版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
T/FSASX.7-2020范围本文件规定了公安监管数据安全管理的总体要求及数据归集安全、数据传输安全、数据存储安全、数据处理安全、数据共享安全和数据销毁安全要求。本文件适用于公安监管数据资源的规划、建设和管理。规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求T/FSAS49(所有部分)公安监管数据资源术语和定义下列术语与定义适用于本文件。数据安全DataSecurity通过采取必要措施,防范对系统的攻击、侵入、干扰、破坏和非法使用以及意外事故,使系统处于稳定可靠运行的状态,以及保障系统数据的完整性、保密性、可用性的能力。数据安全管理Datasecuritymanagement对数据采集、传输、存储、处理、共享和销毁等数据管理流程环节进行安全管理。数据分级Dataclassification按照一定的分级原则、分级方法,对数据分为无条件共享数据等级、有条件共享数据等级、涉密不共享数据等级三个等级。数据脱敏Datadesensitization通过一系列数据处理方法,对数据进行处理以屏蔽敏感信息的一种数据保护方法。总体要求数据安全管理依据公安监管数据安全管理应符合GB/T22239、T/FSAS49(所有部分)的相关要求。数据安全管理原则公安监管数据安全管理应采取主动防御、综合防范方针,坚持保障数据安全与促进创新应用相协调、管理与技术并重的原则,实行统一协调、分工负责、分级管理。各公安监管机构数据安全和信息化工作应同步规划、同步建设、同步运行。数据安全管理机构公安监管数据主管单位应建立公安监管数据安全管理机构,并应满足以下要求:建立公安监管数据安全领导小组,指定小组组长,并明确组长责任与权力;建立公安监管数据安全执行小组,按照职责分离与权限最小化原则设置相关职能岗位;建立独立的公安监管安全监督管理机构,对各参与单位数据操作行为进行安全监督管理;制定公安监管数据安全岗位的工作规范,明确各职能岗位之间的协作关系、运行配合机制。数据安全管理制度公安监管数据主管单位应按照网络安全等级保护要求制定公安监管数据安全管理制度,制定实施系统配置技术管理规程、软件采购使用限制策略和外部组件使用安全策略,规定配置管理的审批、操作流程,提供符合标准规范的管理与服务,并应满足以下要求:制定满足公安监管业务需求的安全策略,明确安全方针、安全目标和安全原则;基于安全策略建立相关的制度规程,形成以数据为核心的公安监管数据安全制度体系;制定策略、规程的评审和发布流程,明确适当的频率和时机对策略和规程进行更新。数据安全管理人员各参与单位应根据自身角色和职责对公安监管数据安全管理人员进行管理,并应满足以下要求:固化员工入职、转岗、离职的人力资源流程,及时将人员的变更通知到相关方;及时调整人员变化所涉及的账号权限的赋权、更改和回收;制定与各参与单位相关人员的标准合同协议,以约束相关人员与组织的数据安全责任;建立离任审计机制,对关键人员离任进行审查,及时回收相关资源和授权,并对其在任期中行为进行评估,分析是否存在滥用职权、弄虚作假、以权谋私等情况建立数据安全培训制度,每年至少一次对系统建设、运维、使用和从业人员进行数据安全培训。数据安全建设管理数据供应链管理公安监管数据主管单位应对公安监管数据建设进行管理,并应符合以下安全要求:建立公安监管数据提供单位、数据使用单位、数据建设和运维单位安全管理规范,定义公安监管数据安全目标、原则和范围,明确各参与单位的安全责任和义务,并建立监督审核机制;与各参与单位签署协议,明确公安监管数据的使用目的、供应方式、保密约定等;对各参与单位行为进行相关记录并进行合规性审核与监督;建立公安监管数据供应链和相关数据字典规则库,监测实际数据流动情况,分析数据流向与数据供应链遵循情况,发现异常自动报警。