标准规范下载简介和预览
GB/T 39477-2020 信息安全技术 政务信息共享 数据安全技术要求.pdf简介:
GB/T 39477-2020《信息安全技术 政务信息共享 数据安全技术要求》是一部由中国国家标准管理机构制定并发布的标准。该标准主要针对政务信息系统中的数据安全问题,为政务信息共享提供了技术指导和规范。它详细规定了政务信息系统在数据采集、存储、传输、处理和共享等环节中的安全要求,包括数据加密、身份认证、访问控制、数据备份与恢复、安全审计等方面的技术措施。
该标准旨在提升政务信息共享过程中的数据安全性,保障公民个人信息和政府敏感信息的保护,防止数据泄露、篡改或丢失,促进政务信息化的健康发展。通过遵循该标准,政务信息系统能够确保数据在共享过程中符合国家信息安全法律法规及行业标准,提高政府服务的效率和公众对信息安全的信任度。
GB/T 39477-2020 信息安全技术 政务信息共享 数据安全技术要求.pdf部分内容预览:
政务信息共享交换工作开展过程中数据泄露、数据滥用等问题,本标准制定政务信息共享交 据安全技术要求,指导政务信息共享交换数据安全体系建设,增强政务信息共享交换的数据 力。
GB/T39477—2020
信息安全技术政务信息共享 数据安全技术要求
JC∕T 629-1996 农房用预应力混凝土矩形檩条信息安全技术政务信息共享
享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求。 本标准适用于指导各级政务信息共享交换平台数据安全体系建设,规范各级政务部门使用政务信 息共享交换平台交换非涉及国家秘密数据安全保障工作
下列文件对于本文件的应用是必不可少的。凡是注目期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T22239一2019信息安全技术网络安全等级保护基本要求 GB/T25069 信息安全技术术语 GB/T31168一2014信息安全技术云计算服务安全能力要求 GB/T35273 信息安全技术个人信息安全规范 GM/T0054信息系统密码应用基本要求
划不借和定文用于本文件 3.1 数据安全datasecurity 采用技术和管理措施来保护数据的保密性、完整性和可用性等。 3.2 政务信息共享 government information sharing 因履行职责需要使用其他政务部门政务信息资源和为其他政务部门提供政务信息资源的行为。 3.3 共享数据提供方shareddataprovider 在政务信息共享过程中,为其他部门提供政务信息资源并且是资源责任主体的政务部门或组 机构。 3.4 共享数据交换服务方datasharingserviceprovider 在政务信息共享过程中,为各政务信息共享交换主体提供政务信息共享交换技术支持和服务的 织机构。
资源目录resourcecatalog 通过对政务信息资源依据规范的元数据描述,按照一定的分类方法进行排序和编码的一组信息。 注:资源目录是用来描述各个政务信息资源的特征,以便于对政务信息资源的检索、定位与获取。 3.7 敏感数据 sensitivedata 由权威机构确定的受保护的信息数据 注:敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害 3.8 数据召回 data recall 因安全等原因对特定数据进行回收处理,数据使用方对标记为召回的数据进行销毁,并停止对数据 使用的过程。 3.9 数据血缘关系datalineage 数据在产生、处理、流转到消亡过程中,数据之间形成的可回溯的关联关系。 3.10 潮源信息 provenanceinformation 数据处理过程中记录的可实现追踪数据来源的信息
5政务信息共享安全框架
政务信息共享交换业务模
政务信息共享由共享数据提供方、共享数据交换服务方与共享数据使用方三方参与,由共享数据准 备、共享交换和共享数据使用三个阶段组成。政务信息共享交换业务如图1所示, 共享数据提供方是共享数据权益主体,共享数据交换服务方是政务信息共享交换平台的建设和运 维主体,共享数据使用方是共享数据使用的责任主体。政务信息共享交换平台的一般框架参见附录A。 在共享数据准备阶段,共享数据提供方根据共享业务需求完成共享数据归集、数据分级分类后,形 成资源目录并管理数据共享方式,持续进行共享数据维护,准备好以批量交换数据、提供数据查询服务、 提供核验、统计、分析类综合数据服务等方式对外提供共享数据,构建共享数据更新和失效召回机制,对 已失效的数据及时召回。共享数据提供方采用数据源鉴别、数据分级分类、资源目录管理和共享数据维 护等技术手段完成共享数据准备,保证共享数据准确、完整、可用和来源真实 在共享数据交换阶段,共享数据使用方利用政务信息共享交换平台进行共享数据查询,提出共享数 居访同申请和登记。在共享数据交换服务方对资源访问申请进行审核并完成授权或者根据需要由共享 数据提供方进行审批、共享数据交换服务方审核并完成授权后,共享数据提供方对准备好的共享数据进 行数据导出,根据需要共享数据交换服务方提供数据交换服务,共享数据使用方获取并导入数据。共享 数据交换服务方采用身份鉴别、访问控制、安全传输、过程追溯等技术手段,保证政务信息共享交换过程
GB/T 394772020
