DB15-T 2200-2021 智慧城市 数据及服务管理安全要求

35.240.01CCS

L6715 DB15/T

2200—2021智慧城市

数据及服务管理安全要求Smart

city

—

Data

and

service

management

requirements2021-05-25

发布 2021-06-25

实施内蒙古自治区市场监督管理局 发

布DB15/T

2200—2021 前言

.................................................................................

II1

范围

...............................................................................

12

规范性引用文件

.....................................................................

13

术语和定义

.........................................................................

14

缩略语

.............................................................................

25

管理原则

...........................................................................

25.1

职责明确原则

...................................................................

25.2

质量保障原则

...................................................................

25.3

意图合规原则

...................................................................

25.4

可审计原则

.....................................................................

25.5

安全防护原则

...................................................................

25.6

资源共享安全原则

...............................................................

25.7

敏感信息保护原则

...............................................................

35.8

目标明确原则

...................................................................

36

管理角色与责任

.....................................................................

36.1 概述

...........................................................................

36.2 管理角色

.......................................................................

36.3 管理责任

.......................................................................

37

数据管理安全要求

...................................................................

47.1 数据管理

.......................................................................

47.2 主要活动安全管理要求

...........................................................

48 服务管理安全要求

...................................................................

68.1 服务管理

.......................................................................

68.2 主要活动安全管理要求

...........................................................

79

风险管理要求

.......................................................................

89.1 风险识别

.......................................................................

89.2 风险分析

.......................................................................

99.3 风险处理

.......................................................................

9附录

A（资料性） 数据及服务管理敏感信息特征..........................................

10附录

B（资料性） 数据及服务管理存在的安全风险........................................

12参考文献

.............................................................................

13DB15/T

2200—2021 本文件按照GB/T

《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。本文件由内蒙古自治区大数据中心提出并归口。络空间安全研究所、华信咨询设计研究院有限公司。本文件主要起草人：包瑞林、孙卫、戚志军、周俊、丁熙、王钢、周烜义、李欢、崔连伟。IIDB15/T

2200—2021

1 范围要求。本文件适用于各类组织在智慧城市建设中对数据及服务的安全管理。2 规范性引用文件文件。GB/T

智慧城市 技术参考模型GB/T

36622.1—2018 智慧城市

公共信息与服务支撑平台

第1部分：总体要求GB/T

智慧城市

术语3 术语和定义GB/T

界定的以及下列术语和定义适用于本文件。3.1组织

organization门等。3.2大数据平台

big

data

platform合。3.3数据管理安全

data

management

security针对数据目录管理、数据建模、元数据管理、数据整合、数据关联等方面进行安全风险管理。3.4服务管理安全

security针对服务聚集、服务使用、服务整合、服务评价、服务生命周期等方面进行安全风险管理。DB15/T

2200—20214 缩略语下列缩略语适用于本文件。API：应用程序编程接口（Application

Interface）。5 管理原则5.1 职责明确原则组织应明确以下职责原则：a)

组织安全管理的第一责任人；b)

根据数据及服务规模、重要性、组织规模等因素，组织可成立安全管理团队，安全管理团队为组织数据及服务的使用安全负责；c)

组织内部不同角色的数据及服务安全管理职责；d)

数据及服务的生命周期各活动实施主体及安全责任。5.2 质量保障原则组织应明确以下质量保障原则：a)

实施适当的措施确保数据及服务的准确性、相关性、完整性、时效性和可用性；b)

建立控制机制定期检查收集和存储的数据及服务的质量。5.3 意图合规原则使用方式没有违反任何法律义务，包括法律法规、合同条款等。5.4 可审计原则组织应记录数据及服务活动中各项操作的相关信息,且保证记录不可伪造和篡改，并采取有效技术措施保证对数据及服务活动的所有操作可追溯。5.5 安全防护原则组织应明确以下安全防护原则：a)

对数据进行分类分级，对不同安全级别的数据实施恰当的安全防护措施；b)

确保处理数据平台、服务、用户的安全控制措施和策略有效，保护数据及服务的完整性、保密性和可用性，确保在整个生命周期里，免遭诸如未授权访问、破坏、篡改、泄露或丢失等风险；c)

确保数据及服务运营过程中的安全监测、安全预警和安全事件处置，做到事前发现、事中通告、事后响应；d)

解决风险评估和安全检查中所发现的风险和脆弱性，并对数据及服务安全防护措施不当所造成的安全事件承担责任；e)

定期对数据及服务涉及的相关人员进行安全意识教育、安全技术培训。5.6 资源共享安全原则组织应明确以下资源共享安全原则：DB15/T

2200—a)