数据外包服务管理各公安监管机构采用外包服务提供商参与相关数据工作时,应依法与其签订数据处理协议和保密协议,并对其所有数据操作行为进行监督,每季度至少一次审计操作日志。外包服务提供商应具备相应资质,建立和落实数据安全管理、个人隐私保护、应急管理等管理制度和技术防护措施。外包服务提供商应按照数据处理协议和保密协议要求开展相关数据工作,不得违反规定将公安监管机构所提供的数据扩散或传播;服务结束后,应立即清除公安监管机构所提供的账户、密码及数据。数据安全运维管理数据资产管理各公安监管机构应根据自身角色和职责对公安监管数据资产进行管理,并应符合以下安全要求:制定公安监管数据资产安全管理制度,明确数据资产的安全管理目标和安全原则、全生命周期管理要求、资产登记要求和分类标记要求,并对其执行定期审核和更新;建立公安监管数据资产登记机制,形成公安监管数据资产清单,明确数据资产安全责任主体及相关方,并及时更新数据资产相关信息;制定和实施公安监管数据资产分类和标记规范,建立相应的标记策略、访问控制、数据加解密、数据脱敏等安全机制和管控措施。元数据管理公安监管数据主管单位应对公安监管元数据进行管理,并应符合以下安全要求:建立公安监管元数据语义统一规范和管理规则;建立公安监管元数据安全管理规范,如口令策略、权限列表、授权策略;建立公安监管元数据访问控制策略,明确元数据管理角色及其授权控制机制,对元数据管理角色进行授权和访问管理;建立公安监管元数据操作审计制度,明确采集元数据操作日志,确保元数据操作的可追溯。数据运行监管公安监管数据运维单位应对公安监管数据运行进行监管,并应符合以下安全要求:制定公安监管数据生命周期各阶段数据访问和操作的日志记录规范要求和监管要求,对公安监管数据采集、传输、存储、处理、销毁等过程进行有效日志记录,实现公安监管数据共享全链路的可追溯;建立统一的公安监管数据访问和操作的日志记录和分析技术工具,对各类数据访问和操作的日志进行统一处理和分析,实现对公安监管数据滥用、违规使用、越权使用等行为的识别、监控和追责;建立公安监管敏感数据动态可持续的数据风险监管体系,对公安监管敏感数据面临的安全威胁、安全措施有效性等内容进行周期性风险评估。终端数据管理各公安监管机构应根据自身角色和职责对公安监管终端数据进行管理,并应符合以下安全要求:制订面向终端的公安监管数据安全管理规范,明确终端层面的数据防泄漏管理要求;建立并实施公安监管终端安全解决方案,实现终端设备与组织机构内部员工的有效绑定,并按照统一的部署标准在终端系统上安装各类防控软件,对终端系统上的数据进行风险监控。数据防泄漏管理公安监管数据主管单位应对公安监管数据防泄漏进行管理,并应符合以下安全要求:制定公安监管数据防泄露规范,明确公安监管数据泄露防护处理的应用场景和处理方法:建立基于终端使用、动态传输、静态存储的公安监管综合数据泄露防护机制;提供能够面向不同业务场景的公安监管数据泄露防护策略的设置与部署;提供公安监管数据防泄漏处理过程的日志记录,满足公安监管数据防泄漏处理安全审计要求。数据应急管理公安监管数据主管单位应建立数据安全应急工作机制,制定公安监管数据安全事件应急预案,每年至少一次组织演练。各公安监管机构应建立应急协同机制。数据采集安全基本要求公安监管数据主管单位应制定公安监管数据分级标准、数据源管理制度和数据质量监控规则,对公安监管数据实行分级管理,对公安监管数据源进行识别和溯源,对公安监管数据质量进行监控。