政务数据共享 安全能力评估要求

5政务数据共享安全能力评估要求各级政务部门在依法履职过程中产生、采集和3.2政务数据共享governmentdatas3.3政务数据平台governmentdatap注1:政务数据平台包括国家政务大数据平台、各省级政务数据平台、行业4政务数据共享安全能力成熟度模型架构6图1政务数据共享安全能力成熟度模型政务数据共享安全能力成熟度模型的架构由以下三个维度构5.1评估目标根据评估对象和范围的不同，政务数据共享安全能力评估的目标包括:a)明确政务数据共享提供方所涉及政务数据的种类c)发现可能影响国家安全、公共利益或者个人、组织合法权益d)发现政务数据共享活动涉及的数据安全问题和隐患；e)促进完善数据共享安全保护措施，提升数5.2评估原则开展政务数据安全合规评估工作,依据以下原则:7采用相同的评估方法重复执行评估过程，能够获得一致且可复现的评估结d)最小影响原则：选择非侵入性方法、在低峰时段进行评估等策略，尽可能减少通过与相关人员进行面对面或远程交流,核查制度规范、安全措施和安全责任等落实查验有关材料及制度落实情况的证明材料,包括方针规划、制度规范、安全措施、安全责任、设计通过从总体中抽取一部分样本进行检测和分析，以此来推断总体的合规注:常用的抽样检测方法包括随机抽样、系统抽样和分层抽样等；合理应用抽样检测每种评估方法均具有其特定的适用范围及固有的局限性。在确定评估方法时,需要考虑实际情况，换服务方安全能力评估指标对应的参考评估方法见附录C，政务数据共享需求方安全能力评估指标对应8组建评估团队，制定评估方案，准备评估资源，发展政务数据共享活动以及数据安全保护措施分析现状与目标等级要求差距,提出具体整改建议与改进措施。依据政务数据共享安全能力评价指对评估工作的整个过程进行回顾和总结,并针对评估工作提出持续改进的建议,为未来的评估工作8.2.1充分定义级政务数据共享提供方评包管理。详见附录A.1充分定义级表格中一级指标“安全制度规范”的9阶段、共享数据使用阶段、基础设施安全。详见附录A.1充分定义级表格中一级指标“安全技术防护”应急处置、事件上报、安全审计。详见附录A.1充分定义级表格中一级指标“安全运行管理”的评估内8.2.2量化控制级政务数据共享提供方评包管理。详见附录A.2量化控制级表格中一级指标“安全制度规范”的评阶段、共享数据使用阶段、基础设施安全。详见附录A.2量化控制级表格中一级指标“安全技术防护”8.2.3持续优化级政务数据共享提供方评包管理。详见附录A.3持续优化级表格中一级指标“安全制度规范”的评阶段、共享数据使用阶段、基础设施安全。详见附录A.3持续优化级表格中一级指标“安全技术防护”见附录A.3持续优化级表格中一级指标“安全运估级别，根据不同级别评价指标的符合程度，评价指标设置量化系数，完全符合则量化系数为1，部分能力级别，量化评价总分<70分或不符合项中存在带有高危标识的评价指标项，评政务数据共享安全能力评估的结论的用途，包括但不限a)政务数据共享交换提供方评估结论可作为政务数据共享交换提供方符合政务数据共享能力相b)评估发现的不符合项和建议项，可帮助政务数据共享交换提供方发现政务数据共享c)通过逐级提升安全能力，可促进完善数9政务数据共享交换服务方安全能力评估要求9.1评估范围9.1.1评估对象9.1.2评估级别9.2评估内容9.2.1充分定义级政务数据共享交换服务方评估内容9.2.1.1安全制度规范务外包管理。详见附录B.1充分定义级表格中一级指标“安全制度规范”的评9.2.1.2安全技术防护段、基础设施安全。详见附录B.1充分定义级表格中一级指标“安全技术防护”的9.2.1.3安全运行管理估、应急处置、事件上报、安全审计。详见附录B.1充分定义级表格中一级指标“安全运行管理”的评9.2.2量化控制级政务数据共享交换服务方评估内容9.2.2.1安全制度规范务外包管理。详见附录B.2量化控制级表格中一级指标“安全制度规9.2.2.2安全技术防护段、基础设施安全。