版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
DB11北京市市场监督管理局发布 本文件按照GB/T1.1—2020《标准化工作导则公司、北京明朝万达科技股份有限公司、九次方大数据轩、田涛、施阳、李振军、朱岩、舒鹏、聂明、赵昕、谢江、李佐、刘勇、张帆、何晋昊、郎政务数据分级与安全保护规范要求和管理要求,并给出了安全保护与共享开放一旦遭到篡改、破坏、泄露或者非法获取、清洗加工、挖掘分析、产品服务等活动,推动大数据技术创新、应用创新、服务创新的支撑政务部门面向公民、法人和其他组织提供政务数据的a)国家安全,包括国家政权、主权、统一和领土完整、人民福祉、经济社会可持续发展和国家其他重大利益相对处于没有危险和不受内外威胁的状态,以及保障持续安全状态c)公共服务机构,包括教育、医疗、金融、供水、供电、供气、供热、环保、公共交通、通讯等工作产生轻微干扰,但工作仍可正常运转;对自然人造成轻微人身伤极大干扰,导致工作运转失灵或几近瘫痪;致使自然人死亡或数据发生泄露、篡改、丢失或滥用后,影响规数据发生泄露、篡改、丢失或滥用后,可控程对党政机关、公共服务机构造成较小范围且弱对党政机关、公共服务机构造成较大范围且弱对党政机关、公共服务机构造成较小范围且强对党政机关、公共服务机构造成较大范围且弱 75.2.5数据级别与网络安全保护等级的关系根据国家网络安全等级保护制度相关要求,结合数据分级管控原则,信息系统与其可承载的数据具有对应关系,见表5。表5中信息系统安全保护等级执行GB/T22240。表5数据级别与系统安全保护等级的关系可承载的数据级别一级、二级、三级、四级二级一级、二级一级一级5.2.6数据的保护级别本文件中核心数据的数据保护级别应不低于四级,重要数据的数据保护级别应不低于三级,一般数据的数据保护级别可为一级或二级。5.3分级流程根据等级保护对象定级工作的一般流程,本文件给出数据分级流程,见图1。否是是发生变更否图1数据分级流程如图1所示,数据分级的具体流程如下:a)全面梳理数据资产,明确应用场景和数据责任主体,形成数据目录;b)确定数据分级对象,初步确定拟分级的数据范围和对象;与级别判定流程示例,见附录B);2)数据在汇聚、加工、分析等过程中级别发生变化或产生新数据(如脱敏后的数据、统计产生);注:可用不可见是指数据使用方不可以明细方式获取或访问数据,可以通过部署6.3数据共享开放审批流程是否符合要求是图2数据共享开放审批流程如图2所示,数据共享开放的具体流程如下: A.1不考虑应用场景下的个人信息数据结合个人信息的应用场景、个人信息数据项的组合、数据量的大小等,力求在不考虑应用场景的情况下,表A.1给出了较小范围影响规模情形下一些典型个人信息单个基于国内某通信运营商(以下简称:某运营商)的数据,依据本文件进行了分级示例,见表迹强对于用户相关信息与数据的保护,在本文件可接A.3某智慧停车应用场景下的数据项、数据项集基于国内某智慧停车项目的数据,依据本文件进行了分级示例,见表A.3。表中所列分级号(资料性)以结构化数据的数据项集合分级定级为例。数据级别划分以数据项集合(库表)为单位,结合数据数据项集合定级和最终定级三个步骤,见图B.1。1)数据项定级。依据数据项含义,对待定级数据项集合所包含的所有数据项,在不考虑应用场景2)数据项集合定级。依据数据项集合的业务应用场景以及与其它数据项集合的关联关系,对待定对各类重要数据、敏感数据所包含的敏感信息进行模糊化、加扰、加密或转换后(如:对身份证号码群体性综合性数据,是由多个个人或实体对象的数据进行统计或分析后形成的数据。如:群体位置轨迹统计信息、交易统计数据、统计分析报表、分析报告方案等。