DB3301∕T 0322.1-2020 數(shù)據(jù)資源管理 第1部分:政務數(shù)據(jù)安全監(jiān)管_第1頁
DB3301∕T 0322.1-2020 數(shù)據(jù)資源管理 第1部分:政務數(shù)據(jù)安全監(jiān)管_第2頁
DB3301∕T 0322.1-2020 數(shù)據(jù)資源管理 第1部分:政務數(shù)據(jù)安全監(jiān)管_第3頁
DB3301∕T 0322.1-2020 數(shù)據(jù)資源管理 第1部分:政務數(shù)據(jù)安全監(jiān)管_第4頁
DB3301∕T 0322.1-2020 數(shù)據(jù)資源管理 第1部分:政務數(shù)據(jù)安全監(jiān)管_第5頁
已閱讀5頁,還剩3頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權說明:本文檔由用戶提供并上傳,收益歸屬內容提供方,若內容存在侵權,請進行舉報或認領

文檔簡介

ICS35.020

L72

DB3301

浙江省杭州市地方標準

DB3301/T0322.1—2020

數(shù)據(jù)資源管理

第1部分:政務數(shù)據(jù)安全監(jiān)管

2020-10-31發(fā)布2020-11-30實施

杭州市市場監(jiān)督管理局發(fā)布

DB3301/T0322.1—2020

目??次

前??言.............................................................................................................................................................II

1范圍.................................................................................................................................................................1

2規(guī)范性引用文件.............................................................................................................................................1

3術語和定義.....................................................................................................................................................1

4監(jiān)管目的.........................................................................................................................................................1

5監(jiān)管流程.........................................................................................................................................................2

5.1監(jiān)管角色與職責.....................................................................................................................................2

5.2監(jiān)管框架.................................................................................................................................................2

6監(jiān)管內容.........................................................................................................................................................2

6.1敏感數(shù)據(jù)監(jiān)管.........................................................................................................................................2

6.2特權賬號監(jiān)管.........................................................................................................................................3

6.3基礎設施監(jiān)管.........................................................................................................................................3

7實現(xiàn)方式.........................................................................................................................................................4

7.1總則.........................................................................................................................................................4

7.2人工機制.................................................................................................................................................4

7.3自動機制.................................................................................................................................................4

參考文獻...............................................................................................................................................................5

I

DB3301/T0322.1—2020

前??言

本部分按照GB/T1.1-2020《標準化工作導則第1部分:標準化文件的結構和起草規(guī)則》的規(guī)定起

草。

本次發(fā)布DB3301/T0322《數(shù)據(jù)資源管理》分為4個部分,以后根據(jù)工作需要,再視情增補。

——第1部分:政務數(shù)據(jù)安全監(jiān)管;

——第2部分:政務數(shù)據(jù)安全責任;

——第3部分:政務數(shù)據(jù)分類分級;

——第4部分:政務數(shù)據(jù)共享流程。

本部分為DB3301/T0322的第1部分。

本部分由杭州市數(shù)據(jù)資源管理局提出并歸口。

本部分起草單位:杭州市數(shù)據(jù)資源管理局、蕭山區(qū)數(shù)據(jù)資源管理局、杭州安恒信息技術股份有限公

司、數(shù)字扁擔(浙江)科技有限公司。

本部分主要起草人:丁熙、郭鵬飛、齊同軍、章建平、夏鵬、任子骙、樊興悅、周俊、孫茂陽、肖

國軍、王夢婕。

II

DB3301/T0322.1—2020

數(shù)據(jù)資源管理第1部分:政務數(shù)據(jù)安全監(jiān)管

1范圍

本部分規(guī)定了數(shù)據(jù)資源管理過程中數(shù)據(jù)安全監(jiān)管目的、監(jiān)管流程、監(jiān)管內容和實現(xiàn)方式。

本部分適用于開展數(shù)據(jù)安全監(jiān)管工作。

2規(guī)范性引用文件

下列文件中的內容通過文中的規(guī)范性引用而構成文件必不可少的條款。其中,注日期的引用文件,

僅該日期對應的版本適用于本文件;不注日期的引用文件,其最新版本(包括所有的修改單)適用于本

文件。

GB/T25069信息安全技術術語

3術語和定義

GB/T25069界定的以及下列術語和定義適用于本部分。

3.1

數(shù)據(jù)活動

指數(shù)據(jù)的收集、存儲、加工、使用、提供、交易、公開等行為。

3.2

安全監(jiān)管方

為保障數(shù)據(jù)安全而開展安全監(jiān)控和審計的組織。

3.3

被監(jiān)管方

進行數(shù)據(jù)活動的組織和人員。

3.4

交付件

對監(jiān)管活動起到佐證作用的任何實體,包括但不限于文檔、圖片、錄音、錄像、實物、數(shù)據(jù)等,并

以紙質、電子等形式有效保存。

3.5

特權賬號

特權賬號包括但不限于主機操作系統(tǒng)管理賬號、數(shù)據(jù)庫管理及運維賬號,中間件系統(tǒng)管理賬號,網(wǎng)

絡設備管理賬號,安全系統(tǒng)和設備管理賬號及應用系統(tǒng)內嵌賬號。

4監(jiān)管目的

開展數(shù)據(jù)安全監(jiān)管的目的是保障:

——數(shù)據(jù)安全保護工作持續(xù)滿足國家及省、市相關法律法規(guī)、行政命令、政策和標準要求;

1

DB3301/T0322.1—2020

——數(shù)據(jù)活動安全風險可控;

——安全監(jiān)管方能夠有效、及時掌握基礎設施的運行質量和安全狀態(tài)。

5監(jiān)管流程

5.1監(jiān)管角色與職責

安全監(jiān)管包含兩個主要角色:

——安全監(jiān)管方,應對數(shù)據(jù)運行各階段開展安全監(jiān)控和審計,對數(shù)據(jù)生命周期各階段可能存在的未

授權訪問、數(shù)據(jù)濫用、數(shù)據(jù)泄漏等安全風險的防控;

——被監(jiān)管方,應按照安全監(jiān)管要求提供相關交付件用于審計分析,收到相關安全風險通報后及時

整改。

5.2監(jiān)管框架

被監(jiān)管方應對數(shù)據(jù)活動過程中的敏感數(shù)據(jù)安全、特權人員權限和基礎設施運行落實相關管理和技術

措施,并為安全監(jiān)管方提供可證明的交付件,交付件可通過接口自動獲取或人工手動提交。

安全監(jiān)管方應對交付件進行分析審核和評估驗證等監(jiān)管活動,形成監(jiān)管結果。發(fā)現(xiàn)安全問題時應向

被監(jiān)管方反饋結果,必要時應根據(jù)監(jiān)管結果給出合理的整改意見和建議。

數(shù)據(jù)安全監(jiān)管框架圖參見圖1。

圖1數(shù)據(jù)安全監(jiān)管框架

6監(jiān)管內容

6.1敏感數(shù)據(jù)監(jiān)管

6.1.1敏感數(shù)據(jù)級別標簽監(jiān)管

結合國家法規(guī)標準與數(shù)據(jù)分類分級要求,判定敏感數(shù)據(jù)設置合法性與合理性。

6.1.2敏感數(shù)據(jù)傳輸監(jiān)管

確保敏感數(shù)據(jù)落實相應等級的傳輸加密保護,必要時可對安全通道方案、身份鑒別和認證機制、數(shù)

據(jù)加密算法進行評估審核。

2

DB3301/T0322.1—2020

6.1.3敏感數(shù)據(jù)存儲監(jiān)管

確保敏感數(shù)據(jù)落實相應等級的存儲加密手段,必要時可對數(shù)據(jù)庫配置、數(shù)據(jù)加密算法進行評估審核。

6.1.4敏感數(shù)據(jù)調用監(jiān)管

對敏感數(shù)據(jù)的訪問行為進行分析審計,確保敏感數(shù)據(jù)調用合法合規(guī)。

6.1.5敏感數(shù)據(jù)脫敏使用監(jiān)管

對敏感數(shù)據(jù)脫敏、分析等數(shù)據(jù)操作行為進行日志分析與流量分析審核,確保敏感數(shù)據(jù)的使用符合申

請需求。

6.1.6敏感數(shù)據(jù)銷毀監(jiān)管

對敏感數(shù)據(jù)的銷毀方式、審批記錄和銷毀過程進行審計,確保數(shù)據(jù)合規(guī)銷毀。

6.2特權賬號監(jiān)管

6.2.1特權賬號操作監(jiān)管

分析評估特權賬號操作日志記錄,重點監(jiān)管審計數(shù)據(jù)庫特權賬號對數(shù)據(jù)資源的增,刪,改,查。

6.2.2特權賬號共享使用監(jiān)管

分析評估特權賬號的登錄/登出記錄,防止特權賬號被多人共享使用。

6.2.3特權賬號口令監(jiān)管

分析評估特權賬號的密碼強度,防止賬號密碼被輕易破解。

6.2.4特權賬號授權監(jiān)管

分析評估特權賬號的授權記錄,保障賬號權限“最小可用”。

6.3基礎設施監(jiān)管

6.3.1基礎設施運行監(jiān)管

對信息資產(chǎn)的日常運行及使用狀態(tài)進行安全監(jiān)管。

6.3.2基礎設施合規(guī)監(jiān)管

開展等級保護測評、等級保護備案、個人信息保護規(guī)范等安全檢查,確保被監(jiān)管方落實安全合規(guī)建

設。

6.3.3安全管理措施監(jiān)管

檢查數(shù)據(jù)安全管理制度等文件,確保被監(jiān)管方制定相關數(shù)據(jù)安全目標及規(guī)劃。

6.3.4技術防護措施監(jiān)管

通過滲透測試或安全眾測等方式,確保被監(jiān)管方安全防護措施的有效性。

6.3.5安全事件處置監(jiān)管

3

DB3301/T0322.1—2020

對被監(jiān)管方安全通報的整改情況,應急事件的響應情況進行監(jiān)管審計,確保安全事件進行有效處置。

7實現(xiàn)方式

7.1總則

安全監(jiān)管方應通過有效、準確、及時的方式

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權益所有人同意不得將文件中的內容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內容本身不做任何修改或編輯,并不能對任何下載內容負責。
  • 6. 下載文件中如有侵權或不適當內容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論