详见附录B.2量化控制级表格中一级指标“安全技术防护”9.2.2.3安全运行管理9.2.3持续优化级政务数据共享交换服务方评估内容9.2.3.1安全制度规范务外包管理。详见附录B.3持续优化级表格中一级指标“安全制度规9.2.3.2安全技术防护段、基础设施安全。详见附录B.3持续优化级表格中一级指标“安全技术防护”9.2.3.3安全运行管理详见附录B.3量化控制级表格中一级指标“安全运行管理9.3评估结论判定准则估级别，根据不同级别评价指标的符合程度，评价指标设置量化系数，完全符合则量化系数为1，部分能力级别，量化评价总分<70分或不符合项中存在带有高危标识的评价指标项，评9.4评估结论的使用政务数据共享安全能力评估的结论的用途，包括但不限a)政务数据共享交换服务方评估结论可作为政务数据共享交换服务方符合政务数据共享能力相b)评估发现的不符合项和建议项，可帮助政务数据共享交换服务方发现政务数据共享c)通过逐级提升安全能力，可促进完善数包管理。详见附录C.1充分定义级表格中一级指标“安全制度规范”的阶段、基础设施安全。详见附录C.1充分定义级表格中一级指标“安应急处置、事件上报、安全审计。详见附录C.1充分定义级表格中一级指标“安全运行管理”的评估内务外包管理。详见附录C.2量化控制级表格中一级指标“安使用阶段、基础设施安全。详见附录C.2量化控制级表格中一级指标“包管理。详见附录C.3持续优化级表格中一级指标“安全制阶段、基础设施安全。详见附录C.3持续优化级估级别，根据不同级别评价指标的符合程度，评价指标设置量化系数，完全符合则量化系数为1，部分能力级别，量化评价总分<70分或不符合项中存在带有高危标识政务数据共享安全能力评估的结论的用途，包括但不限a)政务数据共享交换需求方评估结论可作为政务数据共享交换需求方符合政务数据共享能力相b)评估发现的不符合项和建议项，可帮助政务数据共享交换需求方发现政务数据共享c)通过逐级提升安全能力，可促进完善数A.1充分定义级障/评估政务数据共享交换提供方是否明确政务数据共享交换服务工作机构和机构负责人●4系/政务数据全过程质量管理体系、政务数据校核纠错规则、政务数据共享安全管理制度●4/政务数据共享交换提供方委托他人参与建设、运行、维护政府信息化项目，存储、加工政务数据的，评估其是否按照国家有关规定履行批准程序，并采取必要技术措施，监督受托方履行相应的政务数据安全保2共享数据提供方是否在归集共享数据过程中应采用身份鉴别、数据源认证等安全机●4是否按照政务信息资源分级分类相关要求对共享数据分类分●4是否按照数据级别确定并实施所必要的安全管理策22●4是否定义资源目录对应数据资源的内容、安全分●422是否对资源目录共享类型变更、目录迁移等操作2是否建立共享数据质量控制机制，对共享数据●4222●422是否支持资源文件、库表、接口等共享方式上不同粒●4资源目录发布、共享数据发布和共享数据申请是否获得授权围2是否遵循数据共享最小化原则，仅授权对业务必须的222是否满足数据导出安全技术要求，包括是否对敏感数据建立数据脱敏安●4是否根据应用需要保留敏感数据的原数据格式22是否在交换敏感数据时，对发出数据和时间戳●4是否基于国家相关法律法规对数据使用和分析处理的相关要求建立数据制2数据桥接子系统是否符合GB/T44230-2024中的“7系统安全要求”2境/评估政务数据基础设施是否部署于政务网络环境，是否符合网络安全相关要求，机●4理/评估是否定期对数据处理合法性、合规性等复核与检查，是否定期核验备份数据的2/评估政务数据共享工作机构是否定期组织开展本部门政务数据共享安全性评估，并●4估置/评估发现安全事件时是否立即启动应急预案、采取处置措2报/2计/●4A.2量化控制级障/评估政务数据共享交换服务方是否明确政务数据共享交换服务工作机构，机构负责人具备政务数据共享安全专业人员资质，且每年至少接受一次政务数据共