确保数据及服务资源共享体系标准，确保有效提升资源共享过程中的采集、获取及交换的效率；b)

确保数据及服务资源的所有权、使用权和管理权，防止数据开放利用过程中的非法使用；c)

确保数据及服务资源共享过程的最小化授权，确保非法用户或异常操作所造成的损失最小。5.7 敏感信息保护原则露问题带来的负面影响和不利后果。敏感信息的特征详见附录A。5.8 目标明确原则计划实施的策略。6 管理角色与责任6.1 概述组织在进行智慧城市数据及服务管理过程中，应健全责任管理体系，明确管理角色和责任。6.2 管理角色供商等相关角色。6.3 管理责任6.3.1 业务职能部门的职责支持。职能部门可能涉及一个或多个数据及服务的主要阶段，应根据涉及的阶段履行相应安全职责。业务职能部门的主要职责应包括但不限于：a)

确定本部门数据的分类分级；b)

根据本部门涉及的数据及服务主要阶段，明确和细化本部门管理具体安全要求，并进行有效实施；c)

配合安全管理团队处置安全事件；d)

根据数据管理和服务管理要求，安全合规的使用数据。6.3.2 安全管理团队的职责安全管理团队的具体职责应包括但不限于：a)

应确定各种数据的分类分级初始值，制定数据分类分级指南；b)

应综合考虑相关的法律法规、政策、标准、技术当前水平、组织所处行业特殊性等，综合评估安全分析，制定安全基本要求；c)

建立相应的安全管理机制，对安全风险进行有效管理；d)

具备应急响应管理、安全预警、安全事件处置等能力；e)

组织开展数据及服务安全等级保护、风险评估、安全自查、安全培训等工作；f)

制定信息安全应急预案，定期开展应急演练。DB15/T

2200—6.3.3 服务提供商的职责服务提供商的具体职责应包括但不限于：a)

确保其符合国家和行业规定及要求，具备履行相关法规制度、落实相关标准、确保数据及服务安全能力；b)

做好数据及服务的存储、管理与运营工作；c)

根据数据管理和服务管理要求，安全合规的使用数据；d)

建立相应的安全管理机制，应具备应急响应管理、安全事件协同处置等能力。7 数据管理安全要求7.1 数据管理7.1.1 数据来源数据来源包括但不限于：a)

智慧城市公共数据库：人口、自然资源与空间地理，法人单位、宏观经济等基础信息资源；b)

智慧应用信息系统数据库：政府、企业、团体组织、各行业等领域的应用信息系统的数据，c)

互联网空间上的其他信息资源：包括互联网公开数据、社交数据、个人敏感信息数据等；d)

通过智慧城市中物联感知设备获取的数据。7.1.2 数据管理要求数据管理应满足但不限于以下要求：a)

组织应按照

中的

8.4.3

数据融合要求，满足数据采集与汇聚能力要求、数据整合与处理能力要求、智能挖掘分析要求、数据管理与治理要求；b)

组织应依法依规使用和共享数据有关信息，提供安全的信息查询和复制渠道，确保数据隐私安全；c)

组织应对数据的采集、传输、存储、处理及使用、交换与共享和销毁进行全程审计和记录，确保数据生命周期行为可管、可控、可查询和可追溯；d)

组织应在数据管理过程中，加强相关系统安全保障体系建设，提升关键信息基础设施和重要信息系统的安全防护能力；e)

组织应对重要及敏感数据建立可靠的备份和恢复、权限和认证、重点保护等机制；f)

组织应建立数据安全监测和预警系统，重点防范数据资源的集聚性风险和新技术应用的潜在性风险。7.2 主要活动安全管理要求7.2.1 数据采集转换、数据验证、数据清理、数据聚合等。数据采集应满足但不限于以下安全管理要求：a)

应定义采集数据目的和用途，明确数据采集源和采集数据范围，对采集的数据进行分类分级标识；DB15/T

2200—b)

遵循意图合规原则，确保数据收集的合法性、正当性和必要性，且只采集满足业务所需的最小数据集；c)

遵守质量保障原则，制定数据质量保障的策略、规程和要求；d)

遵循安全防护原则，对数据采集环境、采集设施和采集技术采取必要的安全管控措施，对不同类别和级别的数据实施相应的安全管理策略和保障措施；e)

遵循敏感信息保护原则，确保敏感数据得到重点保护措施，保障敏感数据泄露风险；f)

遵循可审计原则，针对不同的数据采集场景定义溯源策略和机制，提供有效的工具对外部采集的数据和数据源进行识别和记录，确保能够追踪其加工和计算数据的原始数据来源。7.2.2 数据传输数据传输活动的主要操作包括：数据编解码、数据加解密、数据认证等。数据传输应满足但不限于以下安全管理要求：a)

