ICS35.020

L70

E>B61

陜西省地方標(biāo)準(zhǔn)

DB61/TXXXX—2021

新型智慧城市數(shù)據(jù)安全管理體系要求

Requirementsfornewsmartcitydatasecuritymanagementsystem

（征求意見稿）

XXXX.XX.XX發(fā)布XXXX.XX.XX實(shí)施

陜西省市場監(jiān)督管理局發(fā)布

DB61/TXXXX-2021

目次

目次.....................................................................................I

前言.................................................................................III

1范圍.....................................................................................1

2規(guī)范性引用文件...........................................................................1

3術(shù)語和定義...............................................................................1

3.1新型智慧城市數(shù)據(jù)newsmartcitydata.......................................1

3.2數(shù)據(jù)安全datasecurity....................................................1

3.3數(shù)據(jù)生命周期datalifecycle..............................................1

3.4數(shù)據(jù)安全管理體系datasecuritymanagementsystems...........................1

3.5網(wǎng)Z各運(yùn)營者networkoperators.............................................2

3.6新型智慧城市數(shù)據(jù)相關(guān)方newsmartcitydatastakeholders.....................2

4組織環(huán)境.................................................................................2

4.1理解組織及其環(huán)境.....................................................................2

4.2理解相關(guān)方的需求和期望...............................................................2

4.3確定數(shù)據(jù)安全管理體系范圍.............................................................2

4.4數(shù)據(jù)安全管理體系......................................................................2

5領(lǐng)導(dǎo).....................................................................................3

5.1領(lǐng)導(dǎo)和承諾............................................................................3

5.2方針..................................................................................3

5.3角色...................................................................................3

6規(guī)劃.....................................................................................3

6.1應(yīng)對風(fēng)險(xiǎn)的措施.......................................................................3

6.2數(shù)據(jù)安全目的及其實(shí)現(xiàn)規(guī)劃..............................................................5

7支持.....................................................................................5

7.1資源..................................................................................5

7.2能力..................................................................................5

7.3意識(shí)..................................................................................5

7.4溝通...................................................................................6

7.5文件化信息.............................................................................6

8運(yùn)行.....................................................................................6

8.1運(yùn)行規(guī)劃和控制........................................................................7

8.2數(shù)據(jù)安全風(fēng)險(xiǎn)評估......................................................................7

8.3數(shù)據(jù)安全風(fēng)險(xiǎn)處置......................................................................7

I

DB61/TXXXX-2021

9績效評價(jià).................................................................................7

9.1監(jiān)視、測量、分析和評價(jià)...............................................................7

9.2內(nèi)部審核...............................................................................7

9.3管理評審............................................................................8

10改進(jìn)....................................................................................8

10.1不符合及糾正措施.....................................................................8

10.2持續(xù)改進(jìn).............................................................................8

附錄A..............................................................................................................................................................9

（規(guī)范性附錄）控制措施參考.................................................................9

參考文獻(xiàn)...............................................................................15

II

DB61/TXXXX-2021

,1—A—

刖百

本標(biāo)準(zhǔn)按照GB/T1.1—2020給出的規(guī)則起草。

本標(biāo)準(zhǔn)由陜西省工業(yè)和信息化廳提出。

本標(biāo)準(zhǔn)由陜西省市場監(jiān)督管理局歸口。

本標(biāo)準(zhǔn)起草單位：陜西省網(wǎng)絡(luò)與信息安全測評中心、陜西正觀政務(wù)信息技術(shù)研究院有限公司、陜西

省信息化工程研究院。

本標(biāo)準(zhǔn)主要起草人：楊帆、楊向東、馬卓元、李丹、李嚴(yán)、趙首花、張勇。

本標(biāo)準(zhǔn)首次發(fā)布。

III

DB61/TXXXX-2021

新型智慧城市數(shù)據(jù)安全管理體系要求

1范圍

本標(biāo)準(zhǔn)規(guī)定了在組織環(huán)境下建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)新型智慧城市數(shù)據(jù)安全管理體系的要求。

本標(biāo)準(zhǔn)適用于新型智慧城市建設(shè)相關(guān)政府部門、企事業(yè)單位，以及新型智慈城市數(shù)據(jù)貨源的管理部

門及運(yùn)營單位的數(shù)據(jù)安全管理工作。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求

GB/T35274-2017信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求

GB/T35589-2017信息技術(shù)大數(shù)據(jù)技術(shù)參考模型

GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求

GB/T37043-2018智慧城市術(shù)語

3術(shù)語和定義

GB/T22080-2016界定的以及下列術(shù)語和定義適用于本文件。

3.1

新型智慧城市數(shù)據(jù)newsmartcitydata

新型智慧城市網(wǎng)絡(luò)收集、存儲(chǔ)、傳輸、處理和產(chǎn)生的各種電子數(shù)據(jù)。

3.2

數(shù)據(jù)安全datasecurity

通過采取必要措施,確保數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

3.3

數(shù)據(jù)生命周期dataIifecycIe

數(shù)據(jù)從產(chǎn)生，經(jīng)過數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)交換、直至數(shù)據(jù)銷毀等各種生

存形態(tài)的演變過程。

3.4

數(shù)據(jù)安全管理體系datasecuritymanagementsystems

1

DB61/TXXXX-2021

組織在整體或特定范圍內(nèi)建立數(shù)據(jù)安全方針和目標(biāo)，以及完成這些目標(biāo)所用方法的體系。

3.5

網(wǎng)絡(luò)運(yùn)營者networkoperators

網(wǎng)絡(luò)運(yùn)營者，是指網(wǎng)絡(luò)的所有者、管理者和網(wǎng)絡(luò)服務(wù)提供者。

3.6

新型智慧城市數(shù)據(jù)相關(guān)方newsmartcitydatastakeholders

與新型智慧城市數(shù)據(jù)活動(dòng)相關(guān)的團(tuán)體或個(gè)人。

4組織環(huán)境

4.1理解組織及其環(huán)境

新型智慧城市數(shù)據(jù)安全管理體系建立組織應(yīng)識(shí)別與其數(shù)據(jù)安全管理目標(biāo)相關(guān)的，且影響其實(shí)現(xiàn)數(shù)據(jù)

