33I III IV 1 1 1 2 2 2 3 3 3 3 4 4 4 4 4 5 5 5 5 5 6 6 6 6 6 7 7 7 7 8 8 8 8 8 8 9 9 9 10A.1現(xiàn)狀分析 10A.2建設(shè)內(nèi)容 10A.3建設(shè)成效 11 12 13 14 15 16請注意本標準的某些內(nèi)容可能涉及專利。本標準的發(fā)布機構(gòu)不承擔識別專利的責任。本標準由浙江省大數(shù)據(jù)發(fā)展管理局提出、歸口并組局、臺州市大數(shù)據(jù)發(fā)展管理局、麗水市大數(shù)據(jù)發(fā)展——公共數(shù)據(jù)分類分級指南（DB33/T2351—21公共數(shù)據(jù)安全體系建設(shè)指南本標準不適用于涉及國家秘密的公共數(shù)據(jù)及相關(guān)處GB/T37973信息安全技術(shù)大數(shù)據(jù)安全管理GB/T39477信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求DB33/T2350數(shù)字化改革術(shù)DB33/T2351公共數(shù)據(jù)分類分級GB/T25069、GB/T37973、GB/T394772用戶行為畫像userbehavior4總體原則及架構(gòu)4.1.1權(quán)責一致公共數(shù)據(jù)安全體系建設(shè)宜遵循誰收集誰負責、誰使用誰負責、誰運行誰4.1.2分級管理4.1.3全程可控4.1.4持續(xù)優(yōu)化4.1.5協(xié)調(diào)發(fā)展4.2體系架構(gòu)35.1制度規(guī)范子體系架構(gòu)境等相關(guān)場景要求?？砂凑杖壖軜?gòu)建立公共數(shù)據(jù)安全制度規(guī)范5.2數(shù)據(jù)分類分級管理制度a)公共數(shù)據(jù)分類分級原則、要求、維度和方法等；b)公共數(shù)據(jù)分類分級操作指南和工作流程等；c)公共數(shù)據(jù)類別和級別的變更場景、變更申請審批流程及變更工作要求等；5.3數(shù)據(jù)訪問權(quán)限管理制度4c)公共數(shù)據(jù)訪問賬號權(quán)限分配、開通、使用、變更、重置、鎖定、注銷等的申請審批流程；d)具備超級管理員權(quán)限或數(shù)據(jù)批量復制、處理、導出和刪除等高風險操作權(quán)限賬號的安全要求5.4數(shù)據(jù)脫敏管理制度5.5數(shù)據(jù)共享和開放安全管理制度c)各類別和級別公共數(shù)據(jù)共享和開放的應(yīng)用場景；d)各類別和級別公共數(shù)據(jù)共享和開放的工作流程；5.6數(shù)據(jù)安全銷毀管理制度a)各類別和級別公共數(shù)據(jù)銷毀對象；b)各類別和級別公共數(shù)據(jù)銷毀場景；5.7供應(yīng)方安全管理制度a)供應(yīng)方引入的安全管理要求，包括資質(zhì)和背景安全審查等；5.8安全監(jiān)督檢查制度a)公共數(shù)據(jù)安全管理監(jiān)督檢查內(nèi)容；b)公共數(shù)據(jù)安全管理監(jiān)督檢查方式；5c)公共數(shù)據(jù)安全管理監(jiān)督檢查工作周5.9安全日志審計制度5.10安全事件管理與應(yīng)急響應(yīng)制度a)公共數(shù)據(jù)安全事件分類分級方法；c)各類別公共數(shù)據(jù)安全應(yīng)急預案編制及應(yīng)急演練工作要求等。——公共數(shù)據(jù)安全監(jiān)測與預警技術(shù)等。a)數(shù)據(jù)源統(tǒng)一鑒別技術(shù)；h)數(shù)據(jù)備份與恢復技術(shù)；6k)數(shù)據(jù)有效銷毀技術(shù)等。