享●3系/评估政务数据共享交换服务方是否依照法律、行政法规的规定和国家标准的强制性要求，构建资源目录发布的审核机制，明确发布审2/是否制定在数据交换过程中对每次数据交换指定唯一交换事务标2/是否具备用户管理、授权管理、数据导出、数据使用监管相关的安全管2/政务数据共享交换提供方委托他人参与建设、运行、维护政府信息化项目，存储、加工政务数据的，评估其是否按照国家有关规定履行批准程序，并采取必要技术措施，监督受托方履行相应的政务数据安全保2共享数据提供方是否在归集共享数据过程中应采用身份鉴别、数据源认证等安全机●3是否按照政务信息资源分级分类相关要求对共享数据分类分●3是否按照数据级别确定并实施所必要的安全管理策22●3是否定义资源目录对应数据资源的内容、安全分●322是否对资源目录共享类型变更、目录迁移等操作2是否建立共享数据质量控制机制，对共享数据进行定期维护，保证所提22是否根据数据重要性、量级、使用频率等因素将数据2●3是否支持针对用户访问权限、数据操作权限、应用访问数据权限等维度机制；是否支持基于数据分级分类的多级授权和操作22是否支持资源文件、库表、接口等共享方式上不同粒2资源目录发布、共享数据发布和共享数据申请是否获得授权●3是否遵循数据共享最小化原则，仅授权对业务必须的2●3●3是否根据安全策略，生成共享数据访问授权凭证、安全配置信息，并将2是否对敏感数据建立数据脱敏安全策略，并按照安全2是否根据应用需要保留敏感数据的原数据格式、属性或关联；是否对数过程进行记录，记录内容至少包括操作时间、操作人、22是否建立检查机制，保证共享数据安全策略正2是否在交换敏感数据时，对发出数据和时间戳●32是否基于国家相关法律法规对数据使用和分析处理的相关要求建立数据制，是否能够查阅政务数据需求部门对共享数据使用行●3数据桥接子系统是否符合GB/T44230-2024中的“7系统安全要求”2境/政务数据基础设施是否部署于政务网络环境，是否符合网络安全相关要求，机构是2理/是否定期对数据处理合法性、合规性等复核与检查，定期核验备份数据的●3估/政务数据共享工作机构是否定期组织开展本部门政务数据共享安全性评估，并组织●3估/政务数据共享工作机构是否定期组织开展本部门政务数据共享安●3测/2报/发现安全事件时是否立即启动应急预案、采取处置措施、防止危害扩大2置/评估发现安全事件时是否立即启动应急预案、采取处置措2报/●3计/●3A.3持续优化级标标障/是否明确政务数据共享交换服务工作机构，机构负责人具备政务数据共享安全专业人员资质，工作机构全员每年至少接受一次政务数据共享安全教育培训，同时根据反馈效果定期对数据安全教育培训计划进行●3系/2/建立健全政务数据全过程质量管理体系，提高政务数据质量管理能力，加强政务数据收集、存储、加工、传输、共享、使用、销毁等标准化●3/2/建立健全政务数据共享安全管理制度，落实政务数据共享安全管理主体责任和政务2/●3/2/政务数据共享交换提供方委托他人参与建设、运行、维护政府信息化项目，存储、采取必要技术措施，监督受托方履行相应的政务数据安全保护义务，并根据对受托●3是否满足安全技术要求，包括共享数据提供方是否在归集共享数据过程中应采用身份鉴别、数据源认证等安全机制保障共享数据来源的●3是否按照政务信息资源分级分类相关要求对共享数据分类分级并进行标记，根据标记可以对数据安全等级进行识别，并保留标●3是否按照数据级别确定并实施所必要的安全管理策2是否对共享数据分级分类的变更进行记录，并通知相22●3是否定义资源目录对应数据资源的内容、安全分2是否对资源目录发布进行审核，检查资源目录的规2是否对目录对应的共享资源建立相应的安全管理策略，保障敏感数据在共享过程中2是否对资源目录共享类型变更、目录迁移等操作2是否建立共享数据质量控制机制，是否对共享数据进行定期维护，保证所提供的共2是否采用符合GM/T0054等国家相关标准规定的密码技术，对敏感数据进行加密存●