安全管理預(yù)期目標(biāo)的內(nèi)部與外部的相關(guān)事項(xiàng)。

注1：外部事項(xiàng)可以包括，但大局限于：社會(huì)、文化、政治、法律法規(guī)、金融、技術(shù)、經(jīng)濟(jì)、自然和競爭環(huán)境，無

論國際、國內(nèi)、區(qū)域，還是本地的；影響組織目標(biāo)的主要?jiǎng)恿挖厔?；與外部利益相關(guān)方的關(guān)系，外部利益相關(guān)方的觀

點(diǎn)和價(jià)值觀。

注2：內(nèi)部事項(xiàng)可以包括，但入局限于：治理、組織結(jié)構(gòu)、作用和責(zé)任；方針、目標(biāo)，為實(shí)現(xiàn)方針和目標(biāo)制定的戰(zhàn)

略：基于資源和知識(shí)理解的能力（如:資金、時(shí)間、人員、過程、系統(tǒng)和技術(shù)）：與內(nèi)部利益相關(guān)方的關(guān)系，內(nèi)部利益相

關(guān)方的觀點(diǎn)和價(jià)值觀：組織的文化；組織所采用的標(biāo)準(zhǔn)、指南和模式；合同關(guān)系的形式與范圍。

4.2理解相關(guān)方的需求和期望

新型智慧城市數(shù)據(jù)安全管理體系建立組織應(yīng)確定：

a）與數(shù)據(jù)安全管理體系有利益或責(zé)任關(guān)系的相關(guān)方；

b）這些相關(guān)方與數(shù)據(jù)安全相關(guān)的要求。

注1：相關(guān)方可以為影響、被影響、被決策或活動(dòng)影響的個(gè)人或組織，包括負(fù)責(zé)制定數(shù)據(jù)安全方針的人員：負(fù)責(zé)確

保在組織整體、或某一特定區(qū)域、項(xiàng)目、活動(dòng)內(nèi)有效開展數(shù)據(jù)安全管理的人員：需要評定組織數(shù)據(jù)安全管理有效性的人

員；實(shí)施數(shù)據(jù)安全管理標(biāo)準(zhǔn)、指南、程序和操作規(guī)范的人員。

注1：與數(shù)據(jù)安全相關(guān)的要求可能通過法律和法規(guī)要求、合同義務(wù)和自我完善的組織目標(biāo)來確定。

注2：其他相關(guān)方可能包括監(jiān)管機(jī)構(gòu)、第三方應(yīng)用等。

43確定數(shù)據(jù)安全管理體系范圉

新型智慧城市數(shù)據(jù)安全管理體系建立組織應(yīng)確定數(shù)據(jù)安全管理體系的邊界及其適用性，以建立其范

圍。

在確定范圍時(shí)，組織應(yīng)考慮：

a）4.1625中提到的外部和內(nèi)部事項(xiàng)；

b）4.625中提到的要求：

c）與其他組織實(shí)施的活動(dòng)之間的接II和依賴關(guān)系。

該范圍應(yīng)形成文件化信息并可用。

4.4數(shù)據(jù)安全管理體系

2

DB61/TXXXX-2021

新型智慧城市數(shù)據(jù)安全管理體系建立組織應(yīng)按照本標(biāo)準(zhǔn)的要求，建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)數(shù)據(jù)

安全管理體系。

5領(lǐng)導(dǎo)

5.1領(lǐng)導(dǎo)和承諾

最高管理層應(yīng)通過以下活動(dòng)，證實(shí)對數(shù)據(jù)安全管理休系的領(lǐng)導(dǎo)和承諾：

a）確保建立了數(shù)據(jù)安全策略和數(shù)據(jù)安全目的，并與組織戰(zhàn)略方向一致;

b）確保將數(shù)據(jù)安全管理體系要求整合到組織過程中；

c）確保數(shù)據(jù)安全管理體系所需資源可用；

d）溝通有效的數(shù)據(jù)安全管理及符合數(shù)據(jù)安全管理體系要求的重要性；

e）確保數(shù)據(jù)安全管理體系達(dá)到預(yù)期結(jié)果；

f）指導(dǎo)并支持相關(guān)人員為數(shù)據(jù)安全管理體系的有效性做出貢獻(xiàn)；

g）促進(jìn)持續(xù)改進(jìn)。

支持其他相關(guān)管理角色，以證實(shí)他們的領(lǐng)導(dǎo)按角色應(yīng)用于其責(zé)任范圍。

5.2方針

最高管理層應(yīng)建立數(shù)據(jù)安全方針，該方針應(yīng)：

a）與組織意圖相適宜；

b）包括數(shù)據(jù)安全目的（見6.2）或?yàn)樵O(shè)定數(shù)據(jù)安全目的提供框架；

c）包括對滿足適用的數(shù)據(jù)安全相關(guān)要求的承諾；

d）包括對持續(xù)改進(jìn)數(shù)據(jù)安全管理體系的承諾。

數(shù)據(jù)安全方針應(yīng)：

e）形成文件化信息并可用；

f）在組織內(nèi)得到溝通；

g）適當(dāng)時(shí)，對相關(guān)方可用。

5.3角色

最高管理層應(yīng)確保與數(shù)據(jù)安全相關(guān)角色的責(zé)任和權(quán)限得到分配和溝通。

最高管理層應(yīng)分配責(zé)任和權(quán)限，以：

a）確保數(shù)據(jù)安全管理體系符合本標(biāo)準(zhǔn)的要求；

b）向最高管理者報(bào)告數(shù)據(jù)安全管理體系績效。

注：最高管理層也可為組織內(nèi)報(bào)告數(shù)據(jù)安全管理體系績效，分配責(zé)任和權(quán)限。

6規(guī)劃

6.1應(yīng)對風(fēng)險(xiǎn)的措施

6.1.1總則

當(dāng)規(guī)劃數(shù)據(jù)安全管理體系時(shí)，組織應(yīng)考慮4.1中提到的事項(xiàng)和4.2中提到的要求，并確定需要應(yīng)對的

