标准规范下载简介
DB3201/T 1040-2021 政务数据安全管理指南.pdf简介:
DB3201/T 1040-2021《政务数据安全管理指南》是由江苏省地方标准制定的,这份指南旨在为政务数据的安全管理提供具体的指导和规范。它重点关注政务数据的收集、存储、处理、传输和使用的各个环节,强调了在数字化政务环境中,数据安全的重要性。
以下是该指南可能包含的主要内容:
1. 数据安全管理原则:强调数据所有权、责任和合规性,要求政务部门遵循数据最小化、必要性和保密性原则。
2. 风险评估:指导如何识别和评估数据安全风险,包括内部风险和外部风险,以采取有效的预防和控制措施。
3. 数据分类和保护:根据数据的敏感性和重要性,制定不同的安全保护策略和措施。
4. 安全政策和流程:规定了政务数据的安全管理政策、操作流程和应急预案,以确保在数据泄露或其他安全事件发生时能迅速响应。
5. 培训和意识提升:强调了对政务人员进行数据安全培训,提高他们对数据安全的认识和能力。
6. 审计与监控:要求定期进行数据安全审计和监控,以检查和改进数据安全管理效果。
7. 合规性:确保政务数据的管理和使用符合国家的法律法规,如《网络安全法》等相关规定。
这份指南的发布,对于加强政务数据安全,保障公民个人信息权益,提升政府公共服务的可信度和效率具有重要意义。
DB3201/T 1040-2021 政务数据安全管理指南.pdf部分内容预览:
Governmentdatasecuritymanagementguidance
南京市市场监督管理局 发布
DB3201/T1040—2021
GB5768.7-2018标准下载前言.... 范围 规范性引用文件 术语和定义 管理原则 管理角色及职责 政务数据分级 政务数据安全管理要求 参考文献
DB3201/T 10402021
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由南京市大数据管理局提出并归口。 本文件起草单位:南京市大数据管理局、南京市互联网信息办公室、联通大数据有限公司、中国科 学院信息工程研究所(信息安全国家重点实验室)。 本文件主要起草人:唐建荣、陶为波、周黎丽、杨栋、丁进明、关泰璐、陈驰、任许辉、田涛、马 红霞、范东媛。
DB3201/T10402021
本文件确立了政务数据安全管理的角色 提供了数据安全分级的原则、要素、标准、流程方 面的建议,给出了按照级别进行政务数据安全管理需要考虑要点的相关信息。 本文件适用于政务部门不涉及国家秘密的政务数据的安全管理。
政务数据安全管理遵循“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,明确各参与 数据安全责任。
照政务数据安全分级实施不同级别的数据安全措
强化政务数据安全管理,防控数据安全风险。
DB3201/T 10402021
政务部门承担本部门政务数据安全管理工作,保障政务数据安全。政务部门宜按照数据安全管理角 色完善本部门数据安全组织架构并明确相应职责。数据安全管理角色主要包括政务数据安全决策方、政 务数据安全管理方、政务数据安全执行方和政务数据安全监审方。 政务数据安全管理角色示意图,见图1
数据安全决策方是指政务部门的管理层。数据安全决策方主要负责本单位数据安全工作的监管、协 调与重大事项决策。
数据安全监审方是指对政务数据安全开展监督审计的内设部门或外部机构。数据安全监审方主要负 贵对政务大数据的数据安全保障工作进行监督和审计,对数据安全管理制度和标准提出完善和优化建议 并督促安全隐惠整改
政务数据分级宜采用自主定级原则,由政务部门对本部门管辖的政务数据进行分级
6. 2. 1 要素概述
6. 2. 2影响对象
影响对象包括党政机关、企事业单位和社会组织、自然人
6. 2. 3影响程度
DB3201/T1040202
影响程度包括轻微影响、一般影响和严重影响。 轻微影响是指对党政机关、企事业单位和社会组织及自然人的工作运作、资产、安全会造成 轻微的损害,造成的结果可以补救。 一般影响是指对党政机关、企事业单位和社会组织及自然人的工作运作、资产、安全会造成 损害,造成的结果不可逆,但是可以采取措施降低损失。 严重影响是指对党政机关、企事业单位和社会组织及自然人的工作运作、资产、安全会造成 严重损害,造成的结果不可逆
6. 2. 4影响范围
影响范围可分为较大影响范围和较小影响范围。 较小影响范围是指影响党政机关数量不宜超过1个,企事业单位和社会组织数量不宜超过3 个,自然人数量不宜超过50人。 较小影响范围之外的为较大影响范围。
DB3201/T 10402021
政务数据安全分级是对政务数据进行分级管控的前提,依据自主定级原则,各政务部门在数据分级 中宜考虑以下环节。 a 梳理数据资产:政务数据安全执行方全面梳理管辖政务数据资产,并形成数据资产目录。 初步确定分级结果:政务数据安全执行方参照“分级标准”,结合现有和可预期的数据应用 场景、部门业务内容,初步确定数据级别。 定级评审:政务数据安全执行方宜组织数据安全管理方和监审方对数据初步分级结果进行评 审。 d) 决策方审批:将数据分级结果报本单位数据安全决策方审批。 e 备案:将数据分级结果报本级政务大数据管理局备案。 f 数据分级变更:当数据应用场景,数据分级要素等发生较大变化时,宜考虑重新对数据进行 分级。
7政务数据安全管理要求
根据政务数据安全级别,数据安全实施分级管理。 第一级数据安全管理宜参照GB/T22239规定的数据安全要求。 对第二级和第三级数据在参照GB/T22239规定的数据安全要求的基础上,宜参考本文件7.2、7.3 7.4、7.5章节,从数据安全岗位人员、数据安全制度流程、数据安全技术措施和数据安全运营管控等四 个方面,对数据各环节进行安全保护。 个人信息相关的数据安全管理宜参照GB/T35273的要求。
7.2数据安全岗位人员
政务部门宜设置数据安全岗位,配备必要的人员,具备相应的能力承担数据安全工作。加强人员(含 为政务部门承担系统建设和运维的服务厂商人员)安全管理,防范可能由人员引发的数据安全风险。 数据安全岗位人员管理要求见表2。
表2数据安全岗位人员管理要求
DB3201/T1040202
表2数据安全岗位人员管理要求(续)
7.3数据安全制度流程
政务部门宜通过建立完善数据安全制度和管理流程,规范数据采集、传输、存储、加工、共享、开 放、 销毁各环节的工作,管控可能存在的数据安全风险。 数据安全制度流程管理要求见表3。
3数据安全制度流程管
7.4数据安全技术措施
政务部门在数据采集、传输、存储、加工、共享、开放、销毁各环节中,宜考虑部署相应的数 、数据脱敏、数据溯源、数据操作权限管理、数据操作记录、数据备份与恢复、数据安全审计等 施,防止数据泄露、滥用、篡改以及损毁等风险。 数据安全技术措施管理要求见表4。
DB3201/T 10402021
表4数据安全技术措施管理要求
【5层】9747.9平米五层框架厂房工程量计算书(含钢筋工程量计算及图纸)7.5数据安全运营管控
DB3201/T10402021
表5数据安全运营管控要求
DB3201/T 10402021
天然气支线管道建设项目站场控制设备自控:清管器通过指示器数据单表5数据安全运营管控要求(续)
DB3201/T10402021