T-CASMES 304-2024 城市治理数据安全体系建设规范

UrbangovernancedatasecuritysystemconstructionstaI 4 5本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定1城市治理数据安全体系建设规范GB/T35273信息安全技术个人信息GB/T37964信息安全技术个人信息去标GB/T37988—2019信息安全技术数据安全能力成4.1应运用物联网、云计算、大数据人工智能等新4.2逐步推进城市神经元感知和控制设施部署，构建城市多维物联感知神经元基础设施，打造城市治a)应按照管理制度定期更新系统的数据，并对软件与硬件进行维护和更新，保证系统的正常运b)系统应保证7×24h不间断运行，不应因数据软件和硬件的维护和升级而影响使用；c)应针对数据、软件和硬件建立完善的管理制度，主要包括权限管理、安全保密、数据更新、d)应建立数据、软件和硬件的访问与管理权限，设置管理黑白名单，应阻止未授权用户对数据1)物理安全主要指机房环境安全，机房建设应2)采取集群、链路和存储冗余、系统镜像以及备份等技术措施确保运行安全，采用虚拟化3)非涉密系统符合信息系统等级保护标准和要求，涉密系统应符合涉密信息系统分级保护4)应制定数据安全体系运行与维护的应急预案，根据突发事件的级别制定响应流程和业务25.1数据采集a)数据接收方创建前置库并将前置数据库账号、密码、数据库IP地址、端口等数据库连接参c)数据提供方采用较为通用的设备通信协议，数据接收方根据业务需要读取设备数据；d)部分不能通过系统对接的方式获取的数据，需要通过人工的方式获得，并根据业务数据的应5.2数据治理5.2.1通过数据转换、数据清洗、关联整合等技术手段，包括但不限于数据标准不一致、数据格式杂乱、数据错误、数据缺失等问题数据进行有效的数b)任务设计应便于通过简单流程化、图形化的操作完成数据清洗、转换、抽取的操作；c)应根据业务需要，完成常规数据的规整，主要包括但不限于格式转换规则、内容转换规则、5.3数据管理b)应具备限定词、同义词、术语等信息库收录、查阅、关联显示、状态信息的增加、查询、删c)应具备已有的标准字典信息的管理，以及在各类标准字典分类下新增标准字典表及字典项，a)通过增加、修改、删除等方式管理各类数据库的连接信息，以便同步各应用系统的元数据信c)在数据源下依托元模型进行元数据注册，包括但不局限于表、视图、索引、字段、列族、消d)支持按数据源查看已注册的所有元数据以及元数据的血缘影响关系，并在此基础上支撑创建DDL表功能，新增编辑表、字段、索引等元数据a)将数据目录按多层次分类配置形成树状结构，用于分类展示数据资源，实现数据资源的快速b)在数据目录分类节点下新增数据目录，数据目录内属性信息来自现有的元数据，将元数据进3a)识别数据资源和数据资产运营现状，以及数据生存周期，以明确数据资源和数据资产的管理b)确保数据生存周期的管理符合法律法规、行业监管等要求,保证数据的获取合法、存储完整、整合高效、分析有效、应用合规、归档可靠和销毁5.4数据更新a)在坐标和高程基准维度方面，更新数据应与原有数据的坐标和高程基准相同；c)几何数据和属性数据应同步更新，同时需要保持相互之间的关联，数据更新后应及时更新数d)数据组织应符合原有数据分类编码和数据结构要求，应保证新旧数据之间的正确边界和要素e)更新数据入库前应进行历史数据的备份工作，可根据需要建立相应的历史数据库，每次数据5.5数据安全风险评估5.5.2应制定并维护数据安全风险准则，准则应包括：5.5.3应依据数据安全风险准则开展数据安全风险的分析及评价，应包括：a)依据数据资产、威胁及脆弱性等相关影响因素确定安全事件发生可能性；b)依据数据资产及脆弱性程度确定安全事件影响程度；c)依据安全事件发生可能性及安全事件影5.6数据安全风险处置5.6.1建立数据安全风险处置计划，并按计划实施数据安全风险处置活动。5.6.2根据安全风险及相关分析评价结果，确定需进行数据安全风险处置的风险项。5.7数据备份5.7.3城市治理数据安全体系中数据宜每月进行一次全备份，宜每星期进行增量备份，对于使用数据库存储的数据宜启用归档日志模式，全备份数据的保留期为6个月。备份数据应进行校核。备份存储4c)备份介质保管环境应满足电子文件归档与电子档案管理规范的要求。6.1.1整体数据管理系统分为数据存储层6.1.2数据存储层存放各种数据资源6.1.3业务支撑层是数据资源库的核心处理中心，包括业务数据库、基础数据库，以及各个主题数据6.1.4所有数据资源库的建立，都服务于应用层，应用层根据各地实际情况进行规划建设，具体的行57.1.2所有汇集的数据资料（包括原始资料和最终入7.1.3所有入库的数据资料应按照预定备份策略进行备份，包括异地备份，应确保在任何情况下数据7.1.4对外提供的数据资料应按照“用户级别及权限