風(fēng)險(xiǎn)，以：

a）確保數(shù)據(jù)安全管理體系可達(dá)到預(yù)期結(jié)果；

3

DB61/TXXXX-2021

b）預(yù)防或減少不良影響；

c）達(dá)到持續(xù)改進(jìn)。

組織應(yīng)規(guī)劃：

d）應(yīng)對這些風(fēng)險(xiǎn)的措施；

e）如何：

1）將這些措施整合到數(shù)據(jù)安全管理體系過程中，并予以實(shí)現(xiàn)；

2）評價(jià)這些措施的有效性。

6.1.2數(shù)據(jù)安全風(fēng)險(xiǎn)評估

組織應(yīng)定義并應(yīng)用數(shù)據(jù)安全風(fēng)險(xiǎn)評估過程，以：

a）建立并維護(hù)數(shù)據(jù)安全風(fēng)險(xiǎn)準(zhǔn)則，包括：

1）風(fēng)險(xiǎn)接受準(zhǔn)則；

2）數(shù)據(jù)安全風(fēng)險(xiǎn)評估實(shí)施準(zhǔn)則。

注：附錄B為可參考的風(fēng)險(xiǎn)評伯實(shí)施流程。本標(biāo)準(zhǔn)用戶可在附錄B的指導(dǎo)下開展風(fēng)險(xiǎn)評估。

b）確保反復(fù)的數(shù)據(jù)安全風(fēng)險(xiǎn)評估產(chǎn)生.一致的、有效的和可比較的結(jié)果；

e）識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn)：

1）應(yīng)用數(shù)據(jù)安全風(fēng)險(xiǎn)評估過程，以識(shí)別數(shù)據(jù)安全管理體系范圍內(nèi)與數(shù)據(jù)保密性、完整性和可

用性損失有關(guān)的風(fēng)險(xiǎn)；

2）識(shí)別風(fēng)險(xiǎn)責(zé)任人；

d）分析數(shù)據(jù)安全風(fēng)險(xiǎn)：

1）評估6.1.2c）1）中所識(shí)別的風(fēng)險(xiǎn)發(fā)生后，可能導(dǎo)致的潛在后果；

2）評估6.1.2c）1）中所識(shí)別的風(fēng)險(xiǎn)實(shí)際發(fā)生的可能性：

3）確定風(fēng)險(xiǎn)級別；

e）評價(jià)數(shù)據(jù)安全風(fēng)險(xiǎn)：

1）將風(fēng)險(xiǎn)分析結(jié)果與6.1.2a）中建立的風(fēng)險(xiǎn)準(zhǔn)財(cái)進(jìn)行比較；

2）為風(fēng)險(xiǎn)處置排序已分析風(fēng)險(xiǎn)的優(yōu)先級。

組織應(yīng)保留有關(guān)數(shù)據(jù)安全風(fēng)險(xiǎn)評估過程的文件化信息。

6.1.3數(shù)據(jù)安全風(fēng)險(xiǎn)處置

組織應(yīng)定義并應(yīng)用數(shù)據(jù)安全風(fēng)險(xiǎn)處置過程，以：

a）在考慮風(fēng)險(xiǎn)評估結(jié)果的基礎(chǔ)上，選擇適合的數(shù)據(jù)安全風(fēng)險(xiǎn)處置選項(xiàng)；

b）確定實(shí)現(xiàn)已選的數(shù)據(jù)安全風(fēng)險(xiǎn)處置選項(xiàng)所必需的所有控制措施；

c）將6.1.3b）確定的挖制措施與附錄A中的控制措施進(jìn)行比較，并驗(yàn)證沒有忽略必要的控制措

施；

注1：附錄A為可參考的控制措施列表。本標(biāo)準(zhǔn)用戶可在附錄A的指導(dǎo)下，確保沒有遺漏必要的控制措施。

注2：附錄A所列的控制措施并不是完備的，可能需要額外的控制措施。

d）制定一個(gè)適用性聲明，包含必要的控制措施（見6.1.3b）和c））及其選擇的合理性說明（無

論該控制措施是否已實(shí)現(xiàn)），以及對附錄A控制措施刪減的合理性說明；

e）制定正式的數(shù)據(jù)安全風(fēng)險(xiǎn)處置計(jì)劃；

f）獲得風(fēng)險(xiǎn)責(zé)任人對數(shù)據(jù)安全風(fēng)險(xiǎn)處置計(jì)劃以及對數(shù)據(jù)安全殘余風(fēng)險(xiǎn)的接受的批準(zhǔn)。

組織應(yīng)保留有關(guān)數(shù)據(jù)安全風(fēng)險(xiǎn)處置過程的文件化信息。

注：本標(biāo)準(zhǔn)中的數(shù)據(jù)安全風(fēng)險(xiǎn)評估和處置過程可參考ISO31000』等標(biāo)準(zhǔn)給出的原則和通用指南。

