关管理规定: b) 对服务第三方提供的产品和服务进行监管,要求服务第三方提供相关交付件,通过对交付件 进行分析审核、评估验证等活动,确保服务第三方所提供的产品和服务持续满足安全能力要 求; c) 监管过程中发现的安全风险事件应及时告知相关方,并监督其整改; d) 宜委托有资质和专业技术能力的服务第三方来承担安全监管工作,但应做好授权和监督审计 工作,并确保承担安全监管工作的服务方独立于其他服务第三方
5. 4. 3检查评估
数据管理者应组织开展对数据共享交换各参与方的数据安全检查评估,安全控制措施包括: 应定期组织开展对数据共享交换各参与方的数据安全检查,对检查中发现的重大安全隐患, 应当责令有关单位立即排除并报相关监管部门;对检查中发现的违法行为,应当立即制止, 并提请公安部门依法查处; 应定期对数据使用者的数据安全防护能力进行评估,确保数据使用者只能获取与之防护能力 等级相匹配的数据。
5.4.4安全事件调查处置
安全事件调查处置过程中宜采取的安全控制措施包括: a) 当发生重大数据安全事件时,数据管理者应牵头成立调查组对发生安全事件的单位进行调查, 调查组可以调阅、摘抄、复制与数据安全事件有关的资料,封存有关设备,进行调查取证; b 应根据调查结果对相关数据共享交换单位和人员进行责任追究,责令限期整改并报相关监管 部门;对造成重大损失或者社会影响的,责令暂停相关业务,涉及违法犯罪的由公安机关依 法查处。
钢结构计算、软件5.5服务第三方安全控制措施
5.5.1服务第三方通用安全要求
服务第三方包括数据产品提供者和数据服务提供者,应满足以下通用安全要求: 提供的产品和服务应满足国家法律法规和地方规章的要求,例如提供基础设施和平台服务的 应满足国家网络安全等级保护的相关要求,提供安全专用产品的应取得计算机信息系统安全 专用产品销售许可证; b 提供的产品和服务应安全可控,并进行书面安全承诺,承诺提供的产品和服务不包含恶意程 序、隐蔽接口或未明示功能的模块等; 应建立并执行针对产品和服务安全缺陷、漏洞的应急响应机制和流程,在发现提供的产品和 服务存在安全缺陷、漏洞时,应立即采取修复或替代方案等补救措施,及时告知用户安全风 险,并向数据管理者报告: d 提供的产品和服务需要收集的用户信息时,应明确告知收集用户信息的目的、用途、范围和 类型,在用户明示同意后,按照最少够用原则收集实现产品和服务功能所需的最少用户信息, 并采取安全措施保护用户信息的安全; e 提供的产品和服务应不破坏数据管理者制定的整体安全策略,应不导致其他服务第三方的产 品和服务安全能力的失效 产品和服务上线前应告知数据管理者上线计划,并接受数据管理者或由数据管理者授权委托 的服务方进行安全检查; 8 应建立内部监督审计机制,对提供服务的人员进行监督和审计,签订保密协议,确保其不泄 露用户的业务数据; 应接受数据管理者或由数据管理者授权委托的第三方监管服务方的安全监管,按监管要求提 供相关交付件供数据管理者或监管服务方审核评估,并对通报的安全风险进行及时整改。
5.5.2数据产品提供者安全控制措施
建材标准数据产品提供者宜采取的安全控制措施包括: a)应根据数据管理者制定的安全策略和规则进行数据的访问授权管理工作:
5/T21972021 b 应提供服务API的用户鉴别、鉴权和访问控制的能力,并支持服务API的调用日志记录和外 发; 应采取措施保障服务API自身的安全性,确保服务API具备防重放、代码注入、DoS/DDoS(拒 绝服务/分布式拒绝服务)等攻击防护能力; 应提供服务API过载保护的能力,实现不同服务等级用户间业务的公平性和系统整体性处理 能力的最大化,
数据服务提供者宜采取的安全控制措施包括: 对归集的数据保留原始表,不做任何加工清洗,以满足溯源、数据质量核查等需求; b 提供数据ETL(抽取/转换/加载)服务的应根据质量规则进行标准化处理,并通过技术手段保 障数据的一致性。对所有的ETL过程应记录日志,并可提供给第三方进行审计; 提供数据同步服务的通过技术手段保障数据同步过程的一致性,记录数据同步过程的所有日 志,并可提供给第三方进行审计: 提供数据分析计算服务的应配合数据管理者或数据使用者对新生成的数据进行识别和设置分 类分级标签
....- 数据标准
- 相关专题: 大数据