应明确业务场景中需要进行传输加密的数据，重点对个人信息和重要数据进行加密传输；b)

对提供传输通道两端的主体进行必要的身份鉴别和认证授权措施；c)

对传输的数据进行完整性和可用性检测；d)

提供传输数据过程中的审核及监控，提供必要的密钥管理策略、安全策略和密码算法配置。7.2.3 数据存储数据存储活动的主要操作包括：数据持久存储、数据备份、数据更新、数据访问等。数据存储应满足但不限于以下安全管理要求：a)

组织应根据自身业务需求，对数据进行内部分类和分级，例如将敏感数据进一步划分为一般敏感和重要敏感数据；b)

提供必要的措施实现存储的安全隔离能力，并采取符合国家认定的密码算法对高敏感数据进行加密存储；c)

建立对存储的数据资源的安全访问控制策略，对授权主体进行鉴别、认证、授权、监控等控制措施，保证数据使用者的访问和修改等行为具有不可抵赖性；d)

建立必要的数据备份和恢复策略，保证数据存储的安全性。7.2.4 数据处理及使用处理、数据统计分析、数据预测分析、数据关联分析、数据可视化、生成分析报告。数据处理及使用应满足但不限于以下安全管理要求：a)

依据国家个人信息和重要数据保护的法律法规要求建立数据使用正当性原则，明确数据使用和分析处理的目的和范围；b)

建立数据使用的内部责任制度，保证在数据使用声明的目的和范围内对受保护的数据进行使用和分析处理；c)

提供细粒度访问控制和鉴权机制，限定数据使用过程中可访问的数据范围和使用目的，对关键系统采用多因素认证的方式进行身份认证；d)

遵守安全防护原则，对数据的使用进行加密、脱敏和审核处理，对数据分析结果的风险进行合规性评估，避免分析结果输出中包含可恢复的敏感数据；e)

遵守可审计原则，记录和管理数据使用操作。7.2.5 数据交换与共享DB15/T

2200—数据交换与共享涉及的主要操作包括：数据导入导出、数据交换、数据交易、数据共享。数据交换与共享应满足但不限于以下安全管理要求：a)

遵守安全责任不随数据转移原则，对数据交换与共享后产生的数据安全事件承担必要的安全责任；b)

依据数据分类分级要求，建立数据导入导出安全策略，如授权和访问控制策略、脱敏策略、加密策略等；c)

在数据交换与共享前，对数据的敏感性进行评估，根据评估结果对需要交换与共享的敏感信息进行脱敏操作；d)

遵守可审计原则，记录时间、分发需求、数据接收方等相关信息；e)

提供有效的数据共享访问控制机制，明确不同机构或部门、不同身份与目的的用户的权限，保证访问控制的有效性；f)

建立数据获取和使用安全规范，明确数据获取方式、服务接口、授权机制和数据使用的权限范围等；g)

制定数据服务接口安全控制策略,提供对数据服务接口的安全限制和安全控制措施,如身份鉴别、授权策略、访问控制机制、签名、时间戳、安全协议等，并对数据服务接口调用的参数进行限制或过滤，一旦发现异常会触发告警机制；h)

建立数据公开的审核制度，严格审核发布信息符合相关法律法规要求。明确数据公开内容、权限和适用范围，信息发布者与使用者的权利与义务。定期审查公开发布的信息中是否含有非公开信息，一经发现，立即删除。7.2.6 数据销毁接。数据销毁应满足但不限于以下安全管理要求：a)

立即删除超出采集阶段明确的数据留存期限的相关数据；对留存期限有明确规定的，按相关规定执行；b)

在删除数据可能会影响执法机构调查取证时，采取适当的存储和屏蔽措施；c)

依照数据分类分级建立相应的数据销毁机制，明确销毁方式和销毁要求；d)

遵守审计原则，建立数据销毁策略和管理制度，明确销毁数据范围和流程，记录数据删除的操作时间、操作人、操作方式、数据内容等相关信息；e)

建立数据销毁的审批和记录流程，设置数据销毁监督角色，监督数据销毁操作过程。8 服务管理安全要求8.1 服务管理8.1.1 服务资源服务资源应满足以下要求。a)

API

资源：1)

对聚集的数据、工具、模型等服务资源进行加工，形成

资源；2)

支持智慧城市应用中各使用者接入，并满足大数据平台对

调中心统一管理和调度。b)

微服务资源：DB15/T

2200—1)

对聚集的数据、工具、模型等资源进行加工，按照应用场景对资源进行融合，形成具有独立功能的微服务；2)