3●3是否根据数据重要性、量级、使用频率等因素将数据●32是否符合GB/T39477-2020《信息安全技术政务信息共享安全要求》2是否符合GB/T39477-2020《信息安全技术政务信息共享安全要据脱敏、数据加密、权限标记、安全策略检查●3●3是否基于国家相关法律法规对数据使用和分析处理的相关要求建立数据使用监管机制，是否能够查阅政务数据需求部门对共享数据使用行为的记录，是否能够约束数●3/要求”●2境/评估政务数据基础设施是否部署于政务网络环境，并符合网络安全相关要求，机构2理/评估是否定期对数据处理合法性、合规性等复核与检查，是否具备批量原始数据的删除、更新、导出等审批流程与操作规范，是否具备数据安全销毁与复核机制，是否定期核验备份数据的完整性和可用性，是否具备人工智能训练数据处理安全管理2估/评估是否定期开展政务数据安全合规第三方评估，并组织2估/评估是否定期开展政务数据安全风险第三方评估，并组织2测/2知/●3报/2置/评估是否具备政务数据安全应急机制，并定●3/发现安全事件时立即启动应急预案、采取处置措施、防止危害扩大、消除隐患并按2报/2析/评估是否具备数据安全事件溯源分析、及时修复漏洞与隐患等●3计/●3督/●3标障/评估政务数据共享交换服务方是否明确政务数据共享交换服务工作机构●3系/●3/1段●31●3段●311评估政务数据共享交换服务方在用户管理时，是否支持基于角色的用户分1●3●3111111111评估政务共享数据交换服务方在数据交换过程中是否对每次数据交换指●3户身份鉴别或设备认证，保证数据交换两端身份的●3评估政务共享数据交换服务方在数据交换过程中，是否采用如用户名/口1数据访问主体复合采用两种或两种以上鉴别技术进行111●31评估政务共享数据交换服务方在数据交换过程中，是否采用符合GM/T001赖●3●3●311111评估政务共享数据交换服务方，是否采用符合GM/T0054等国家相关1段评估政务数据共享交换平台是否提供接收共享数据使用方的数据使用监1础设施资源共享网站等基础设施的通用安全是否符合GB/T22239-2019中的第三级安11评估政务信息共享交换云平台，是否满足GB/T31168-2014中的增强●311评估政务信息共享交换云平台，是否对容器采用保护机制防止越权逃111●3111评估前置交换子系统，是否具备防护机制，包括防止病毒、渗透入侵、A●3●3●3基础环境/并符合网络安全相关要求，机构是否落实专人●3理/1/评估政务数据共享工作机构是否定期组织开展本部门政务数据共享安全1估置/1报/评估政务数据共享交换服务方，是否具备数据安全事件上报1计/评估政务数据共享交换服务方，是否具备数据处理日志安全审计2量化控制级政务数据共享交换服务方评估指标障/评估政务数据共享交换服务方是否明确政务●3系/评估政务数据共享交换服务方是否依照法律●3/评估政务数据共享交换服务方是否制定在数据交换过程中对每次数据交换1/评估政务数据共享交换服务方是否具备用户用监管相关的安全管理制度，保障平台安全、稳定运行，维护政务数1/《信息安全技术政府部门信息技术服务外包信息安全管理规范》明确工作规范●3段评估政务数据共享交换服务方在资源目录发●3评估政务数据共享交换服务方在资源目录发1评估政务数据共享交换服务方在资源目录发1段●3评估政务数据共享交换平台是否根据业务需1评估政务数据共享交换平台是否支持对特定数据的访问主体进行实时授权1评估政务数据共享交换平台是否支持基于角1评估政务数据共享交换平台是否支持针对用●31评估政务数据共享交换平台是否对权限范围外的数据、应用的尝试操作提1评估政务数据共享交换平台是否支持资源文1111评估政务数据共享交换平台是否遵循数据共111评估政务数据共享交换平台是否根据安全策全配置信息，并将这些配置信息安全分发到信息交换1评估政务共享数据交换服务方在数据交换过程中是否对每次数据交换指定唯一●3评估政务共享数据交换服务方在数据交换