DB33/T 2487-2022 标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
DB33/T 2487-2022 公共数据安全体系建设指南.pdf5.3数据访问权限管理制度
数据访问权限管理可基于公共数据访问业务需求,按照仅赋予用户开展工作所必须最小权限的原则 制定,内容主要包括: a)公共数据载体和公共数据权限管理系统的账号权限安全管理职责分工: b)公共数据载体和公共数据权限管理系统的账号权限管理工作要求:
GB 23200.72-2016 食品安全国家标准 食品中苯酰胺类农药残留量的测定 气相色谱-质谱法公共数据访问账号权限分配、开通、使用、变更、重置、锁定、注销等的申请审批流程; 具备超级管理员权限或数据批量复制、处理、导出和删除等高风险操作权限账号的安全要 等。
5.4数据脱敏管理制度
数据脱敏管理制度可基于数据级别及应用场景,结合实际需求制定,内容主要包括: a) 公共数据脱敏规则; 公共数据脱敏工作的管理要求; C 公共数据脱敏工作的技术要求; d)公共数据脱敏工作流程等。
5.5数据共享和开放安全管理制度
数据共享和开放方式不限于数据查询接口、批量数据同步 类兴享和升放场京制定相应 刮度,内容主要包括: a)各类别和级别公共数据共享和开放安全管理要求; b) 各类别和级别公共数据共享和开放安全技术要求; C 各类别和级别公共数据共享和开放的应用场景: d) 各类别和级别公共数据共享和开放的工作流程: e 各类别和级别公共数据共享和开放的申请审批环节等
5.6数据安全销毁管理制度
公共数据安全销毁管理制度宜充分考虑数据销毁的必要性、及时性、可靠性等,内容主要包括: a)各类别和级别公共数据销毁对象: 6 各类别和级别公共数据销毁场景; C 各类别和级别公共数据销毁方式; d 各类别和级别公共数据销毁流程; 各类别和级别公共数据销毁工作要求等
5.7供应方安全管理制度
供应方引入的安全管理要求,包括资质和背景安全审查等; b 供应方及供应方人员的安全管理要求,包括终端安全、网络安全、数据安全、保密管理等; 供应方及供应方人员的安全职责、安全考核要求及惩处措施; d 供应方及供应方人员的服务安全保护及保密协议及安全承诺书的签订; e 供应方人员变更机制; f 供应方合作终止机制等,
5.8 安全监督检查制度
宜通过制定监督、检查等制度,保障数据安全管理策略落地,内容主要包括: a)公共数据安全管理监督检查内容: b)公共数据安全管理监督检查方式:
c)公共数据安全管理监督检查工作周期; d)公共数据安全管理监督检查工作流程等
宜通过制定安全日志审计制度,推动各应用、各系统的日志采集及分析,识别数据安全风险,并进 行告警及处置,实现问题可追溯。公共数据安全日志审计制度,内容主要包括: 公共数据安全审计日志的采集内容; b 公共数据安全审计日志的采集方式; c 公共数据安全审计日志标准化要求: d 公共数据安全审计日志存储要求; e) 公共数据安全审计策略和规则; f)异常预警及处置工作流程等。
公共数据安全技术防护子体系宜覆盖公共数据全生命周期各环节。公共数据安全技术防护子体系主 要包括: 一一公共数据全生命周期安全管理技术; 一公共数据访问权限管理技术: 一公共数据共享和开放安全技术; 公共数据安全监测与预警技术等
6.2全生命周期安全管理技术
依据场景按需建立对应安全保障措施,监测和防范数据全生命周期各环节可能存在的安全风险,包 括但不限于数据篡改、泄露、滥用、损毁等。建立公共数据全生命周期安全管理技术,主要包括: a 数据源统一鉴别技术; b) 敏感数据识别; ) 数据分类分级标识技术: d) 数据脱敏技术,相关案例可参见附录C; e 数据加密技术; ) 传输通道加密技术; g 数据血缘关系技术; 数据备份与恢复技术:
数据防泄漏技术; j)销毁数据识别技术; k)数据有效销毁技术等。
i)数据防泄漏技术; j)销毁数据识别技术; k)数据有效销毁技术等
6.3访问权限管理技术
