浙江省地方标准DB33T2488-2022公共数据安全体系评估规

33I III IV 1 1 1 2 2 2 3 3 3 3 4 4 4 4 4 5 5 5 5 5 6 6 6 6 6 7 7 7 7 8 8 8 8 8 8 9 9 9 10A.1现状分析 10A.2建设内容 10A.3建设成效 11 12 13 14 15 16请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别专利的责任。本标准由浙江省大数据发展管理局提出、归口并组局、台州市大数据发展管理局、丽水市大数据发展——公共数据分类分级指南（DB33/T2351—21公共数据安全体系建设指南本标准不适用于涉及国家秘密的公共数据及相关处GB/T37973信息安全技术大数据安全管理GB/T39477信息安全技术政务信息共享数据安全技术要求DB33/T2350数字化改革术DB33/T2351公共数据分类分级GB/T25069、GB/T37973、GB/T394772用户行为画像userbehavior4总体原则及架构4.1.1权责一致公共数据安全体系建设宜遵循谁收集谁负责、谁使用谁负责、谁运行谁4.1.2分级管理4.1.3全程可控4.1.4持续优化4.1.5协调发展4.2体系架构35.1制度规范子体系架构境等相关场景要求。可按照三级架构建立公共数据安全制度规范5.2数据分类分级管理制度a)公共数据分类分级原则、要求、维度和方法等；b)公共数据分类分级操作指南和工作流程等；c)公共数据类别和级别的变更场景、变更申请审批流程及变更工作要求等；5.3数据访问权限管理制度4c)公共数据访问账号权限分配、开通、使用、变更、重置、锁定、注销等的申请审批流程；d)具备超级管理员权限或数据批量复制、处理、导出和删除等高风险操作权限账号的安全要求5.4数据脱敏管理制度5.5数据共享和开放安全管理制度c)各类别和级别公共数据共享和开放的应用场景；d)各类别和级别公共数据共享和开放的工作流程；5.6数据安全销毁管理制度a)各类别和级别公共数据销毁对象；b)各类别和级别公共数据销毁场景；5.7供应方安全管理制度a)供应方引入的安全管理要求，包括资质和背景安全审查等；5.8安全监督检查制度a)公共数据安全管理监督检查内容；b)公共数据安全管理监督检查方式；5c)公共数据安全管理监督检查工作周5.9安全日志审计制度5.10安全事件管理与应急响应制度a)公共数据安全事件分类分级方法；c)各类别公共数据安全应急预案编制及应急演练工作要求等。——公共数据安全监测与预警技术等。a)数据源统一鉴别技术；h)数据备份与恢复技术；6k)数据有效销毁技术等。a)公共数据访问权限集中认证技术；b)公共数据访问权限统一入口访问；c)基于终端、网络、系统、文件、数据b)接口安全监测与预警技术；b)公共数据安全威胁的发现和识别；7——公共数据安全培训等。a)公共数据安全决策方：领导公共数据安全管理工作，负责公共数据安b)公共数据安全管理方：根据相关法律法规和制度规范要求，参考本指南建立公系（包括制度规范子体系、技术防护子体系和运行管理子体系指导公共数据安全要求的c)公共数据安全执行方：负责落实和配合公共数据安全管理工作；d)公共数据安全监审方：对公共数据安全管理工作进行监督、检查和审计，落实公共数据安全e)公共数据安全管理负责人：宜委任具备公共数据安全管理相为公共数据安全管理负责人，为其提供人力、技术宜建立基于数据资源目录的分类分级运行管理机b)公共数据访问权限分配表建立和维护；g)高风险数据操作权限特殊管控工作等。宜建立公共数据共享和开放安全运行管理机b)公共数据共享和开放接口上线前安全检查；e)公共数据共享和开放渠道（如批量共享、接口共享、文件导出、邮件、网络、终端等）的敏8a)对公共数据处理环境安全、公共数据访问权限管理、公共数据共享和开放安全管理、公共数据销毁管理、个人信息使用等重要环节的安全管理工作落实情况和效果的安全检查；b)安全检查问题通知和整改；8.1.2评估工作全流程包含确定评估范围、组建评估团队、制定评估方案、实施评估、报告编制以及9a)初次系统性开展公共数据安全体系建设的；b)按照既定安全体系评估机制，周期性开展公共数据安全体系评估的；a)总体判断评估对象的公共数据安全体系建设水平。评估结果可作为公共数据处理活动开展的b)研判公共数据安全体系风险隐患，发现公共数据安全防护的薄弱环节。针对评A.1现状分析a)制度规范子体系。已制定出台公共数据安全管理总则等纲领文件和公共数据安全销毁管理、供应方安全管理、安全事件管理与应急响应、公共数据脱敏管理、安全日志审计和监督检查等相关配套制度。公共数据分类分级管理、公共数据开放及共享管理、公共数据访问权限管b)技术防护子体系。数据共享和开放安全技术能力、访问权限管理技术能力、全生命周期安全c)运行管理子体系。已具备安全管理负责人、安全日志监审、安全培训等运行管理，安全管理团队也基本形成。数据访问权限运行管理、安全监督检查的监审方及监审机制、安全事件应A.2建设内容A.2.1概述子体系三个方面开展，主要包括制定分类分权限管控、安全事件应急响应等运行管理机制。具体包括三个方A.2.2优化公共数据安全制度规范子体系A.2.3提升公共数据安全技术防护子体系能力、数据动态脱敏能力，实现数据处理阶段的安全；建立数据加密/脱敏、接口管控、血缘关系分析通过建立敏感数据监测、安全风险监测预警、通讯安全保密等能力，提升公共数据安全防护水平。A.2.4完善公共数据安全运行管理子体系A.3建设成效a)数据安全制度规范体系逐渐完善。现行规范制度覆盖面、合理性、可操作性方面得到优化，新增分类分级、公共数据开放及共享等制度规范，指导开展义数据安全责任、事项操作流程，细化分解数据安全评价b)数据安全防护技术能力提升。公共数据脱敏等技术应用为数据安全流通提供了有效的安全处c)数据安全运行管理体系优化改进。依托大数据平台数据自动识别、数据标识、数据多维展现大幅上升。依据数据权限授予最小化原则，梳理并重新定义数据管控权限，规避数据权限不清造成的风险隐患。应急演练与应急实战常态化，检验与调整优化应急响应组织架构、响应等854Q301202106561243->854Q********64679001100413425->646Z*****LYAFR7OP3BC722222->***********7入7263002Y6091020864->7263***6727161662705304130->***********a)数据权限申请审批授予。按照数据权限分配、开通、使用、变更、重置、锁定、注销流程的b)数据权限常规性变更。针对人员离岗、人员岗位变动、系统迭代、系统下线等变更情况，及时进行权限回收，更新数据权限清单，保证c)数据权限定期核查。按照季度进行数据权限定期核查工作，对2021年第四季度数据权限核查结果记录表a)事件判定。发现数据安全事件时（大数据平台安全模块告警、人工主动上报经监测工作件分级”标准初步判定信息安全事件等级，并向应急协调小组报b)预案启动。Ⅰ级和Ⅱ级事件(Ⅰ级最高）由应急协调小组组长下达应急预案启动指令，并将事件情况上报监管部门提供侦查、协助处理；Ⅲ级和Ⅳc)应急处置。由应急工作小组组长组织开展应急处置工作并协调内外部人员支撑，应急工