过●31评估政务共享数据交换服务方在数据交换过1评估政务共享数据交换服务方在数据交换过1评估政务共享数据交换服务方在数据交换过程中，仅对1评估政务共享数据交换服务方在数据交换过1评估政务共享数据交换服务方在数据交换过1评估政务共享数据交换服务方在数据交换过●3评估政务共享数据交换服务方在数据交换过程中，是否采用符合GM/T0家相关标准规定的密码技术，保证通信过程中数据的保密●3评估政务共享数据交换服务方在数据交换过1评估政务共享数据交换服务方在数据交换过1赖评估政务共享数据交换服务方在数据交换过据提供方对发出数据和时间戳进行数字签名●3评估政务共享数据交换服务方在数据交换过据使用方对接收到的数据进行确认，确认消1评估政务共享数据交换服务方在数据交换过程中，是否跟踪和记录数据交●3评估政务共享数据交换服务方在数据交换过于：本次数据交换事务唯一性标识和本次数据交换开始时间1评估政务共享数据交换服务方在数据交换过但不限于：数据提供方对交换数据的分级分类封装的过程记录和封装方式记录、数据提供1评估政务共享数据交换服务方在数据交换过端点标识、P地址、数据长度、传输时间等）、若数据传输过程存1评估政务共享数据交换服务方在数据交换过但不限于：数据使用方对数据提供方的身份鉴1评估政务共享数据交换服务方在数据交换过程中，数据交换记录日志是否保1评估政务共享数据交换服务方是否采用符合GM/T0054等国家相关标准码技术对共享交换系统间的级联接口进行安●3评估政务数据共享交换平台是否对接收的共享数据使用方的数据使用监管●3段评估支撑政务信息共享交换业务的基础网络源共享网站等基础设施的通用安全是否符合GB/T22239-2019中的第三求2评估政务数据共享提供方、政务数据共享交1评估政务信息共享交换云平台是否满足GB/T31168-2014中的增强级安1评估政务信息共享交换云平台是否对数据采1评估政务信息共享交换云平台是否实现政务信息共享交换云平台不同用户11评估政务信息共享交换云平台是否具备基于云平台的整体防护机制，包括1评估政务信息共享交换云平台是否提供对应11评估前置交换子系统是否具备对数据交换过程管控的机制+实现实时监11评估前置交换子系统是否实现授权登录、系统鉴权、过程管11评估前置交换子系统是否具备整体防护机制，包括防止病毒、渗透入侵1评估资源共享网站是否符合政府网站建设与111境/评估政务数据基础设施是否部署于政务网络环境，并符合1理/评估是否定期对数据处理合法性、合规性等1估/评估政务数据共享工作机构是否定期组织开展本部门政务数据共享安全性1估/评估政务数据共享工作机构是否定期组织开展本部门政务数据共享安全风1测/1报/1/评估发现安全事件时是否立即启动应急预案1置报/1计/1标障/评估政务数据共享交换服务方是否明确政务●2系/评估政务数据共享交换服务方是否依照法律性要求，构建资源目录发布的审核机制，明确●2/评估政务数据共享交换服务方是否制定在数据交换过程中对每次数据交换1/评估政务数据共享交换服务方是否具备用户用监管相关的安全管理制度，保障平台安全、稳定运行，维护政务1/评估政务数据共享交换服务方是否持续优化制1/评估政务数据共享交换服务方是否参与政务数据共享相关标准1/《信息安全技术政府部门信息技术服务外包信息安全管理规范》和标准，采取必要技术措施，监督受托方履行相应的政务数据安全1段评估政务数据共享交换服务方在资源目录发●2评估政务数据共享交换服务方在资源目录发进行详细记录，包括发布日期和时间、发布人、审批人、发布资源详细内容等1评估政务数据共享交换服务方在资源目录发1评估政务数据共享交换服务方在资源目录发布过程中，是否根据1评估政务数据共享交换服务方在资源目录发1段●2评估政务数据共享交换平台是否根据业务需1评估政务数据共享交换平台是否实时将监测1评估政务数据共享交换平台是否支持对特定数据的访问主体进行实时授权1评估政务数据共享交换平台是否支持基于角1评估政务数据共享交