DB3201/T 1040-2021 政务数据安全管理指南.pdf
- 文档部分内容预览:
数据安全监审方是指对政务数据安全开展监督审计的内设部门或外部机构。数据安全监审方主要负 贵对政务大数据的数据安全保障工作进行监督和审计,对数据安全管理制度和标准提出完善和优化建议 并督促安全隐惠整改
政务数据分级宜采用自主定级原则,由政务部门对本部门管辖的政务数据进行分级
6. 2. 1 要素概述
政务数据的分级宜考虑以下要素综合判定,分级要素包括: 发生数据安全事件后的影响对象; 发生数据安全事件后的影响程度: 发生数据安全事件后的影响范围。
镀铬标准6. 2. 2影响对象
影响对象包括党政机关、企事业单位和社会组织、自然人
6. 2. 3影响程度
DB3201/T1040202
影响程度包括轻微影响、一般影响和严重影响。 轻微影响是指对党政机关、企事业单位和社会组织及自然人的工作运作、资产、安全会造成 轻微的损害,造成的结果可以补救。 一般影响是指对党政机关、企事业单位和社会组织及自然人的工作运作、资产、安全会造成 损害,造成的结果不可逆,但是可以采取措施降低损失。 严重影响是指对党政机关、企事业单位和社会组织及自然人的工作运作、资产、安全会造成 严重损害,造成的结果不可逆
6. 2. 4影响范围
影响范围可分为较大影响范围和较小影响范围。 较小影响范围是指影响党政机关数量不宜超过1个,企事业单位和社会组织数量不宜超过3 个,自然人数量不宜超过50人。 较小影响范围之外的为较大影响范围。
对政务数据分级时充分考虑政务数据的敏感性,数据是否涉及国家重要数据、用户个人信息,根 务数据在发生数据泄露、非授权使用等安全事件后对党政机关、企事业单位和社会组织、自然人的合 权益的危害程度来确定政务数据的级别。 第一级(不敏感):发生数据泄露、非授权使用等安全事件后对党政机关、企事业单位和社 会组织或自然人的工作运作、资产权益、人身安全无影响;或产生较小影响范围的轻微影响。 包括但不限于涉及公众利益调整、需要公众广泛知晓或者需要公众参与决策的政务数据等, 《南京市政务数据归集、共享、开放实施细则》规定的无条件开放的政务数据建议属于本级 数据。 第二级(低敏感):发生数据泄露、非授权使用等安全事件后对党政机关、企事业单位和社 会组织或自然人的工作运作、资产权益、人身安全产生一般影响或较大影响范围的轻微影响。 包括但不限于用户个人信息。《南京市政务数据归集、共享、开放实施细则》规定的有条件 共享和有条件开放的政务数据建议属于本级数据。 第三级(高敏感):发生数据泄露、非授权使用等安全事件后对党政机关、企事业单位和社 会组织或自然人的工作运作、资产权益、人身安全产生严重影响。包括但不限于用户个人敏 感信息,《南京市政务数据归集、共享、开放实施细则》规定的不共享和不开放的政务数据 建议属于本级数据。 分级要素与数据级别的对应关系,见表1
DB3201/T 10402021
政务数据安全分级是对政务数据进行分级管控的前提,依据自主定级原则,各政务部门在数据分级 中宜考虑以下环节。 a 梳理数据资产:政务数据安全执行方全面梳理管辖政务数据资产,并形成数据资产目录。 初步确定分级结果:政务数据安全执行方参照“分级标准”,结合现有和可预期的数据应用 场景、部门业务内容,初步确定数据级别。 定级评审:政务数据安全执行方宜组织数据安全管理方和监审方对数据初步分级结果进行评 审。 d) 决策方审批:将数据分级结果报本单位数据安全决策方审批。 e 备案:将数据分级结果报本级政务大数据管理局备案。 f 数据分级变更:当数据应用场景,数据分级要素等发生较大变化时,宜考虑重新对数据进行 分级。
7政务数据安全管理要求
根据政务数据安全级别,数据安全实施分级管理。 第一级数据安全管理宜参照GB/T22239规定的数据安全要求。 对第二级和第三级数据在参照GB/T22239规定的数据安全要求的基础上,宜参考本文件7.2、7.3 7.4、7.5章节,从数据安全岗位人员、数据安全制度流程、数据安全技术措施和数据安全运营管控等四 个方面,对数据各环节进行安全保护。 个人信息相关的数据安全管理宜参照GB/T35273的要求。
7.2数据安全岗位人员
政务部门宜设置数据安全岗位,配备必要的人员,具备相应的能力承担数据安全工作。加强人员(含 为政务部门承担系统建设和运维的服务厂商人员)安全管理,防范可能由人员引发的数据安全风险。 数据安全岗位人员管理要求见表2。
表2数据安全岗位人员管理要求
DB3201/T1040202
表2数据安全岗位人员管理要求(续)
7.3数据安全制度流程
政务部门宜通过建立完善数据安全制度和管理流程,规范数据采集、传输、存储、加工、共享、开 放、 销毁各环节的工作,管控可能存在的数据安全风险。 数据安全制度流程管理要求见表3。
3数据安全制度流程管
7.4数据安全技术措施
政务部门在数据采集、传输、存储、加工、共享、开放、销毁各环节中,宜考虑部署相应的数 、数据脱敏、数据溯源、数据操作权限管理、数据操作记录、数据备份与恢复、数据安全审计等 施,防止数据泄露、滥用、篡改以及损毁等风险。 数据安全技术措施管理要求见表4。
DB3201/T 10402021
表4数据安全技术措施管理要求
7.5数据安全运营管控
pppDB3201/T10402021
对数据业务、服务的日常安全管控称为数据安全运营。政务部门宜通过规范数据安全运营管控工作, 控制日常数据安全风险, 数据安全运营管控宜考虑数据资产管理、数据分级、数据权限管理、数据操作管理、数据安全监测 与审计、数据安全风险评估、数据安全监审、数据安全事件与应急管理,政务数据共享开放安全管理方 面。 数据安全运营管控管理要求见表5
表5数据安全运营管控要求
DB3201/T 10402021
土方机械标准规范范本表5数据安全运营管控要求(续)
DB3201/T10402021
....- 数据标准
- 相关专题: 政务数据