采用访问权限控制管理技术能力,确保仅赋予用户开展工作所必须的最小权限。公共数据访问权限 管理技术,主要包括: a)公共数据访问权限集中认证技术; b)公共数据访问权限统一入口访问; c)基于终端、网络、系统、文件、数据库表以及字段等级别的细粒度访问控制技术,
6.4数据共享和开放安全技术
宜通过访问控制和接口安全监测与预警等技术,对数据共享和开放全过程实施管控。可通过区块链 等技术提升共享开放场景下的数据溯源能力,强化数据共享和开放的安全保障。公共数据共享和开放安 全技术,主要包括: 访问控制技术: b) 接口安全监测与预警技术; 数据溯源技术; d) 溯源结果可信技术,如区块链等; e)隐私计算技术等
6.5安全监测与预警技术
可基于数据资产变化、访问行为、操作行为等日志,进行数据安全风险识别和预警,提供处置建议。 安全监测与预警技术主要包括: a 公共数据安全量化指标配置: b 公共数据安全威胁的发现和识别; C 数据画像和用户行为画像技术; d)风险预警与处置建议等。
7.1运行管理子体系架构
可基于制度规范和技术防护子体系,建立公共数据安全运行管理子体系。从人、数据、场景等维度, 通过组织机构及人员,将各项制度规范和技术防护手段充分融合落地,实现数据合理、合规、安全地流 动与使用。公共数据安全运行管理子体系主要包括: 安全管理团队; 公共数据分类分级运行管理; 公共数据访问权限运行管理; 公共数据共享和开放安全运行管理; 公共数据安全日志审计; 公共数据安全监督检查:
7. 2 安全管理团队
7.3数据分类分级运行管理机制
宜建立基于数据资源目录的分类分级运行管理机制,主要包括 a)公共数据资源管理,包括建立和维护数据资产全景视图; b)公共数据智能化分类分级任务发布、审批和定期更新; c)公共数据分类分级结果在数据全生命周期安全管理的应用等,
7.4数据访问权限运行管理机制
宜建立公共数据访问权限运行管理机制,相关案例可参见附录D,主要包括: 公共数据访问账号权限分配、开通、使用、变更、重置、注销等的申请审批、执行和记录; b) 公共数据访问权限分配表建立和维护; c 公共数据访问权限有效时限设置; d 公共数据访问权限及时更新; e 公共数据访问权限定期核查; 与具有公共数据访问权限的供应方人员签署数据安全保密承诺书; 高风险数据操作权限特殊管控工作等
7.5数据共享和开放安全运行管理机制
宜建立公共数据共享和开放安全运行管理机制,主要包括: a)公共数据共享和开放安全审核; 6 公共数据共享和开放接口上线前安全检查; c 公共数据共享和开放接口定期安全检查; d)长期未用共享和开放数据的识别和处置; e 公共数据共享和开放渠道(如批量共享、接口共享、文件导出、邮件、网络、终端等)的敏 感数据告警处置等。
DB33/T24872022
7.6安全日志审计机制
宜建立实时公共数据安全日志审计机制,主要包括: a) 告警信息研判; b) 用户行为画像建立; c) 违规行为处置; d)规则库动态更新优化等,
7.7安全监督检查机制
宜建立周期性数据安全监督检查机制,主要包括: a 对公共数据处理环境安全、公共数据访问权限管理、公共数据共享和开放安全管理、公共数 据销毁管理、个人信息使用等重要环节的安全管理工作落实情况和效果的安全检查; b 安全检查问题通知和整改; c 整改情况验证; 对整改不到位的情况的处置等。
宜建立公共数据安全培训机制,主要包括: 公共数据安全培训规划; b) 专业知识学习激励政策; c) 公共数据安全工作经验交流; d) 公共数据安全知识宣传培训; e)供应方人员入场前的安全培训等。
3.1.1宜围绕公共数据安全体系建设,建立配套的公共数据安全体系评估机制,通过公共数据安全体 系评估工作,推动公共数据安全体系可量化、可评估和持续优化。 3.1.2评估工作全流程包含确定评估范围、组建评估团队、制定评估方案、实施评估、报告编制以及 平估结果应用,详见图2。
图2评估工作全流程示意图