根据统计数据,应当无法推演、无法如表C.2所示,一级数据在共享时,允许以原始数据、脱敏数据以及统计数据形态享时,不允许以原始数据、脱敏数据形态提供,允许以统计数据形态经密码技术处理后○○○××注:“○”代表本要求项与该级数据存在对应关系,“×”代表本要求项与该级数据不○○○××××○○○×○○×○○×管控类管控域级三级四级○○○○a1)对登录信息系统的用户,应采用“口令认证”等认证方式,进行身份鉴别;对线○“数字证书认证”、“口令认证”和“人脸识别等生○认证”和“人脸识别等生物特征认证”等组合认证方式,进行身份鉴别;对线下访问操作数据的人员,应核验其身份及证件信息,对证件信息进行复○○b)应建立统一的身份认证机制,对系统用户○○○c)应针对重要操作或个人信息、敏感数据、重要数据的访问建立技术管理者多方认证○○○a2)应建立基于主体角色的授权机制,并在此基础上○○○○○○○○○○○e)应制定数据访问授权审批流程,对数据活动主体的操作权限和范围变更制定申请和○○f)应建立统一数据出口授权管理机制,对数据共享、开放、使用等(包括但不限于:依申请在对数据内容、提供形式、频率、周期等进行审核确认后,按共享或开放范围○○○○○○b)应建立基于共享、开放任务授权的访问控制,应设置访问权限有效期,在共享、开○○○c)应实现基于认证机制的权限控制,根据用户认○○管控类管控域级三级四级d)应建立统一数据出口访问控制管理机制,对数据共享、开放、使用等(包括但不限依申请在对数据内容、提供形式、频率、周期等进行审核确认后,按共享或开放授权○○○○○○b)应能在数据汇聚、存储、加工、共享、开放、使用等过程○○○○○a)应对数据采集、汇聚、存储、加工、分析、共享、开○○○○○○○○c)应采取备份等措施对审计日志进行保护○○○d)应采取技术措施对日志进行审计,对操作异常○○○e)应建立对审计日志的大数据分析与事件○○等过程,及时发现和告警异常行为,防止个人信息、敏感数据○○○b)应实时监控数据交换服务接口的调用信息,分析是否存在恶意数据获取、数据盗用○○○○c)应实时监控和记录个人信息、敏感数据和重要数据的外发行为,记录交换数据的种○○○○○e)应采取技术手段实现对数据专区内数据开放过程的实时监测,并记录和分析监测日○○f)应建立数据追踪溯源机制,实现对数据异常流量的实时监测,确保数据在使用过程○○○g)应建立对数据血缘关系的管理和对数据加工、分析链路及映射关系的管理,记录加工、分析等处理环节的操作日志,包括但不限于:操作者、操作时间、操作对象、操○○管控类管控域级a)应明确数据采集源、采集范围、采集方式、采集周期○○○○○○○○○○○d)应采取技术手段和管理措施,防止数据采集过程中个人信息、敏感数据和重要数据○○○e)采集个人信息、个人敏感信息时,应征得个○○○f)采集个人信息、个人敏感信息时,应有明确的法规范的采集流程、采集方式和采集管理机制,避免无秩序、无规○○○个人信息的目的、类型、安全保护措施等内容,并向个人信息主○○○○○○a)应对汇聚的数据进行完整性、一致性和真实性校验,○○○○○○○○c)应能识别出个人信息、敏感数据和重要数据,○○○○○○e)应采取技术手段和管理措施,防止数据汇聚过程中个人信息、敏感数据和重要数据○○○f)应采取技术措施对数据采集过程进行实时监控,○○○○○○○○○收确认、防抵赖机制,传输过程应使用只读存储介质,并及时销毁导入导出终端上的○○○○○○○b1)应设置数据存档规则,将暂时不使用○○○○○○○○○○○○○○○○g)应对不同级别的数据进行隔离存储,并在各自存○○○h1)应提供异地数据备份功能,利用通信网络将数据定○○h2)应提供异地实时备份功能,利用通信网络将数○○○○管控类管控域级○○○○○○○b)应明确数据加工、分析的目标和范围,确保加工○○○○○○○○○○○○○○○○○○○直接对其进行非脱敏的加工、分析时,应获得信息主体的授权○○h2)应能识别出个人信息、敏感数据和重要数据,并对其○i)应在数据清洗、转换、分析等加工处理过程中对个人信息、敏感数据和重要数据进行保护,避免数据的泄露、篡改、丢失,并在产生问○○○○○○○○○行非脱敏的共享时,应获得信息主体的授权同意,经审核批准○○○○○○d)应采取技术手段和管理措施,保证数据在共享过程中的安全,防止个人信息、敏感○○○e)应采取技术措施对异常或高风险数据共享行为进行自动化识别和实时预警,对违规○○○g)个人信息共享时,应充分