换平台是否根据新技术发展，更新访问控制1评估政务数据共享交换平台是否支持针对用●2评估政务数据共享交换平台是否支持基于数据分级分类的多级授权和操作1评估政务数据共享交换平台是否对权限范围1评估政务数据共享交换平台是否支持资源文1111评估政务数据共享交换平台是否遵循数据共1评估政务数据共享交换平台是否检查有条件共享数据的使用请求符合规定1评估政务数据共享交换平台是否可设定授权的有效期并定期检查授权的有1评估政务数据共享交换平台是否根据安全策全配置信息，并将这些配置信息安全分发到信息交1评估政务共享数据交换服务方在数据交换过程中是否对每次数据交换指定唯一●2评估政务共享数据交换服务方在数据交换过1性口令、数字证书、标识密码、生物特征等技术实现交换两端的用1评估政务共享数据交换服务方在数据交换过据访问主体复合采用两种或两种以上鉴别技术进行身份1评估政务共享数据交换服务方在数据交换过1评估政务共享数据交换服务方在数据交换过程中，仅对1评估政务共享数据交换服务方在数据交换过1评估政务共享数据交换服务方在数据交换过1评估政务共享数据交换服务方在数据交换过1评估政务共享数据交换服务方在数据交换过●2评估政务共享数据交换服务方在数据交换过1评估政务共享数据交换服务方在数据交换过程中，是否采用符合GM/T0家相关标准规定的密码技术，保证通信过程中数据的保密●2评估政务共享数据交换服务方在数据交换过1评估政务共享数据交换服务方在数据交换过1评估政务共享数据交换服务方在数据交换过1评估政务共享数据交换服务方在数据交换过1赖评估政务共享数据交换服务方在数据交换过据提供方对发出数据和时间戳进行数字签名●2评估政务共享数据交换服务方在数据交换过据使用方对接收到的数据进行确认，确认消1评估政务共享数据交换服务方在数据交换过程中，是否跟踪和记录数据交●2评估政务共享数据交换服务方在数据交换过于：本次数据交换事务唯一性标识和本次数据交换开始时1评估政务共享数据交换服务方在数据交换过但不限于：数据提供方对交换数据的分级分类封装的过程记录和封装方式记录、数据提供1评估政务共享数据交换服务方在数据交换过端点标识、P地址、数据长度、传输时间等）、若数据传输过程存1评估政务共享数据交换服务方在数据交换过但不限于：数据使用方对数据提供方的身份鉴1评估政务共享数据交换服务方在数据交换过程中，数据交换记录日志是否保1评估政务共享数据交换服务方在数据交换过1评估政务共享数据交换服务方是否采用符合GM/T0054等国家相关标码技术对共享交换系统间的级联接口进行安●2段评估政务数据共享交换平台是否对接收的共享数据使用方的数据使用监●2基础设评估支撑政务信息共享交换业务的基础网络源共享网站等基础设施的通用安全是否符合GB/T22239-2019中的第三1评估政务数据共享提供方、政务数据共享交1评估政务信息共享交换云平台是否满足GB/T31168-2014中的增强级安1评估政务信息共享交换云平台是否对数据采1评估政务信息共享交换云平台是否实现政务信息共享交换云平台不同用户11评估政务信息共享交换云平台是否具备基于云平台的整体防护机制，包括1评估政务信息共享交换云平台是否提供对应11评估政务信息共享交换云平台是否具备对整1评估前置交换子系统是否具备对数据交换过程管控的机制+实现实时监11评估前置交换子系统是否实现授权登录、系1评估前置交换子系统是否具备整体防护机制，包括防止病毒、渗透入侵1评估资源共享网站是否符合政府网站建设与●21评估资源共享网站是否具备对网站的实时监控能力和应急响应机11境/评估政务数据基础设施是否部署于政务网络环境，并符合1理/评估是否定期对数据处理合法性、合规性等1估/评估是否定期开展政务数据安全合规第三方评估，并组织整1估/评估是否定期开展政务数据安全风险第三方评估，并组织整1测/1知/1报/1置/评估是否具备政务数据安全应急机制，并定期1/1报/1析/评估是否具备数据安全事件溯源分析、及时修复漏洞与隐患