DB3301∕T 0322.1-2020 数据资源管理 第1部分：政务数据安全监管

ICS35.020

L72

DB3301

浙江省杭州市地方标准

DB3301/T0322.1—2020

数据资源管理

第1部分：政务数据安全监管

2020-10-31发布2020-11-30实施

杭州市市场监督管理局发布

DB3301/T0322.1—2020

目  次

前  言.............................................................................................................................................................II

1范围.................................................................................................................................................................1

2规范性引用文件.............................................................................................................................................1

3术语和定义.....................................................................................................................................................1

4监管目的.........................................................................................................................................................1

5监管流程.........................................................................................................................................................2

5.1监管角色与职责.....................................................................................................................................2

5.2监管框架.................................................................................................................................................2

6监管内容.........................................................................................................................................................2

6.1敏感数据监管.........................................................................................................................................2

6.2特权账号监管.........................................................................................................................................3

6.3基础设施监管.........................................................................................................................................3

7实现方式.........................................................................................................................................................4

7.1总则.........................................................................................................................................................4

7.2人工机制.................................................................................................................................................4

7.3自动机制.................................................................................................................................................4

参考文献...............................................................................................................................................................5

I

DB3301/T0322.1—2020

前  言

本部分按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

本次发布DB3301/T0322《数据资源管理》分为4个部分，以后根据工作需要，再视情增补。

——第1部分：政务数据安全监管；

——第2部分：政务数据安全责任；

——第3部分：政务数据分类分级；

——第4部分：政务数据共享流程。

本部分为DB3301/T0322的第1部分。

本部分由杭州市数据资源管理局提出并归口。

本部分起草单位：杭州市数据资源管理局、萧山区数据资源管理局、杭州安恒信息技术股份有限公

司、数字扁担（浙江）科技有限公司。

本部分主要起草人：丁熙、郭鹏飞、齐同军、章建平、夏鹏、任子骙、樊兴悦、周俊、孙茂阳、肖

国军、王梦婕。

II

DB3301/T0322.1—2020

数据资源管理第1部分：政务数据安全监管

1范围

本部分规定了数据资源管理过程中数据安全监管目的、监管流程、监管内容和实现方式。

本部分适用于开展数据安全监管工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T25069信息安全技术术语

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本部分。

3.1

数据活动

指数据的收集、存储、加工、使用、提供、交易、公开等行为。

3.2

安全监管方

为保障数据安全而开展安全监控和审计的组织。

3.3

被监管方

进行数据活动的组织和人员。

3.4

交付件

对监管活动起到佐证作用的任何实体，包括但不限于文档、图片、录音、录像、实物、数据等，并

以纸质、电子等形式有效保存。

3.5

特权账号

特权账号包括但不限于主机操作系统管理账号、数据库管理及运维账号，中间件系统管理账号，网

络设备管理账号，安全系统和设备管理账号及应用系统内嵌账号。

4监管目的

开展数据安全监管的目的是保障：

——数据安全保护工作持续满足国家及省、市相关法律法规、行政命令、政策和标准要求；

1

DB3301/T0322.1—2020

——数据活动安全风险可控；

——安全监管方能够有效、及时掌握基础设施的运行质量和安全状态。

5监管流程

5.1监管角色与职责

安全监管包含两个主要角色：

——安全监管方，应对数据运行各阶段开展安全监控和审计，对数据生命周期各阶段可能存在的未

授权访问、数据滥用、数据泄漏等安全风险的防控；

——被监管方，应按照安全监管要求提供相关交付件用于审计分析，收到相关安全风险通报后及时

整改。

5.2监管框架

被监管方应对数据活动过程中的敏感数据安全、特权人员权限和基础设施运行落实相关管理和技术

措施，并为安全监管方提供可证明的交付件，交付件可通过接口自动获取或人工手动提交。

安全监管方应对交付件进行分析审核和评估验证等监管活动，形成监管结果。发现安全问题时应向

被监管方反馈结果，必要时应根据监管结果给出合理的整改意见和建议。

数据安全监管框架图参见图1。

图1数据安全监管框架

6监管内容

6.1敏感数据监管

6.1.1敏感数据级别标签监管

结合国家法规标准与数据分类分级要求，判定敏感数据设置合法性与合理性。

6.1.2敏感数据传输监管

确保敏感数据落实相应等级的传输加密保护，必要时可对安全通道方案、身份鉴别和认证机制、数

据加密算法进行评估审核。

2

DB3301/T0322.1—2020

6.1.3敏感数据存储监管

确保敏感数据落实相应等级的存储加密手段，必要时可对数据库配置、数据加密算法进行评估审核。

6.1.4敏感数据调用监管

对敏感数据的访问行为进行分析审计，确保敏感数据调用合法合规。

6.1.5敏感数据脱敏使用监管

对敏感数据脱敏、分析等数据操作行为进行日志分析与流量分析审核，确保敏感数据的使用符合申

请需求。

6.1.6敏感数据销毁监管

对敏感数据的销毁方式、审批记录和销毁过程进行审计，确保数据合规销毁。

6.2特权账号监管

6.2.1特权账号操作监管

分析评估特权账号操作日志记录，重点监管审计数据库特权账号对数据资源的增，删，改，查。

6.2.2特权账号共享使用监管

分析评估特权账号的登录/登出记录，防止特权账号被多人共享使用。

6.2.3特权账号口令监管

分析评估特权账号的密码强度，防止账号密码被轻易破解。

6.2.4特权账号授权监管

分析评估特权账号的授权记录，保障账号权限“最小可用”。

6.3基础设施监管

6.3.1基础设施运行监管

对信息资产的日常运行及使用状态进行安全监管。

6.3.2基础设施合规监管

开展等级保护测评、等级保护备案、个人信息保护规范等安全检查，确保被监管方落实安全合规建

设。

6.3.3安全管理措施监管

检查数据安全管理制度等文件，确保被监管方制定相关数据安全目标及规划。

6.3.4技术防护措施监管

通过渗透测试或安全众测等方式，确保被监管方安全防护措施的有效性。

6.3.5安全事件处置监管

3

DB3301/T0322.1—2020

对被监管方安全通报的整改情况，应急事件的响应情况进行监管审计，确保安全事件进行有效处置。

7实现方式

7.1总则

安全监管方应通过有效、准确、及时的方式