可在下列情况开展公共数据安全体系评估工作: a)初次系统性开展公共数据安全体系建设的: b 按照既定安全体系评估机制,周期性开展公共数据安全体系评估的; C 发生安全责任人变更、供应方变更、重大业务变更或网络安全保护等级变更等情况的 d)其他需要开展公共数据安全体系评估的
收据安全体系评估工作可依据相关评估规范开展
评估完成后,可将评估结果加以应用,形成闭环。最终评估结果的应用可包括: a)总体判断评估对象的公共数据安全体系建设水平。评估结果可作为公共数据处理活动开展的 重要参考依据。 研判公共数据安全体系风险隐患,发现公共数据安全防护的薄弱环节。针对评估发现的薄弱 环节,制定整改方案和计划,推进公共数据安全体系持续完善、全面优化,
DB33/T24872022
附录A (资料性) 公共数据安全体系建设案例
优化公共数据安全制度规
该市公共数据管理机构,依据公共数据安全制度规范子体系指导意见,结合自身数据安全管理方针 文件等要求,在二级制度中,优化完善公共数据分类分级管理规范、公共数据共享和开放管理规范、公 共数据安全权限管理规范、公共数据回流管理规范、公共数据脱敏技术规范等。 其中分类分级管理规范优化示例参见附录B
A.2.3提升公共数据安全技术防护子体系
该市公共数据管理机构,基于该市一体化智能化公共数据平台现状,通过构建公共数据安全技术防 沪体系,围绕公共数据进行全生命周期的防护。其中重点建设的安全防护能力包括:建立分类分级、数 据源监测能力,保障采集阶段安全;建立权限管控、接口监测等防护功能,以及符合国家密码应用要求 的密码管理功能实现传输通道及数据库安全,保障数据传输阶段机密性等安全;建立数据目录对数据资 产进行管理、容错备份、数据存储加密等能力,保障平台数据存储阶段等安全;建立数据血缘关系分析 能力、数据动态脱敏能力,实现数据处理阶段的安全;建立数据加密/脱敏、接口管控、血缘关系分析 等安全能力,保障数据交换环节的安全;建立数据销毁及设备软硬销毁能力,保障数据销毁阶段的安全。 通过建立敏感数据监测、安全风险监测预警、通讯安全保密等能力,提升公共数据安全防护水平
A.2.4完善公共数据安全运行管理子体系
本次建设关键,主要基于一体化智能化公共数 居脱敏主要内容参见附录C。
分类分级管理规范优化制定的核心内容见表B.1
表B.1分类分级规则优化结果示例
附 录 C (资料性) 数据脱敏内容示例 数据脱敏优化制定的核心内容见表C.1。
表C.1数据脱敏内容表
(资料性) 访问权限运行管理机制示例 访问权限运行管理机制落实内容包括: a)数据权限申请审批授予。按照数据权限分配、开通、使用、变更、重置、锁定、注销流程的 要求,利用访问权限管理工具,对数据权限实施申请审批与授予,建立和维护数据权限清单, 详见表D.1。
GB/T 5584.1-2020 电工用铜、铝及其合金扁线 第1部分:一般规定表D.1数据权限角色和权限表
b 数据权限常规性变更。针对人员离岗、人员岗位变动、系统迭代、系统下线等变更情况,及 时进行权限回收,更新数据权限清单,保证数据权限授予的最小化原则。 C 数据权限定期核查。按照季度进行数据权限定期核查工作,对沉默账号、过期账号、授权范 围过大账号等,进行清理;对数据权限使用行为进行监控检查,针对未落实情况及时核实处 置。结果记录详见表D.2。
表D.2权限核查结果记录表
DB33/T24872022
[1]]浙江省公共数据安全管理总则 [2] 浙江省公共数据访问权限管理规范 3] 浙江省公共数据安全脱敏技术规范 [4] 浙江省公共数据安全销毁技术规范 [5] 浙江省公共数据安全日志审计规范 [6] 浙江省一体化智能化公共数据平台省级数据回流工作细
GB/T 6346.2501-2018 电子设备用固定电容器 第25-1部分:空白详细规范 表面安装导电高分子固体电解质铝固定电容器 评定水平EZ[1]浙江省公共数据安全管理总则 [2] 浙江省公共数据访问权限管理规范 3] 浙江省公共数据安全脱敏技术规范 [4] 浙江省公共数据安全销毁技术规范 [5] 浙江省公共数据安全日志审计规范 [6] 浙江省一体化智能化公共数据平台省级数据回流工作细则