等能1计/1督/1标组织保障/政务数据共享交换需求方是否明确政务数据共享交换服务工作机构和机构负责人●3制度体系/政务数据共享提供方是否具备政务数据共享务数据全过程质量管理体系、政务数据校核度●3信息服务外包/措施，监督受托方履行相应的政务数据安全●3共享数/政务数据共享交换需求方提供的数据导入功对所获取的共享数据进行梳理，按照数据提●3共享数据使用鉴别安全性，对敏感数据或重要模块的操作复●3户授予其完成各自承担任务所需的最小权限,限制超级管理●3是否及时清除系统中无用账号、默认账号,杜绝多人共用同一个系统账号的情况;1是否阻断对数据、应用、系统等的任何非授权访问,提出1是否限制对重要服务器的远程管理,若需要远程管理时应采用SSH等安全方式实现11111是否按数据分级分类预先对每类数据设置访问策略、传播策略11111地址、处理时间、处理方式等，且采集的信息源应能追踪到11是否对关键溯源信息进行备份，并采取安全措施对溯源111是否跟踪和记录数据汇集、分发等过程信息，并111是否根据数据重要性、量级、使用频率等因素将数据11是否按照GB/T35273的要求存储个人信息，防止个人信息通过关联分析等技术手1是否在存储个人准生物识别特征信息时,按照GB/T35273的要求采用技术措施确保信息安全后再进行存储，例如仅存储个人生物识别特征信11是否支持数据逻辑存储，满足不同数据类型、容量和用户的11是否建立分层的逻辑存储授权管理和授权操作规则,实现对数据逻辑存储结构的1是否对访问用户进行身份鉴别和权限控制，并对用户权限变更进111是否提供控制机制限制获得访问权的用户将数据传递给11是否建立敏感数据防护区域或敏感数据集群11是否对敏感数据采用加密技术,加密存储于数据库、文1是否根据需求对数据库采取整库加密、表加密、字11111权的管理员才能对审计记录进行检索、导出和删1●3是否具备本地数据备份与恢复功能,备份介质场外存放,敏感数据备份时应进行加密●3是否对敏感数据采取异地备份方式,利用通信网络将数据定时批量传送至备用场2是否支持数据管理系统的系统级备份和回滚,根据数据安全等级要求确定备份周111是否根据数据安全等级要求确定故障应用系统应急接管的时间,1是否设置数据恢复策略,结构化数据可采用数据库回滚方式,非结构化数据恢复可采用日志备份恢复和文件系统备份恢复相结1数据管理系统备份是否保存3个连续的版本以上,恢复可采用系1是否具备将备份数据恢复到与备份对象不同的主机或目录中的功能,支持在虚拟机之间、物理机之间以及虚拟机与物理机之间的数据1111是否建立符合数据销毁策略和管理制度的销毁审批机制，111数据使用是否对共享数据使用行为进行记录,并按照约定的数据使用规则进行行为模型或策略模型等匹配检查,对异常使用进行即时发1●3基础设/求”●3基础环境/政务数据基础设施是否部署于政务网络环境●3数据处理/1合规评估/政务数据共享工作机构是否定期组织开展本1置/1事件上报/●3安全审/●3计二级指标组织保障/评估政务数据共享交换需求方是否明确政务数据共享交换服务工作●2机构负责人是否具备政务数据共享安全专业●2制度体系/●2政务数据收集、存储、加工、传输、共享、使用、销毁等标准化●2●2和政务数据分类分级管理要求，保障政务数●2信息服务外包/《信息安全技术政府部门信息技术服务外包信息安全管理规范》明确工作规范和标准，并采取必要技术措施，监督受托方履行相应的政务数据安全保1共享数●2共享数●2据使用户授予其完成各自承担任务所需的最小权限,限制超级管理1是否及时清除系统中无用账号、默认账号,杜绝多人共用同一11是否阻断对数据、应用、系统等的任何非授权访问,提出1是否限制对重要服务器的远程管理,若需要远程管理时应采用SSH等安全方式实现11是否明确授权目的和范围，保留授权记录并11111是否建立对敏感数据脱敏有效性的评价机制，实现11是否按数据分级分类预先对每类数据设置访问策略、传播策略111111地址、处