重视风险,事先开展个○○○○h)应采取技术措施保证个人生物识别信息、基因信息的完整性和保密性,严格限制对○○○○○b1)应设置数据专区的访问控制规则,实现○○○○c)应设置数据专区的访问控制规则,应建立基于○○○),○○○○行非脱敏的开放时,应获得信息主体的授权同意,经审核批准○○管控类管控域级三级四级○f)应采取技术手段和管理措施,保证数据在开放过○○○g)应采取技术措施严格控制数据的访问和使用,仅○h)应采取技术措施对异常或高风险数据访问行为进行自动化识○○○○j)应采取技术措施严格限制个人敏感信息○○○○○○b)应针对不同级别的数据设置不同的访问权限,不同用户只能访○○○c)针对个人信息、敏感数据和重要数据的访问、要的去标识化或脱敏处理,确需直接对其进行非脱敏的访问、使○○○d)针对共享、开放、使用等过程中获得的数据,○○e)涉及高风险操作时应遵循多人操作管理原则○○○○○○○○c)应采用可靠技术手段销毁个人信息、敏感数○○○○○类管控域级三级四级要求a)应建立数据安全管理策略,对数据全生命周期的操作责等进行规定,包括但不限于数据存储策略、数据加解密策略、溯源策略、数据导入导出策略、数据共享开放策略○○○○○○○○c)应在数据分级的基础上,划分个人信息、敏感○○○d)应定期评审数据的类别和级别,如需要变更数○○管控类管控域级三级四级a)应设立数据安全管理的职能部门,设立数据管理员等○○○○b)应成立指导和管理数据安全工作的委员会或领导小组,其最高○○○c)应设立数据审计员、数据安全员等负责○○○○○○○f)应明确内部涉及个人信息处理的各岗位安全责任○a)应定期开展针对各岗位人员的数据安全相关的安全知○○○○b)应定期开展针对各岗位人员的数据安全相关管理规范、流程、○○○c)应加强对外部单位技术人员和外协人员的安全○○○a)应建立数据安全审核制度,明确数据安全审核的目的对数据安全策略、访问控制变更、数据分级变更、通道安全配置、○○○○b)应明确并建立对数据汇聚、共享、开放、使用、备份、存档、○○○○d)应对个人信息的重要操作(如进行批量修改、○○○○○○○○○b)应组织相关部门的有关安全技术专家对数据分级结果的合理性○○○○○○○○○○○○b)应制定安全检查表格实施安全检查,汇总安全检查数据,形成○○○c)应定期对数据安全管理各方面的内容进行全面度体系建设情况、安全策略执行情况、数据安全○○○○a)应对汇聚的数据进行安全评估,确保数据来源合法、○○○○b)应对数据的加工、分析、共享、开放、使用、备份、存档、销○○○○○○○d)应在信息系统发生重大变更时对当前的数据安○○e)应在数据级别发生变化时对当前的数据安全○○○f)涉及数据跨境传输的,应对其合规性和安全性进○○○管控类管控域级三级四级g)涉及在中华人民共和国境内运营中收集和产生的
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2023九年级数学下册 第三章 圆6 直线和圆的位置关系第1课时 直线和圆的位置关系、切线的性质定理教学实录 (新版)北师大版
- 2024年中国平面钢闸门市场调查研究报告
- 2024年成都事业单位人事聘用协议样式版
- 2024年土地流转终止合同范本(含后续土地使用规划)3篇
- 2024年版技术协议认定登记操作流程图解版B版
- 2024个人理财产品购买合同3篇
- 巧用活动化教学提升数学课堂教学成效
- 2021年学校元旦晚会策划书范文
- 2024年标准代工生产合同格式样本
- 2024版二手房中介房屋买卖合同电子档案管理规范3篇
- 呼吸内科国家临床重点专科建设项目评分标准试行
- 溢流坝水力计算实例
- 建筑施工高处作业安全技术规范
- 沸石分子筛课件
- 贵州省城市出租汽车管理办法实施细则
- 体系认证全套表格很全实用
- 新人教小学数学六年级上册知识点整理归纳
- 麓湖营销体系及逻辑
- 《9加几》评课稿
- 某某单位关于开展谈心谈话活动的情况报告情况统计五篇范文
- 气动夯管技术在管道施工中的应用
评论
0/150
提交评论