4

DB61/TXXXX-2021

6.2數(shù)據(jù)安全目的及其實(shí)現(xiàn)規(guī)劃

組織應(yīng)在相關(guān)職能和層級上建立數(shù)據(jù)安全目的。

數(shù)據(jù)安全目的應(yīng)：

a）與數(shù)據(jù)安全方針一致；

b）可測量（如可行）；

c）考慮適用的數(shù)據(jù)安全要求，以及風(fēng)險(xiǎn)評估和風(fēng)險(xiǎn)處置的結(jié)果;

d）充分溝通并達(dá)成共識(shí)；

e）適當(dāng)時(shí)更新。

組織應(yīng)保留有關(guān)數(shù)據(jù)安全目的的文件化信息。

在規(guī)劃如何達(dá)到數(shù)據(jù)安全目的時(shí)，組織應(yīng)確定：

f）要做什么；

g）需要什么資源；

h）由誰負(fù)責(zé)；

i）什么時(shí)候完成：

j）如何評價(jià)結(jié)果。

7支持

7.1資源

組織應(yīng)確定并提供建立、實(shí)現(xiàn)、維護(hù)和持續(xù)改進(jìn)數(shù)據(jù)安全管理體系所需的資源。

7.2能力

組織應(yīng)：

a）確定所有與新型智慧數(shù)據(jù)安全保護(hù)相關(guān)的崗位及其責(zé)任和能力要求，并定期或崗位發(fā)生變化時(shí)

對其進(jìn)行評審；

b）定期分析和確定這些崗位目前和未來（至少一年）的人員數(shù)量需求；

c）確保新型智慈數(shù)據(jù)安全保護(hù)人員在適當(dāng)?shù)慕逃?、培?xùn)或經(jīng)驗(yàn)的基礎(chǔ)上能夠勝任其工作；

d）適用時(shí)，采取措施以獲得必要的能力，并通過考試、測試、評價(jià)等方式對采取的措施的有效性

進(jìn)行評價(jià)：

e）保留適當(dāng)?shù)奈募畔⒆鳛槟芰Φ淖C據(jù)，至少包括：

1）崗位職責(zé)能力文件和文件評審記錄；

2）人員數(shù)量分析文件；

3）能力評價(jià)記錄：

4）培訓(xùn)計(jì)劃、培訓(xùn)記錄、調(diào)崗和招聘記錄；

5）考試、測試和評價(jià)等活動(dòng)的記錄。

注：適用的措施可包括，例如針對現(xiàn)有雇員提供培訓(xùn)、指導(dǎo)或重新分配：雇傭或簽約有能力的人員。

7.3意識(shí)

在組織控制下工作的人員應(yīng)了解：

a）數(shù)據(jù)安全方針：

b）其對數(shù)據(jù)安全管理體系有效性的貢獻(xiàn)，包括改進(jìn)數(shù)據(jù)安全績效帶來的益處;

c）不符合數(shù)據(jù)安全管理體系要求帶來的影響；

5

DB61/TXXXX-2021

d）應(yīng)制定數(shù)據(jù)安全教育培訓(xùn)計(jì)劃并實(shí)施培訓(xùn)，涉及內(nèi)容至少包括數(shù)據(jù)安全技術(shù)、網(wǎng)絡(luò)安全技術(shù)、

數(shù)據(jù)安全意識(shí)、保密意識(shí)等內(nèi)容。

7.4溝通

組織應(yīng)確定與數(shù)據(jù)安全管理體系相關(guān)的內(nèi)部和外部的溝通需求，包括：

a）溝通內(nèi)容；

b）溝通時(shí)間；

c）溝通對象；

d）溝通負(fù)責(zé)人；

e）影響溝通的過程；

f）溝通結(jié)論。

7.5文件化信息

7.5.1總則

組織的新型智慧城市數(shù)據(jù)安全管理體系應(yīng)包括：

a）本標(biāo)準(zhǔn)要求的文件化信息；

b）為新型智慧城市數(shù)據(jù)安全管理體系的有效性，組織所確定的必要的文件化信息。

注：不同組織有關(guān)數(shù)據(jù)安全管理體系文件化信息的詳略程度可以是不同的，這是由于：

1）組織的規(guī)模及其數(shù)據(jù)活動(dòng)、過程、產(chǎn)品和服務(wù)的類型；

2）過程及其相互作用的復(fù)雜性：

3）人員的能力。

7.5.2創(chuàng)建和更新

創(chuàng)建和更新文件化信息時(shí)，組織應(yīng)確保適當(dāng)?shù)模?/p>

a）標(biāo)識(shí)和描述（例如標(biāo)題、日期、作者或引用編號(hào)）；

b）格式（例如語言、軟件版本、圖表）和介質(zhì)（例如紙質(zhì)的、電子的）；

c）對適宜性和充分性的評審和批準(zhǔn)。

7.5.3文件化信息的控制

數(shù)據(jù)安全管理體系及本標(biāo)準(zhǔn)所要求的文件化信息應(yīng)得到控制，以確保：

a）在需要的地點(diǎn)和時(shí)間，是可用的和適宜使用的；

b）得到充分的保護(hù)（如避免保密性損失、不恰當(dāng)使用、完整性損失等）。

為控制文件化信息，適用時(shí)，組織應(yīng)強(qiáng)調(diào)以下活動(dòng)：

c）分發(fā)，訪問，檢索和使用；

d）存儲(chǔ)和保護(hù)，包括保持可讀性：

e）控制變更（例如版本控制）；

f）保留和處理。

組織確定的為規(guī)劃和運(yùn)行數(shù)據(jù)安全管理體系所必需的外來的文件化信息，應(yīng)得到適當(dāng)?shù)淖R(shí)別，并予