理时问、处理方式等，且采集的信息源应能追踪到11是否对关键溯源信息进行备份，并采取安全措施对溯源1络取证分析、异常流量监测、安全情报分析、用户行为分析、数据校●211是否跟踪和记录数据汇集、分发等过程信息，并11●2是否根据数据重要性、量级、使用频率等因素将数据11是否按照GB/T35273的要求存储个人信息，防止个人信息通过关联分析等技术手1是否在存储个人准生物识别特征信息时,按照GB/T35273的要求采用技术措施确保信息安全后再进行存储，例如仅存储个人生物识别特征信11是否支持数据逻辑存储，满足不同数据类型、容量和用户的11是否建立分层的逻辑存储授权管理和授权操作规则,实现对数据逻辑存储结构的1是否对访问用户进行身份鉴别和权限控制，并对用户权限变更进111是否提供控制机制限制获得访问权的用户将数据传递给11是否建立敏感数据防护区域或敏感数据集群11是否进行数据血缘关系梳理,建立数字表字段级的上下游关系,建立不同数据源数1是否对敏感数据采用加密技术,加密存储于数据库、文1是否根据需求对数据库采取整库加密、表加密、字1111权的管理员才能对审计记录进行检索、导出和删11质替换频率、数据离站运输方法、备份周期/频率、●2是否具备本地数据备份与恢复功能,备份介质场外存放,敏感数据备份时应进行加密1是否对敏感数据采取异地备份方式,利用通信网络将数据定时批量传送至备用场1是否支持数据管理系统的系统级备份和回滚,应根据数据安全等级要求确定备份111是否根据数据安全等级要求确定故障应用系统应急接管的时间,1是否设置数据恢复策略,结构化数据可采用数据库回滚方式,非结构化数据恢复可采用日志备份恢复和文件系统备份恢复相结1数据管理系统备份是否保存3个连续的版本以上,恢复可采用系1是否具备将备份数据恢复到与备份对象不同的主机或目录中的功能,支持在虚拟机之间、物理机之间以及虚拟机与物理机之间的数据1111是否建立符合数据销毁策略和管理制度的销毁审批机制，●211数据使用是否对共享数据使用行为进行记录,并按照约定的数据使用规则进行行为模型或策略模型等匹配检查,对异常使用进行即时发11基础设/政务数据平台中的数据桥接子系统是否符合GB/T44230-2024中的“7系统安全1基础环境/评估政务数据基础设施是否部署于政务网络1数据处理/1合规评估/1风险评估/1风险监测/1预警通报/1置/1事件上报/1安全审计/1二级指标组织保障/政务数据共享交换需求方是否明确政务数据共享交换服务工作●机构负责人是否具备政务数据共享安全专业人制度体系/●/务数据收集、存储、加工、传输、共享、使用、销毁等//政务数据分类分级管理要求，保障政务数据共//信息服务外包/加工政务数据的，评估其是否按照国家有关规定履行批准程序，参照GB/T32926《信息安全技术政府部门信息技术服务外包信息安全管理规范》明确工作规范和●共享数/是否具有数据导入过程保护和回退机制以及故障恢复后数据自●21●共享数据使用●2授予其完成各自承担任务所需的最小权限,限制超级管理员等1是否及时清除系统中无用账号、默认账号,杜绝多人共用同一11是否阻断对数据、应用、系统等的任何非授权访问,提出告1是否限制对重要服务器的远程管理,若需要远程管理时是否采用SSH等安全方式实现11是否明确授权目的和范围，保留授权记录并11111是否建立对敏感数据脱敏有效性的评价机制，实现11是否按数据分级分类预先对每类数据设置访问策略、传播策略111111是否支持潮源信息采集，采集信息包含但不限于以下内容:处理人员、处理系统IP地址、处理时问、处理方式等，且采集的信息源应能追踪到11是否对关键溯源信息进行备份，并采取安全措施对溯源1取证分析、异常流量监测、安全情报分析、用户行为分析、数据111是否跟踪和记录数据汇集、分发等过程信息，并111是否根据数据重要性、量级、使用频率等因素将数据111是否按照GB/T35273的要求存储个人信息，防止个人信息通过关联分析等技术手段1