公安监管数据提供单位应确保本部门所提供的数据质量符合T/FSAS49系列标准和数据主管单位的相关要求,并对数据采集的环境、设施、网络、系统等采取必要的安全防护措施,不得利用私人设备采集公安监管数据。数据分级数据分级原则公安监管数据分级原则应符合以下要求:按照本文件规定的数据分级方法,对公安监管数据进行分级;在公安监管数据确定级别后,应明确相应级别的公安监管数据共享安全要求。数据分级方法公安监管数据应按数据敏感度划分等级,划分原则如下:非敏感数据为无条件共享数据等级;涉及用户隐私数据为有条件共享数据等级;涉及国家秘密数据为涉密不共享数据等级。数据源管理公安监管数据源管理应符合以下安全要求:在数据采集过程中,公安监管数据主管单位应制定公安监管数据源管理制度,针对不同的数据采集场景定义数据溯源策略和机制,并提供有效工具对外部采集的数据和数据源进行识别和记录,确保数据管理人员能追踪其加工和计算数据的原始数据来源;公安监管数据提供单位应确保所提供的数据来源真实有效、合法正当,并明确数据共享范围和用途;公安监管数据提供单位应保留数据原始表,不做任何加工清洗,以满足溯源、数据质量核查等需求。数据质量管理公安监管数据主管单位应建立数据质量监控规则,明确数据质量监控范围及监控方式,并对在线和离线采集的数据进行监控,实现对异常数据的告警。数据传输安全公安监管数据提供单位应合理选择传输渠道,采取必要的安全措施防止数据被窃取、泄露或篡改,并应符合以下安全要求:明确需要传输加密的业务场景,支持对个人信息和重要数据的加密传输;提供对传输通道两端进行主体身份鉴别和认证的技术方案和工具;提供对传输数据的完整性进行检测并执行恢复控制的技术方案和工具;提供对数据传输安全策略的变更进行审核和监控的技术方案和工具,对通道安全策略配置、密码算法配置、密钥管理等保护措施进行审核及监控。数据存储安全基本要求公安监管数据主管单位应确保市级相关平台或系统的数据存储安全,对共享的公安监管数据进行备份和恢复,并建立公安监管数据安全访问策略。公安监管数据使用单位应确保本部门相关平台或系统的数据存储安全,并对本部门公安监管数据进行备份与恢复,并按照数据主管单位的相关要求建立本部门公安监管数据安全访问策略。数据逻辑存储公安监管数据逻辑存储应符合以下安全要求:建立公安监管数据存储系统安全配置规则,支撑公安监管数据存储系统安全管理;定期检查公安监管数据存储系统安全配置以符合基线的一致性要求;定期探查存储系统的数据是否符合相关合规性的要求;采用碎片化分布式离散存储技术保存数据资源,并具有完整性验证机制;支持采用符合国家认定的密码算法对高敏感数据进行加密存储,平台服务商不得掌握密钥。数据备份与恢复公安监管数据备份与恢复应符合以下安全要求:建立公安监管数据存储冗余策略、管理制度与规程,明确定义数据复制、备份和恢复的范围、频率、工具、过程、日志记录规范、数据保存时长等;建立数据备份、恢复的统一技术工具,并将具体备份策略固化到工具中,保证相关工作自动化执行;建立数据复制、数据备份与恢复的定期检查和更新工作程序,包括数据副本更新频率、保存期限等,确保数据副本或备份数据的有效性。数据访问控制公安监管数据访问控制应符合以下安全要求:建立公安监管数据安全访问策略,由授权主体进行访问策略配置,授予数据使用单位为完成各自任务所需要的最小权限;采用基于用户组或角色的方法,保障数据使用单位访问数据资源时权限明确;采用多种方式对数据资源访问主体的身份进行鉴别;采用必要的措施使数据使用单位的访问和修改等行为具有不可抵赖性。数据处理安全基本要求公安监管数据主管单位应制定数据脱敏处理规范,并由公安监管数据使用单位明确数据脱敏处理的应用场景和处理方法。