以控制。

注：訪問隱含著僅允許瀏覽文件化信息，或允許和授權(quán)瀏覽及更改文件化信息等決定。

8運(yùn)行

6

DB61/TXXXX-2021

8.1運(yùn)行規(guī)劃和控制

為了滿足數(shù)據(jù)安全要求以及實(shí)現(xiàn)6.1中確定的措施，組織應(yīng)規(guī)劃、實(shí)現(xiàn)和控制所需要的過程。組織

還應(yīng)實(shí)現(xiàn)為達(dá)到6.2中確定的數(shù)據(jù)安全目的一系列計(jì)劃。

組織應(yīng)保持文件化信息達(dá)到必要的程度，以確信這些過程按計(jì)劃得到執(zhí)行。

組織應(yīng)控制計(jì)劃內(nèi)的變更并評審非預(yù)期變更的后果，必要時(shí)采取措施減輕任何負(fù)面影響。

組織應(yīng)確保外包過程是確定的和受控的。

8.2數(shù)據(jù)安全風(fēng)險(xiǎn)評估

組織應(yīng)考慮6.1.2a）所建立的準(zhǔn)則，按計(jì)劃的時(shí)間間隔，或當(dāng)重大變更提出或發(fā)生時(shí)，執(zhí)行數(shù)據(jù)

安全風(fēng)險(xiǎn)評估。

組織應(yīng)保留數(shù)據(jù)安全風(fēng)險(xiǎn)評估結(jié)果的文件化信息。

8.3數(shù)據(jù)安全風(fēng)險(xiǎn)處置

組織應(yīng)實(shí)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)處置計(jì)劃。

組織應(yīng)保留數(shù)據(jù)安全風(fēng)險(xiǎn)處置結(jié)果的文件化信息。

9績效評價(jià)

9.1監(jiān)視、測量、分析和評價(jià)

組織應(yīng)評價(jià)數(shù)據(jù)安全績效以及數(shù)據(jù)安全管理體系的有效性。

組織應(yīng)確定：

a）需要被監(jiān)視和測量的內(nèi)容，包括數(shù)據(jù)安全過程和控制；

b）適用的監(jiān)視、測量、分析和評價(jià)的方法，以確保得到有效的結(jié)果。

注：所選的方法宜產(chǎn)生可比較和可再現(xiàn)的有效結(jié)果。

g）何時(shí)應(yīng)執(zhí)行監(jiān)視和測量；

h）誰應(yīng)監(jiān)視和測量；

i）何時(shí)應(yīng)分析和評價(jià)監(jiān)視和測顯的結(jié)果；

J）誰應(yīng)分析和評價(jià)這些結(jié)果。

組織應(yīng)保留適當(dāng)?shù)奈募畔⒆鳛楸O(jiān)視和測量結(jié)果的證據(jù)。

9.2內(nèi)部審核

組織應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部審核，以提供信息，確定數(shù)據(jù)安全管理體系：

a）是否符合

1）組織自身對?數(shù)據(jù)安全管理體系的要求；

2）本標(biāo)準(zhǔn)的要求。

k）是否得到有效實(shí)現(xiàn)和維護(hù)。

組織應(yīng)：

1）規(guī)劃、建立、實(shí)現(xiàn)和維護(hù)審核方案（一個(gè)或多個(gè)），包括審核頻次、方法、責(zé)任、規(guī)劃要求和

報(bào)告。審核方案應(yīng)考慮相關(guān)過程的重要性和以往審核的結(jié)果；

m）定義每次審核的審核準(zhǔn)則和范圍；

n）選擇審核員并實(shí)施審核，確保審核過程的客觀性和公正性；

o）確保將審核結(jié)果報(bào)告至相關(guān)管理層；

7

DB61/TXXXX-2021

p）保留文件化信息作為審核方案和審核結(jié)果的證據(jù)。

9.3管理評審

最高管理層應(yīng)按計(jì)劃的時(shí)間間隔評審組織的數(shù)據(jù)安全管理體系，以確保其持續(xù)的適宜性、充分性和

有效性。

管理評審應(yīng)考慮：

a）以往管理評審提出的措施的狀態(tài)；

b）與數(shù)據(jù)安全管理體系相關(guān)的外部和內(nèi)部事項(xiàng)的變化；

c）有關(guān)數(shù)據(jù)安全績效的反饋，包括以下方面的趨勢：

1）不符合和糾正措施；

2）監(jiān)視和測量結(jié)果；

3）審核結(jié)果；

4）數(shù)據(jù)安全目的完成情況；

q）相關(guān)方反饋：

r）風(fēng)險(xiǎn)評估結(jié)果及風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；

s）持續(xù)改進(jìn)的機(jī)會(huì)。

管理評審的輸出應(yīng)包括與持續(xù)改進(jìn)機(jī)會(huì)相關(guān)的決定以及變更數(shù)據(jù)安全管理體系的任何需求.

組織應(yīng)保留文件化信息作為管理評審結(jié)果的證據(jù)。

10改進(jìn)

10.1不符合及糾正措施

當(dāng)發(fā)生不符合時(shí)，組織應(yīng)：

a）對不符合做出反應(yīng)，適用時(shí)：

1）采取措施，以控制并予以糾正；

2）處理后果；

b）通過以下活動(dòng)，評價(jià)采取消除不符合原因的措施的需求，以防止不符合再發(fā)生，或在其他地方

發(fā)生：

3）評審不符合；

4）確定不符合的原因；

5）確定類似的不符合是否存在，或可能發(fā)生；

c）實(shí)現(xiàn)任何需要的措施；

d）評審任何所采取的糾正措施的有效性；

e）必要時(shí)，對數(shù)據(jù)安全管理體系進(jìn)行變更。

糾正措施應(yīng)與所遇到的不符合的影響相適合。

組織應(yīng)保留文件化信息作為以下方面的證據(jù)：

f）不符合的性質(zhì)及所采取的任何后續(xù)措施；

g）任何糾正措施的結(jié)果。

10.2持續(xù)改進(jìn)