a)公共數(shù)據(jù)訪問權(quán)限集中認證技術(shù)；b)公共數(shù)據(jù)訪問權(quán)限統(tǒng)一入口訪問；c)基于終端、網(wǎng)絡(luò)、系統(tǒng)、文件、數(shù)據(jù)b)接口安全監(jiān)測與預警技術(shù)；b)公共數(shù)據(jù)安全威脅的發(fā)現(xiàn)和識別；7——公共數(shù)據(jù)安全培訓等。a)公共數(shù)據(jù)安全決策方：領(lǐng)導公共數(shù)據(jù)安全管理工作，負責公共數(shù)據(jù)安b)公共數(shù)據(jù)安全管理方：根據(jù)相關(guān)法律法規(guī)和制度規(guī)范要求，參考本指南建立公系（包括制度規(guī)范子體系、技術(shù)防護子體系和運行管理子體系指導公共數(shù)據(jù)安全要求的c)公共數(shù)據(jù)安全執(zhí)行方：負責落實和配合公共數(shù)據(jù)安全管理工作；d)公共數(shù)據(jù)安全監(jiān)審方：對公共數(shù)據(jù)安全管理工作進行監(jiān)督、檢查和審計，落實公共數(shù)據(jù)安全e)公共數(shù)據(jù)安全管理負責人：宜委任具備公共數(shù)據(jù)安全管理相為公共數(shù)據(jù)安全管理負責人，為其提供人力、技術(shù)宜建立基于數(shù)據(jù)資源目錄的分類分級運行管理機b)公共數(shù)據(jù)訪問權(quán)限分配表建立和維護；g)高風險數(shù)據(jù)操作權(quán)限特殊管控工作等。宜建立公共數(shù)據(jù)共享和開放安全運行管理機b)公共數(shù)據(jù)共享和開放接口上線前安全檢查；e)公共數(shù)據(jù)共享和開放渠道（如批量共享、接口共享、文件導出、郵件、網(wǎng)絡(luò)、終端等）的敏8a)對公共數(shù)據(jù)處理環(huán)境安全、公共數(shù)據(jù)訪問權(quán)限管理、公共數(shù)據(jù)共享和開放安全管理、公共數(shù)據(jù)銷毀管理、個人信息使用等重要環(huán)節(jié)的安全管理工作落實情況和效果的安全檢查；b)安全檢查問題通知和整改；8.1.2評估工作全流程包含確定評估范圍、組建評估團隊、制定評估方案、實施評估、報告編制以及9a)初次系統(tǒng)性開展公共數(shù)據(jù)安全體系建設(shè)的；b)按照既定安全體系評估機制，周期性開展公共數(shù)據(jù)安全體系評估的；a)總體判斷評估對象的公共數(shù)據(jù)安全體系建設(shè)水平。評估結(jié)果可作為公共數(shù)據(jù)處理活動開展的b)研判公共數(shù)據(jù)安全體系風險隱患，發(fā)現(xiàn)公共數(shù)據(jù)安全防護的薄弱環(huán)節(jié)。針對評A.1現(xiàn)狀分析a)制度規(guī)范子體系。已制定出臺公共數(shù)據(jù)安全管理總則等綱領(lǐng)文件和公共數(shù)據(jù)安全銷毀管理、供應(yīng)方安全管理、安全事件管理與應(yīng)急響應(yīng)、公共數(shù)據(jù)脫敏管理、安全日志審計和監(jiān)督檢查等相關(guān)配套制度。公共數(shù)據(jù)分類分級管理、公共數(shù)據(jù)開放及共享管理、公共數(shù)據(jù)訪問權(quán)限管b)技術(shù)防護子體系。數(shù)據(jù)共享和開放安全技術(shù)能力、訪問權(quán)限管理技術(shù)能力、全生命周期安全c)運行管理子體系。已具備安全管理負責人、安全日志監(jiān)審、安全培訓等運行管理，安全管理團隊也基本形成。