标准规范下载简介
DB15/T 1874-2020 公共大数据安全管理指南简介:
DB15/T 1874-2020,全称为《公共大数据安全管理指南》,是中国地方标准(DB15/T)中的一项关于大数据安全管理的规范。该标准发布于2020年,主要目的是为了指导和规范公共大数据的收集、处理、存储、使用和保护,以确保在大数据应用过程中,尊重个人隐私,保障数据安全,防止数据泄露或滥用,促进大数据的健康发展。
该指南详细规定了公共大数据管理的各个环节,包括数据采集、数据处理、数据存储、数据使用等方面的安全要求,涵盖了数据安全策略、数据分类与权限管理、数据安全防护技术、数据安全审计、应急响应等方面的内容。同时,它也强调了数据伦理和合规性,倡导在大数据利用中遵守相关法律法规,增强公众对大数据的信任。
DB15/T 1874-2020是针对公共大数据管理领域的重要规范,对于政府部门、企事业单位以及公共服务机构在处理大数据时提供了操作指南,有助于提升全社会对大数据安全的重视和管理水平。
DB15/T 1874-2020 公共大数据安全管理指南部分内容预览:
DB15/T18742020
公共大数据安全管理指南
本标准从通用安全、安全监管、数据采集安全、数据传输安全、数据存储安全、数据使用安全、数 据交换安全、数据退役安全等方面,规定了内蒙古自治区公共大数据安全管理指南。 本标准适用于规范公共管理和服务机构开展公共数据采集、存储、传输、使用、共享、开放、退役 等数据活动,也可为内蒙古自治区有关部门对数据活动进行监督管理提供参考。
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于 凡是不注日期的引用文件DB4403/T 7-2019标准下载,其最新版本(包括所有的修改单)适用于本文件。 GB/T25069信息安全技术术语
GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 公共数据publicdata 公共管理和服务机构在依法履行职责过程中制作或获取的,以一定形式记录、保存的文件、资料、 图表和数据等各类数据资源,包括公共管理和服务机构直接或通过第三方依法采集的、依法授权管理的 和因履行职责需要依托政务信息系统形成的数据资源等,
公共管理和服务机构publicmanagementandserviceorganization 内蒙古自治区各级行政机关以及履行公共管理和服务职能的企事业单位和社会组织,涉及公共数据 开发的产业机构。
大数据 big data
具有数量巨大、种类多样、流动速度快、特征多变等特性,并且难以用传统数据体系结构和数 技术进行有效组织、存储、计算、分析和管理的数据集。
DB15/T18742020
重要数据importantdata
重要数据importantdata
不涉及国家秘密,但如果泄露、毁损、丢失或被窃取、篡改和非法使用可能危害国家安全、国计民 生、公共利益的未公开数据。
3.5 个人信息personalinformation 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 注:关于个人信息的范围和类型可参见GB/T35273《信息安全技术个人信息安全规范》附录A 3.6 数据脱敏datadesensitization 通过一系列数据处理方法对原始数据进行处理以屏蔽敏感信息的一种数据保护方法。 3.7 大数据平台bigdataplatform 采用分布式存储和计算技术,提供大数据的访问和处理,支持大数据应用安全高效运行的软硬件集 合,包括监视大数据的存储、输入/输出、操作控制等大数据服务软硬件基础设施。 3.8 数据活动dataactivity 组织机构针对数据开展的一组特定任务的集合,数据活动主要包括采集、存储、传输、使用、共享 删除等。 3.9 数据供应链datasupplychain人 为满足数据供应关系,通过资源和过程将需方、供方相互连接的网链结构,可用于供方将数据及其 信息服务 产品与服务提供给需方。 3.10 组织机构organization 由作用不同的个体为实施共同的业务目标而建立的结构。组织可以是一个企业、事业单位、政府部
对数据安全所适用的法律法规的遵循
4.1数据生命周期的各个阶段
DB15/T18742020
本标准定义了数据生命周期的六个阶段,并针对公共数据特点和场景进行了描述: 数据采集:组织机构内部系统中新产生数据,以及从外部系统收集数据的阶段。在公共数据方 面,通常是指公共管理和服务机构因履职需要,采用直接采集、委托第三方机构采集、协商等 方式向公民、法人和其他组织获取有关数据,以及通过业务系统、监测、测量、录音、录像等 方式产生有关数据; 数据传输:数据从一个实体通过网络流动到另一个实体的阶段。在公共数据方面,通常是公共 管理和服务机构将数据传输归集到云平台、数据资源共享交换平台、大数据中心等,下一级部 门将公共数据传输汇聚到上一级部门等; 数据存储:数据以任何数字格式进行物理存储或云存储的阶段。在公共数据方面,数据存储可 能涉及采集数据存储、归集汇聚后的数据存储、数据共享交换后的数据存储等; 数据使用:组织机构针对数据进行计算、分析、可视化等操作的阶段。在公共数据方面,通常 是对公共数据进行整合,形成基础数据库和主题数据库,并进行大数据分析利用转化成公共大 数据产品或服务; 一数据交换:组织机构与组织机构及个人进行数据共享、开放、交换的阶段。公共数据共享通常 是公共管理和服务机构因履行职责需要使用其他公共管理和服务机构公共数据,并为其他公共 管理和服务机构提供公共数据。公共数据开放通常是公共管理和服务机构通过数据开放平台向 社会开放公共数据。公共数据交换通常是公共管理和服务机构间或公共管理和服务机构与个人 进行数据交互; 数据退役:不再进行处理的公共数据进入数据退役阶段,涉及对信息的归档、转移、丢弃、销 毁以及对存储介质的销毁处理等。 特定的数据所经历的生命周期由实际的业务场景所决定,并非所有的数据都会完整地经历六个阶