組織應(yīng)持續(xù)改進(jìn)數(shù)據(jù)安全管理體系的適宜性、充分性和有效性。

8

DB61/TXXXX-2021

附錄A

（規(guī)范性附錄）

控制措施參考

A.1數(shù)據(jù)收集

目標(biāo)：確保智慧城市數(shù)據(jù)采集過程的數(shù)據(jù)安全。

控制

A.1.1數(shù)據(jù)收集策略數(shù)據(jù)收集策略應(yīng)被定義，由管理者批準(zhǔn)，并發(fā)布、傳達(dá)給所以工作人員及外部

相關(guān)方。

控制

數(shù)據(jù)收集策略

A.1.2應(yīng)按計(jì)劃的間隔或當(dāng)重大變化發(fā)生時(shí)進(jìn)行數(shù)據(jù)安全收集策略評審，以確保其持

評審

續(xù)的適宜性、充分性和有效性.

控制

A.1.3工具設(shè)備

應(yīng)采用相應(yīng)的策略及其支持性的安全措施以管理數(shù)據(jù)收集工具所帶來的風(fēng)險(xiǎn)。

控制

A.1.4自動(dòng)化工具

應(yīng)采用相應(yīng)的控制措施，確保自動(dòng)化工具采集數(shù)據(jù)時(shí)不影響業(yè)務(wù)正常運(yùn)行。

控制

A.1.5授權(quán)同意組織在進(jìn)行數(shù)據(jù)收集前，應(yīng)向國家相關(guān)部門密案或征得數(shù)據(jù)主體（特別是個(gè)人

信息主體）的授權(quán)同意。

控制

A.1.6口志信息

應(yīng)產(chǎn)生、保持并定期評審采集記錄活動(dòng)、異常、錯(cuò)誤和報(bào)警等日志。

控制

A.1.7日志信息的保護(hù)記錄日志信息的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪問。確

保口志可查、可追溯。

控制

A.1.8數(shù)據(jù)清單

應(yīng)識(shí)別采集數(shù)據(jù)，編制并維護(hù)智意城市數(shù)據(jù)清單。

A.1.9數(shù)據(jù)清單的所屬關(guān)系控制

9

DB61/TXXXX-2021

應(yīng)維護(hù)智栽城市數(shù)據(jù)清單中數(shù)據(jù)的所屬關(guān)系。

控制

A.1.10數(shù)據(jù)清單的分類分級

應(yīng)對采集的數(shù)據(jù)按照法律法規(guī)要求、價(jià)值、重要性進(jìn)行分類分級。

A.2數(shù)據(jù)傳輸

目標(biāo)：確保在組織內(nèi)及外部組織間傳輸智慧城市數(shù)據(jù)的安全。

控制

A.2.1數(shù)據(jù)傳輸策略及規(guī)程應(yīng)建立.正式的數(shù)據(jù)傳輸安全管理策略及規(guī)程，并加以評審，以保證通過使用各

種類型通信設(shè)施進(jìn)行的信息傳輸。

控制

A.2.2密鑰管理應(yīng)建立密鑰管理安全規(guī)范，明確密鑰生產(chǎn)、分發(fā)、存取、更新、備份和銷毀的

流程和要求。

控制

A.2.3數(shù)據(jù)傳輸加密

應(yīng)保證數(shù)據(jù)安全傳輸，確定需要對數(shù)據(jù)傳輸加密的場景。

控制

A.2.1完整性檢測

應(yīng)對傳輸數(shù)據(jù)的完整性進(jìn)行檢測，并具備數(shù)據(jù)容錯(cuò)或恢復(fù)的技術(shù)手段。

控制

A.2.2數(shù)據(jù)境內(nèi)傳輸

當(dāng)數(shù)據(jù)提供方和接收方均在境內(nèi)時(shí)，數(shù)據(jù)傳輸不應(yīng)路由到境外。

控制

A.2.3數(shù)據(jù)出境

向境外提供數(shù)據(jù)前，應(yīng)遵守國家相關(guān)法律法規(guī)相關(guān)要求。

A.3數(shù)據(jù)存儲(chǔ)

目標(biāo)：確保智慧城市數(shù)據(jù)妥善保存，防止丟失。

控制

A.3.1數(shù)據(jù)存儲(chǔ)及備份策略

應(yīng)建立數(shù)據(jù)存儲(chǔ)、備份的策略，形成文件并加以評審。

控制

熟悉數(shù)據(jù)存儲(chǔ)的系統(tǒng)

A.3.2應(yīng)確保負(fù)責(zé)數(shù)據(jù)存儲(chǔ)的工作人員熟悉數(shù)據(jù)存儲(chǔ)的系統(tǒng)架構(gòu)，并能采用適當(dāng)?shù)拇?/p>

架構(gòu)

施來應(yīng)對數(shù)據(jù)存儲(chǔ)備份面臨的安全風(fēng)險(xiǎn)。

10

DB61/TXXXX-2021

控制

A.3.2敏感數(shù)據(jù)存儲(chǔ)個(gè)人信息等敏感數(shù)據(jù)時(shí)，應(yīng)采用適當(dāng)?shù)陌踩胧缂用芴幚?、設(shè)置訪問

控制、安全審計(jì)等。

控制

A.3.3數(shù)據(jù)存儲(chǔ)基線

應(yīng)對數(shù)據(jù)存儲(chǔ)系統(tǒng)設(shè)置安全基線，并定期檢查。

控制

A.3.4數(shù)據(jù)存儲(chǔ)位置

應(yīng)對數(shù)據(jù)存儲(chǔ)的位置加以規(guī)劃，如考慮異地存儲(chǔ)等。

控制

A.3.5備份測試

應(yīng)采取措施保障備份數(shù)據(jù)的可用性。

A.4數(shù)據(jù)處理

目標(biāo)：確保數(shù)據(jù)共享、轉(zhuǎn)讓、委托處理的安全，防止數(shù)據(jù)丟失及超范圍使用.