应提供可视化接口作为使用者提供服务；3)

满足大数据平台对微服务资源的其他要求。8.1.2 服务管理要求服务管理应满足但不限于以下要求：a)

按照

GB/T

36622.1-2018

中的

服务管理要求，进行服务目录管理、服务聚集、服务生存周期管理、服务整合、服务使用、服务评价和服务交互；b)

组织应确保服务信息处于最新、连续、有效、优质和安全状态；c)

组织应负责制定服务应用领域相关规范和标准，确保服务管理过程中符合法律法规和相关文件规定；d)

组织应明确相应的服务管理部门和岗位，按照国家授权，实行“统一分级授权、分类应用管理、权责一致”的服务管理制度；e)

组织应建立服务管理安全规范、个人隐私保护等方面的管理制度，向社会公开数据时不得泄露国际秘密、商业秘密和个人隐私，不得侵害国家利益、社会公共利益和公民、法人及其他组织的合法权益；f)

组织应负责按照国家信息资源开放共享有关规定，建立服务开放共享的工作机制，加强数据的共享和交换，统筹建设服务系统平台、信息资源目录体系和共享交换体系；g)

组织应对服务状态进行安全监测和风险管控。8.2 主要活动安全管理要求8.2.1 服务聚集服务聚集活动的主要操作包括：通信协议适配转换、服务流程编排和路由选择、服务状态监控等。应满足但不限于以下安全管理要求：a)

服务目录应支持查看到智慧城市相关的所有业务服务及详细信息，提供对相关资源的访问控制及权限管理；b)

提供服务资源间通信交互安全，在传输过程中提供必要的安全防护措施，保证信息资源不被篡改、泄密等；c)

提供服务相关的信息资源安全，为资源提供加解密、签名、完整性校验等；d)

提供服务聚集流程的审计和监控，记录服务资源聚集流程，以及对异常状态进行监控。8.2.2 服务生存周期管理注销等。应满足但不限于以下安全管理要求：a)

提供可扩展的组织、人员、角色、认证与授权的管理功能，管理服务相关资源的访问控制及权限管理；b)

提供服务生存周期过程中的管理审核与审计，记录服务生存周期的轨迹和历史，提供事后审查和统计服务。8.2.3 服务整合DB15/T

2200—份辨识等。应满足但不限于以下安全管理要求：a)

b)

提供服务节点身份鉴别，并根据心跳、时间等属性同步相关节点，确保一致性；c)

提供服务整合过程的审核与审计，记录服务整合流程，提供事后审查和统计服务。8.2.4 服务使用务统计等。应满足但不限于以下安全管理要求：a)

提供服务权限、运行状态、配置信息统一管理平台，对智慧城市服务进行统一的管理；b)

提供服务权限控制功能，对用户进行身份认证，并根据用户的权限进行服务访问和调用的授权；c)

提供服务使用过程中资源间通信交互安全，在传输过程中提供必要的安全防护措施，保证服务资源不被篡改、泄密等；d)

对服务使用进行审核与审计，记录服务使用过程中的访问及操作记录，提供事后审查和统计服务。9 风险管理要求险处理环节。智慧城市数据及服务管理存在的安全风险详见附录

B。9.1 风险识别9.1.1 ,是进行信息系统安全风虑其可能的原因和可能导致的后果。9.1.2 组织在开展资产识别时，应关注智慧城市的资产特点，包括但不限于：a)

b)

c)

d)

e)

f)

9.1.3 组织在开展威胁识别时，应关注智慧城市环境下的威胁特点。a)

潜在的不利因素：1)

潜在攻击方具有的资源、技术能力、动机等；2)

潜在攻击方窃取、利用和滥用数据的意图；3)

数据访问、存储和分析所需资源；4)

服务聚集和使用所需的资源；DB15/T

2200—5)

直接访问或窃取数据和服务的概率；6)

发起攻击、利用大数据技术、基础设施和数据集的经济能力；7)

攻击的成本与收益；8)

操作人员技术能力。b)

恶意利用所需的科学专业知识和技能：1)

数据和结果分析需要使用的技能、专业知识；2)

数据使用和结果分析需要的技术和设备；3)

利用系统脆弱性需要的技能、技术专长和知识。9.1.4 组织在开展脆弱性识别时，应关注智慧城市环境下的脆弱性特点，包括但不限于：a)

数据及服务的存储、处理等基础软件和基础设施的脆弱性；b)

相关主机系统、应用系统等的脆弱性；c)

安全管理的脆弱性。9.1.5 在识别脆弱性的同时，组织应对已采取的安全措施的有效性进