安全保护: a) 数据处理:身份鉴别、访问控制、授权管理安全、数据脱敏、数据加密、数据防泄露、分布式处理 安全、数据处理溯源、数据分析安全、安全审计; b) 数据存储:存储安全、数据防护、数据加密、安全审计; c 数据备份:备份安全、保存与恢复; d 数据销毁:数据销毁安全; e) 数据使用监管:使用监管安全。 基础设施安全技术要求明确了政务信息共享交换业务的基础网络、云平台、前置交换子系统和资源 共享网站等方面的安全防护要求,为政务信息 换业务提供基础的安全保障支撑
6.1共享数据准备安全要求
6.1.1共享数据归集
共享数据归集功能应满足数据源鉴别安全技术要求。共享数据提供方在归集共享数据过程中 身份鉴别、数据源认证等安全机制保障共享数据来源的真实性
6.1.2数据分级分类
数据分级分类功能应满足分级分类安全技术要求。共享数据提供方对数据进行分级分类的安全要 求包括: 应按照政务信息资源分级分类相关要求对共享数据分级分类并进行标记,根据标记可对数据 安全等级进行识别,并保留标记记录; b) 应按照数据级别确定并实施所必要的安全管理策略和保障措施; c)应对共享数据分级分类的变更进行记录,并通知相关数据使用方; d)应按照数据级别明确使用方对共享数据的使用权限
6.1.3资源目录管理
资源目录管理功能应满足资源目录安全技术要求。共享数据准备阶段对资源目录管理的安全要求 包括: a) 共享数据提供方使用共享数据交换服务方提供的服务对资源目录进行管理,安全要求包括: 1) 应按照数据类别或主题形成数据资源目录; 应定义资源目录对应数据资源的内容、安全分级与共享方式; 3) 应对资源目录发布进行审核,检查资源目录的规范性、准确性: 4) 应对目录对应的共享资源建立相应的安全管理策略,保障敏感数据在共享过程中的保密 性和完整性: 5) 应对资源目录共享类型变更、目录迁移等操作进行授权审计。 b) 共享数据交换服务方提供的资源目录管理服务的安全要求包括: 1) 应构建资源目录发布的审核机制,明确发布审核流程; 2) 在资源目录发布过程中,应对共享数据提供方进行身份鉴别 3 应对资源目录发布过程进行详细记录,包括发布日期和时间、发布人、审批人、发布资源详 细内容等; 4)应保证资源目录在传输过程中信息的保密性和完整性
GB/T 39477—2020
6.1.4共享数据维护
6.1.4.1数据质量控制
其享数据提供方在维护其 保证所提供的共享数据完整准确、及时有效
6.1.4.2数据存储加密
共享数据提供方在维护共享数据过程中可采用符合GM/T0054等国家相关标准规定的密码技 术,对敏感数据进行加密存储保护
6.1.4.3数据存储隔离
共享数据提供方在维护共享数据过程中对数据存储隔离的安全要求包括: a)应对数据存储环境进行分域分级设计; b)应根据数据重要性、量级、使用频率等因素将数据分域分级存储
1.4.4数据更新和召回
6.2共享数据交换安全要求
用户管理功能应满足用户管理安全技术要求。共享数据交换服务方对政务信息共享交换用户管理 的安全要求包括: a)应支持对用户进行角色分立管理,设立管理角色、审计角色及操作角色; b) 应根据业务需求、管理范围、组织架构等设置访问控制策略,建立完整的用户管理机制,能够统 设置、统一注销、统一鉴别、统一授权、集中鉴权、集中审计; C 应实时将监测到的用户行为和数据、权限、岗位等进行相关性分析; 应支持对特定数据的访问主体进行实时授权和取消授权的管理方式; e)应支持基于角色的用户分组并支持对用户组整体管理
授权管理功能应满足授权管理安全技术要求。共享交换过程中涉及的授权方(共享数据提供方、共 享数据交换服务方)对授权管理的安全要求包括: 应支持针对用户访问权限、数据操作权限、应用访问数据权限等维度的授权管理机制; b) 应支持基于数据分级分类的多级授权和操作监管: 应对权限范围外的数据、应用的尝试操作提出告警; d) 应支持资源文件、库表、接口等各共享方式上不同粒度的权限控制; e) 资源目录发布应获得授权,明确授权目的和范围,保留授权记录,并遵照授权执行; f) 共享数据发布应获得授权,明确授权目的和范围,保留授权记录,并遵照授权执行; 共享数据申请应获得授权,明确授权目的和范围,保留授权记录,并遵照授权执行; h) 应遵循数据共享最小化原则,仅授权对业务必需的数据共享访问; 1) 应检查有条件共享数据的使用请求符合规定条件; 应可设定授权的有效期并定期检查授权的有效性;
GB/T 394772020
应根据安全策略,生成共享数据访同授权凭证、安全配置信息,并将这些配置信息安全分发到 信息交换系统
应根据安全策略,生成共享数据访同授权凭证、安全配置信息,并将这些配置信息安全分发到 信息交换系统
JC∕T 1068-2008 坡屋面用防水材料 自粘聚合物沥青防水垫层6.2.3.1数据脱敏
共享数据提供方在数据导出过程中对数据脱敏的安全要求包括: a)应对敏感数据建立数据脱敏安全策略,并按照安全策略进行脱敏; D 应能根据应用需要保留敏感数据的原数据格式、属性或关联; C 应对数据脱敏操作过程进行记录,记录内容至少包括操作时间、操作人、操作对象等; d)宜提供敏感数据检查工具,对共享数据进行分析,发现敏感数据
共享数据提供方在数据导出过程中对数据脱敏的安全要求包括 a)应对敏感数据建立数据脱敏安全策略,并按照安全策略进行脱敏; D 应能根据应用需要保留敏感数据的原数据格式、属性或关联; 应对数据脱敏操作过程进行记录,记录内容至少包括操作时间、操作人、操作对象等; d)宜提供敏感数据检查工具,对共享数据进行分析,发现敏感数据
6.2.3.2数据加密
共享数据提供方在数据导出过 等国家相天标准规定的密码技不,效 敏感数据加密保护后再导出
6.2.3.3权限标记
6.2.3.4安全策略检查
JGJ 72-2004 高层建筑岩土工程勘察规程6.2.4.1事务标识