控制

A.4.1操作規(guī)程應(yīng)規(guī)定數(shù)據(jù)共享、轉(zhuǎn)讓、發(fā)布和委托處理的過程中的數(shù)據(jù)交付、數(shù)據(jù)接收等重

要操作的規(guī)程，并記錄操作信息。

控制

A.4.2個(gè)人信息

個(gè)人信息的共享、轉(zhuǎn)讓、發(fā)布和委托處理不應(yīng)超出個(gè)人信息主體授權(quán)的范圍

控制

A.4.3超出范圍應(yīng)確保在與數(shù)據(jù)控制者達(dá)成協(xié)議范圍內(nèi)，如果超出范圍應(yīng)在共享、轉(zhuǎn)讓、發(fā)布

和委托處理前重新獲得授權(quán)。

控制

A.4.4數(shù)據(jù)轉(zhuǎn)讓當(dāng)網(wǎng)絡(luò)運(yùn)營者兼并、重組和破產(chǎn)發(fā)生的數(shù)據(jù)轉(zhuǎn)讓時(shí)，網(wǎng)絡(luò)運(yùn)營者應(yīng)對數(shù)據(jù)接收

方的數(shù)據(jù)安全保障能力講行評審。

控制

明確數(shù)據(jù)安全保護(hù)能

A.4.5應(yīng)明確數(shù)據(jù)接收力和受委托方的數(shù)據(jù)安全保護(hù)能力要求，以及履行的法律責(zé)任

力

和合同的義務(wù)。

控制

A.4.6中止和終止

應(yīng)明確數(shù)據(jù)共享、轉(zhuǎn)讓和委托處理中止和終止的條件，并明確合同中止和終止

11

DB61/TXXXX-2021

前后對數(shù)據(jù)安全的特殊要求，至少包括數(shù)據(jù)的保存和處理要求，數(shù)據(jù)的使用要

求。

A.5第三方應(yīng)用接入管理

目的：確保網(wǎng)絡(luò)運(yùn)營者在其產(chǎn)品或服務(wù)中接入具備個(gè)人信息和數(shù)據(jù)處理功能的第三方產(chǎn)品或服務(wù)（定義）時(shí)得到保護(hù)。

產(chǎn)品和服務(wù)的控制

A.5.1

管理

應(yīng)對第三方的接入和涉及的產(chǎn)品和服務(wù)進(jìn)行管理。

控制

A.5.2產(chǎn)品和服務(wù)的評估

應(yīng)對第三方產(chǎn)品或服務(wù)的接入進(jìn)行安全影響分析和風(fēng)險(xiǎn)評估。

控制

A.5.3簽訂合同或協(xié)議應(yīng)與第三方產(chǎn)品或服務(wù)提供方簽訂合同或協(xié)議，約定雙方的數(shù)據(jù)安全責(zé)任和義

務(wù)。

控制

A.5.4工具的安全性確認(rèn)應(yīng)對第三方嵌入或接入的自動(dòng)化工具（如代碼、腳本、接口、算法模型、軟件

開發(fā)工具包、小程序等）的功能和安全性進(jìn)行驗(yàn)證確認(rèn)。

控制

A.5.5監(jiān)視應(yīng)對第三方接入產(chǎn)品和服務(wù)的數(shù)據(jù)處理活動(dòng)進(jìn)行必要的監(jiān)視（監(jiān)督、評審），

并保留記錄。

A.6數(shù)據(jù)銷毀

目的：確保數(shù)據(jù)銷毀過程安全可控，

控制

A.6.1銷毀流程

按國家相關(guān)法律法規(guī)和標(biāo)準(zhǔn)要求，建立數(shù)據(jù)銷毀的流程及審批機(jī)制.

控制

存儲(chǔ)介質(zhì)銷毀

A.6.2應(yīng)明確存儲(chǔ)介質(zhì)銷毀處理策略、管理制度和機(jī)制，明確銷毀對象和流程。監(jiān)督

管理

操作過程，并對審批和銷毀過程進(jìn)行記錄。

存儲(chǔ)介質(zhì)銷毀控制

A.6.3

方法

應(yīng)依據(jù)存儲(chǔ)介質(zhì)內(nèi)容的重要性，明確不同類存儲(chǔ)介質(zhì)的銷毀方法，如磁介質(zhì)、

12

DB61/TXXXX-2021

光介質(zhì)和半導(dǎo)體介質(zhì)等。

控制

A.6.4存儲(chǔ)介質(zhì)銷毀的監(jiān)控應(yīng)建立存儲(chǔ)介質(zhì)銷毀的監(jiān)控機(jī)制，對儲(chǔ)介質(zhì)銷毀過程進(jìn)行監(jiān)控，監(jiān)惇操作過程，

并對審批和銷毀過程進(jìn)行記錄。

控制

A.6.5存儲(chǔ)介質(zhì)銷毀的方式應(yīng)配置必要的數(shù)據(jù)銷毀技術(shù)手段與管控措施，確保以不可逆方式偌?xì)?shù)據(jù)及副

本內(nèi)容。

A.7數(shù)據(jù)安全事件及處理

目的：確保對數(shù)據(jù)安全事件的管理，

控制

A.7.1規(guī)范

應(yīng)制定數(shù)據(jù)安全事件及處理規(guī)范，確?？焖?、有效和有序的響應(yīng)數(shù)據(jù)安全事件。

控制

A.7.2監(jiān)控運(yùn)行

應(yīng)對數(shù)據(jù)活動(dòng)涉及的信息系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)和各類應(yīng)用的運(yùn)行進(jìn)行監(jiān)咨。