公共数据安全体系由30类安全技术和管理控制 措施组成,分成数据生命周期安全、通用安全、安全 监管三部分,如图1所示。其中数据生命周期安全包含数据采集、数据传输、数据存储、数据使用、数 据交换、数据退役六个阶段的安全措施。安全通用安全是指对数据生命周期各阶段通用的安全技术和管 理措施。安全监管则是从公共数据主管部门角度提出的安全监管类措施。其中,安全监管是数据生命周 期安全建设中必须被满足的基线要求,通用安全是数据生命周期安全建设的中具有共性的安全建设内 容,一般贯穿于数据全生命周期建设,三者共同构建了公共数据安全体系。
DB15/T18742020
《给水用钢丝网增强聚乙烯复合管道 GB/T32439-2015》5.1数据安全策略规划
DB15/T18742020
针对个人信息保护的合规要求,建立个人信息保护措施,防止个人信息保护的合规风险。 公共服务和管理机构应: 梳理组织机构所有的个人信息保护合规要求并形成清单,能够定期通过跟进监管机构合规要求 的动态对该清单进行更新:
的动态对该清单进行更亲
DB15/T18742020
依据个人信息保护相关法律法规和GB/T35273的要求,制定组织机构统一的个人信息保护制 度规范,建立符合国家法律法规和相关标准的个人信息保护能力; 在传输和存储个人敏感信息时,采用加密等安全措施: 在存储个人生物识别信息时,采用技术措施确保信息安全后再进行存储,例如将个人生物识别 信息的原始信息和摘要分开存储,或仅存储摘要信息; 对被授权访问个人信息的人员,建立最小授权的访问控制策略,使其只能访问职责所需的最少 够用的个人信息,且仅具备完成职责所需的最少的数据操作权限; 确保涉及通过界面展示个人信息(如显示屏幕、纸面)时,个人信息控制者对需展示的个人信 息采取去标识化处理等措施,降低个人信息在展示环节的泄露风险; 8 按照法律法规相关要求,采取措施保障用户对个人信息的查询、更正、删除等权益; 确保通过注册账户提供服务时,向个人信息主体提供简便易操作的注销账户方法
通过建立针对公共数据资源目录的有效管理,从资源类型、管理模式方面实现统一规范。 公共管理和服务机构应: a) 实行公共数据统一目录管理,明确公共数据的范围、数据提供单位、更新时限、格式、共享开 放属性等要素; 根据相关政策标准要求,编制、更新、维护和发布本部门公共数据资源目录,并纳入全区公共 数据资源目录,如有关法律法规规章作出修订或职能职责发生变化,应及时更新本部门公共数 据资源目录; 公共管理和服务机构新建业务系统,要同步规划编制有关公共数据资源目录; d 全区各级公共数据资源目录应按照统一的技术标准,在本级公共数据资源共享交换平台发布; e 公共数据资源共享交换平台应提供目录更新、维护、调用等技术接口,供各部门调用: 士 按照数据类别或主题形成数据资源清单与目录,确保目录发布的操作通过共享交换服务方鉴别 身份并取得授权才可进行; 名 明确定义公共数据资源目录对应数据资源的安全分级与共享类型: 对公共数据资源目录发布进行审核,检查资源目录项的规范性、准确性; 1 对目录共享类型变更、目录迁移等操作进行授权审计; j 在资源目录信息发布过程中,如提交、同步、展示等环节,保证信息的保密性和一致性; K 明确公共数据资源共享方式与内容,遵循最小化策略,仅提供业务开展明确所需的数据内容及 规模; 1 检查共享公共数据资源发布信息与已有目录的关联关系,防止发布目录外的共享公共数据资 源; m 明确规定共享公共数据资源的安全级别,建立相应的安全策略(如脱敏、加密等)确保敏感数 据在共享过程中的保密性; V 对共享公共数据资源发布进行审核,检查发布项的规范性、安全策略合规性; 建立公共数据资源共享方式的变更与注销机制,及时通知使用者进行调整,防止影响相关业务 系统; P 对共享公共数据资源发布过程进行详细记录,包括发布日期和时间、发布人、审批人、发布资 源详细内容等; q 在共享公共数据资源发布信息传递过程中,如提交、同步、展示等环节,保证信息的保密性和 一致性。
DB15/T18742020
基于政策法规及公共数据共享和安全需求,确定组织机构内部的数据分类分级方法,对公共数据进 行分类分级标识。 公共管理和服务机构应: a) 设立负责数据安全分类分级工作的管理岗位和人员,由该岗位和人员负责定义组织整体的数据 分类分级的安全原则: b 明确数据分类分级原则、方法和操作指南; C 对组织的数据进行分类分级标识和管理: d) 对不同类别和级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施: e 明确数据分类分级变更审批流程和机制,通过该流程保证对数据分类分级的变更操作及其结果 符合组织的要求; 建立数据分类分级打标或数据资产管理工具CJ∕T 325-2010 公共浴池水质标准,实现对数据的分类分级自动标识、标识结果发布、 审核等功能; 确保负责该项工作的人员了解数据分类分级的合规要求,能够识别敏感数据。