公安监管数据使用单位应确保数据分析安全、数据使用安全,并提供以下的数据处理环境:用户在使用数据处理系统或平台前已获得授权,对不同数据使用者在数据处理平台中的数据、功能等资源进行隔离控制;建立数据处理日志管理工具,记录用户在数据处理平台上的加工操作,以备后期追溯;定期审计用户数据操作行为,确定用户对数据加工未超出前期申请数据时的目的。在公安监管数据处理过程中,未经数据提供单位同意,不得改变原始数据值。数据脱敏公安监管数据脱敏应符合以下安全要求:建立公安监管数据脱敏规范,明确数据脱敏处理的应用场景和处理方法;提供面向使用者的定制化数据脱敏功能,可基于场景需求自定义脱敏规则;提供数据脱敏处理过程日志记录,满足数据脱敏处理安全审计要求。数据分析公安监管数据分析应符合以下安全要求:对数据分析结果进行风险评估,避免分析结果输出中包含可恢复的个人信息、重要数据等数据和结构标识,确保衍生数据不超过原始数据的授权范围和安全使用要求;对数据分析过程进行日志记录,对分析结果质量、真实性和合规性进行数据溯源;对平台数据分析算法的变更进行风险评估。数据使用公安监管数据使用应符合以下安全要求:制定公安监管数据权限管理制度,规定各参与单位身份及访问权限的授予、变更、撤销等流程,以及数据全生命周期的管理要求和责任制;定义并执行统一的身份及访问管理流程,并定期审核当前数据资源访问权限是否符合身份及访问管理的规范要求;建立数据使用正当性的监督审核机制,保证在数据使用声明的目的和范围内对受保护的个人信息、重要数据等数据进行使用和分析处理;基于统一的身份及访问管理,对各系统的用户和数据资源进行权限管理,遵循做小够用的原则,并依据数据使用目的建立相应强度或粒度的访问控制机制;关键的系统采用多因素认证的方式进行身份认证,如可信的数字证书、生物识别方式等。数据共享安全基本要求公安监管数据主管单位应建立数据共享安全规范,明确数据使用单位的数据获取方式、服务接口、授权机制和数据使用的权限范围等。公安监管数据主管单位应建立规范的数据共享流程,确保没有超出数据提供者所允许的数据授权使用范围。数据共享流程应符合T/FSAS49.6-2020的相关要求。公安监管数据使用单位应采用数据服务接口方式获取共享数据资源。对获取的共享数据,除用于本部门履行职责需要外,不得直接或以改变数据形式等方式提供给第三方,也不得用于或变相用于其他目的。公安监管数据主管单位应建立数据服务接口调用安全规范;应制定数据服务接口安全控制策略,提供
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 电工技师考试题库及答案电工操作证考试
- 深圳给排水中级职称考试试题及答案
- 2026年「T电梯修理」考试题库及答案
- 道路热熔型标线施划的技术要求
- 产房应激性溃疡现场处置方案演练脚本
- 港口叉车安装调试专项方案
- 波形梁钢护栏施工方案
- 煤矿特种作业人员考试卷及答案
- 静脉治疗静疗相关知识考核试题及答案
- ICU病房ICD故障应急演练脚本及演练记录
- 《医疗机构工作人员廉洁从业九项准则实施细则(试行)》解读学习
- 2024-2025学年新疆乌鲁木齐126中五年级(下)期末数学试卷
- 广东省2025年初中学业水平考试地理真题(含答案)
- 用电安全课件培训
- 设备故障分级管理制度
- 北师大版三年级下册期末检测语文试卷(A卷)
- 高效求解器设计与实现-深度研究
- 小学六年级语文阅读理解100篇
- T-CPQS XF007-2024 全氟己酮系洁净气体灭火系统通.用技术要求
- 骨质疏松课件完整版
- 人教版二年级下册数学口算混合练习题
评论
0/150
提交评论