控制

A.7.3報(bào)告事態(tài)

應(yīng)通過適當(dāng)?shù)那辣M快報(bào)告數(shù)據(jù)安全事態(tài)。

控制

A.7.4證據(jù)的收集

應(yīng)確保規(guī)范得到執(zhí)行，并保留相關(guān)證據(jù)。

控制

A.7.5應(yīng)急預(yù)案的事件清單應(yīng)根據(jù)數(shù)據(jù)安全影響分析、合規(guī)性要求分析和風(fēng)險(xiǎn)評估的結(jié)果，制定應(yīng)急預(yù)案

的事件清單。

控制

應(yīng)針對這些事件建立應(yīng)急預(yù)案，應(yīng)急預(yù)案的內(nèi)容至少應(yīng)包括：

1）啟動(dòng)應(yīng)急預(yù)案的責(zé)任人；

2）應(yīng)急預(yù)案啟動(dòng)后要實(shí)現(xiàn)的目標(biāo)及啟動(dòng)的條件：

A.7.6應(yīng)急預(yù)案

3）應(yīng)急預(yù)案啟動(dòng)所需的資源；

4）事件的應(yīng)急處理活動(dòng)、可能出現(xiàn)的操作及活動(dòng)與操作的人員安排，編制相關(guān)

操作手冊及其索引：

5）應(yīng)急溝通方式和相關(guān)人員的聯(lián)系方式；需要對外發(fā)布事件信息歸，需要明確

13

DB61/TXXXX-2021

發(fā)布條件、方式和發(fā)言人；

6）應(yīng)急執(zhí)行結(jié)束后的恢復(fù)建議。

控制

A.7.7應(yīng)急預(yù)案演練應(yīng)制定應(yīng)急預(yù)案演練計(jì)劃，按計(jì)劃或在應(yīng)急預(yù)案發(fā)牛.變化后，進(jìn)行應(yīng)急預(yù)案的

測試和演練。

14

DB61/TXXXX-2021

參考文獻(xiàn)

[1]GB/T22080-2016信息技術(shù)安全技術(shù)信息安全管理體系要求.

[2]GB/T36445-2018智慧城市S0A標(biāo)準(zhǔn)應(yīng)用指南.

[3]GB/T36333-2018智慧城市.頂層設(shè)計(jì)指南.

[4]GB/T35274-2017信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求.

[5]GB/T35589-2017信息技術(shù)大數(shù)據(jù)技術(shù)參考模型.

[6]GB/T20984-2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評估規(guī)范.

[7]GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求.

[8]GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型.

[9]GB/T37043-2018智蔥城市術(shù)語

[10]DB15/T1874-2020公共大數(shù)據(jù)安全管理指南

15

DB61/TXXXX-2021

陜西省地方標(biāo)準(zhǔn)

《新型智慧城市數(shù)據(jù)安全管理體系要求》

（征求意見稿）

編制說明

陜西省網(wǎng)絡(luò)與信息安全測評中心

2021年11月30日

DB61/TXXXX-2021

陜西省地方標(biāo)準(zhǔn)

《新型智慧城市數(shù)據(jù)安全管理體系要求》

編制說明

一、工作概況

1.目的意義

《新型智慧城有數(shù)據(jù)安全管理體系要求》旨在提升基于信息感

知、深度互聯(lián)、態(tài)勢分析的新型智慧城市數(shù)據(jù)安全管理工作，指導(dǎo)

我省新型智慧城市平臺(tái)建設(shè)、運(yùn)營管理、服務(wù)保障等支撐單位明確

數(shù)據(jù)安全管理要求與責(zé)任，為我省新型智慧城市業(yè)務(wù)管理、工程實(shí)

施、技術(shù)保障及第三方服務(wù)等相關(guān)人員提供管理和技術(shù)參考，有效

提升技術(shù)防護(hù)能力和安全管理水平，從而增強(qiáng)數(shù)據(jù)資源及服務(wù)安全

保障能力，為我省新型智慧城市健康可持續(xù)發(fā)展夯實(shí)業(yè)務(wù)基礎(chǔ)，全

面促進(jìn)新型智慧城右經(jīng)濟(jì)蓬勃發(fā)展。

2.任務(wù)來源

隨著國家提出“推進(jìn)新型智慧城市建設(shè)”的戰(zhàn)略思想，各省搶

抓機(jī)遇，積極組織開展新型智慧城市試點(diǎn)建設(shè)。我省在新型智慧城

市建設(shè)中，充分利用已有建設(shè)成果，打通數(shù)據(jù)壁壘，以數(shù)據(jù)融合為

基礎(chǔ)，以應(yīng)用需求為導(dǎo)向，創(chuàng)新開發(fā)多項(xiàng)智慧應(yīng)用，不斷整合政務(wù)

服務(wù)、民生服務(wù)、城市管理、社會(huì)綜治、社區(qū)服務(wù)等多領(lǐng)域信息系

17

DB61/TXXXX-2021

統(tǒng)服務(wù)數(shù)據(jù)，推進(jìn)政府?dāng)?shù)據(jù)和城市數(shù)據(jù)匯聚和融合，有效提升了城

市治理現(xiàn)代化水平。

新型智慧城市作為國家重要發(fā)展戰(zhàn)略，涉及大量公共數(shù)據(jù)的共

享與使用，極易受到木馬程序、拒絕服務(wù)攻擊、欺騙攻擊、蠕蟲病

毒、非法存取、非授權(quán)訪問、數(shù)據(jù)篡改、物理損毀等安全挑戰(zhàn)，數(shù)

據(jù)安全已