數(shù)據(jù)訪問權(quán)限運行管理、安全監(jiān)督檢查的監(jiān)審方及監(jiān)審機制、安全事件應(yīng)A.2建設(shè)內(nèi)容A.2.1概述子體系三個方面開展，主要包括制定分類分權(quán)限管控、安全事件應(yīng)急響應(yīng)等運行管理機制。具體包括三個方A.2.2優(yōu)化公共數(shù)據(jù)安全制度規(guī)范子體系A(chǔ).2.3提升公共數(shù)據(jù)安全技術(shù)防護子體系能力、數(shù)據(jù)動態(tài)脫敏能力，實現(xiàn)數(shù)據(jù)處理階段的安全；建立數(shù)據(jù)加密/脫敏、接口管控、血緣關(guān)系分析通過建立敏感數(shù)據(jù)監(jiān)測、安全風險監(jiān)測預警、通訊安全保密等能力，提升公共數(shù)據(jù)安全防護水平。A.2.4完善公共數(shù)據(jù)安全運行管理子體系A(chǔ).3建設(shè)成效a)數(shù)據(jù)安全制度規(guī)范體系逐漸完善?，F(xiàn)行規(guī)范制度覆蓋面、合理性、可操作性方面得到優(yōu)化，新增分類分級、公共數(shù)據(jù)開放及共享等制度規(guī)范，指導開展義數(shù)據(jù)安全責任、事項操作流程，細化分解數(shù)據(jù)安全評價b)數(shù)據(jù)安全防護技術(shù)能力提升。公共數(shù)據(jù)脫敏等技術(shù)應(yīng)用為數(shù)據(jù)安全流通提供了有效的安全處c)數(shù)據(jù)安全運行管理體系優(yōu)化改進。依托大數(shù)據(jù)平臺數(shù)據(jù)自動識別、數(shù)據(jù)標識、數(shù)據(jù)多維展現(xiàn)大幅上升。依據(jù)數(shù)據(jù)權(quán)限授予最小化原則，梳理并重新定義數(shù)據(jù)管控權(quán)限，規(guī)避數(shù)據(jù)權(quán)限不清造成的風險隱患。應(yīng)急演練與應(yīng)急實戰(zhàn)常態(tài)化，檢驗與調(diào)整優(yōu)化應(yīng)急響應(yīng)組織架構(gòu)、響應(yīng)等854Q301202106561243->854Q********64679001100413425->646Z*****LYAFR7OP3BC722222->***********7入7263002Y6091020864->7263***6727161662705304130->***********a)數(shù)據(jù)權(quán)限申請審批授予。按照數(shù)據(jù)權(quán)限分配、開通、使用、變更、重置、鎖定、注銷流程的b)數(shù)據(jù)權(quán)限常規(guī)性變更。針對人員離崗、人員崗位變動、系統(tǒng)迭代、系統(tǒng)下線等變更情況，及時進行權(quán)限回收，更新數(shù)據(jù)權(quán)限清單，保證c)數(shù)據(jù)權(quán)限定期核查。按照季度進行數(shù)據(jù)權(quán)限定期核查工作，對2021年第四季度數(shù)據(jù)權(quán)限核查結(jié)果記錄表a)事件判定。發(fā)現(xiàn)數(shù)據(jù)安全事件時（大數(shù)據(jù)平臺安全模塊告警、人工主動上報經(jīng)監(jiān)測工作件分級”標準初步判定信息安全事件等級，并向應(yīng)急協(xié)調(diào)小組報b)預案啟動。Ⅰ級和Ⅱ級事件(Ⅰ級最高）由應(yīng)急協(xié)調(diào)小組組長下達應(yīng)急預案啟動指令，并將事件情況上報監(jiān)管部門提供偵查、協(xié)助處理；Ⅲ級和Ⅳc)應(yīng)急處置。由應(yīng)急工作小組組長組織開展應(yīng)急處置工作并協(xié)調(diào)內(nèi)外部人員支撐，應(yīng)急工