标准规范下载简介
DB15/T 2197-2021 大数据应用 数据安全管理责任指南.pdf简介:
"DB15/T 2197-2021 大数据应用 数据安全管理责任指南.pdf" 是一份关于大数据应用中的数据安全管理的专业标准或指南。这份文档由中国制定,可能属于地方标准或行业标准,其目的是为了规范和指导大数据应用过程中对数据安全的管理,强调企业在大数据处理、存储、使用和共享过程中应当承担的责任。它可能包括数据安全策略、数据保护措施、风险评估、合规性要求等内容,以确保在享受大数据带来的便利的同时,能够有效防止数据泄露、滥用或不当访问,保护用户隐私和企业资产安全。由于我是一个的,无法直接查看PDF文件,以上信息基于对该标准名称的理解和通常此类文件可能包含的内容推断。如需详细了解具体内容,建议您查阅这份文件。
DB15/T 2197-2021 大数据应用 数据安全管理责任指南.pdf部分内容预览:
内蒙古自治区市场监督管理局
蒙古自治区市场监督管理局发
DB15/T 2197202
本文件按照GB/T1.1一2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草。 本文件由内蒙古自治区大数据中心提出并归口。 本文件起草单位:内蒙古自治区大数据中心、杭州安恒信息技术股份有限公司、内蒙古工业大学网 络空间安全研究所、华信咨询设计研究院有限公司。 本文件主要起草人:包瑞林、孙卫、周俊、任子骥、林明峰、田丽丹、王钢、周烜义、李欢、崔连
NB/T 35039-2014标准下载大数据应用数据安全管理责任指南
本文件规定了数据共享交换场景中的基本安全要求,定义了数据共享交换过程中涉及的各相关角色 的安全控制措施。
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其申,注日期的引用文件 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本 文件。 GB/T35295信息技术大数据术语
GB/T35295界定的以及下列术语和定义适用于本文件。 3.1 服务第三方thirdpartyserviceprovider 提供相关服务的供应方,包括数据产品和数据服务提供者。 3.2 数据管理者 data manager 数据的管理者,由政府赋予数据管理职能的行政机构。 水准信息 3.3 数据血缘datalineage 数据在产生、传输、存储、处理、交换到销毁的全生命周期过程中,数据之间形成的可回溯的关联 关系。
共享交换安全控制措施的基本原则包括: 共享交换安全管理采取主动防御、综合防范方针,坚持保障数据共享交换安全与促进应用发 展相协调、管理与技术并重的原则,实行统一协调、分工负责、分级管理:
b)支撑数据共享交换的基础设施和网络应符合国家等级保护和关键信息基础设施保护的相关法 规和标准; C 数据共享交换过程由数据提供者、数据使用者、数据管理者和服务第三方组成。各参与方应 按照谁主管、谁负责,谁使用、谁负责,谁运营、谁负责的原则,在各自职责范围内,做好 数据安全管理工作; d 数据共享交换过程中各参与方之间的安全责任相互独立,在部分情况下需要依赖于另一方安 全管理措施的有效性,责任由双方共同承担,
数据共享交换活动涉及数据提供者、数据使用者、数据管理者以及服务第三方(数据运营提供者 据服务提供者),共享交换场景如图1所示。在数据共享交换场景下各相关方履行自身职责,采取安 全管理措施,以保证数据共享交换风险可控。 针对数据交换共享过程的数据流动、过程控制和管理,数据共享交换场景可分为以下儿类 场景1:数据提供者数据采集及共享环节; 场景2:数据服务提供者进行数据处理的环节; 场景3:数据使用者获取数据的环节; 场景4:数据运营提供者在数据采集、共享过程中的控制环节; 场景5:数据管理者在数据共享交换过程的管理环节。
5. 1 基本安全要求
图1共享交换场景分类示意图
数据共享交换场景的基本要求包括: a 数据共享工作应通过共享交换平台进行,通过API服务调用方式获取共享数据; b 数据提供者、数据使用者、数据管理者可在保留安全管理责任的前提下,通过签订标准合同 明确责任和义务,将安全管理执行工作外包给服务第三方:
c)对于无条件共享的数据,归集整理后通过平台可向各单位进行数据共享;对于有条件共享的 数据,由数据使用者向数据提供者提交数据资源共享申请,经数据提供者审批同意和数据管 理者审核确认后,通过平台的API(应用程序编程接口)服务进行数据共享; 确立数据分类分级,根据数据敏感度等级、场景数据使用风险等级制定相应的控制措施; 数据的保存期限应符合法律法规的要求,共享交换过程涉及各方应及时销毁超过数据保存期 的数据,或者进行脱敏保存归档 数据共享交换的各参与方应保障各阶段数据血缘的完整性,保障数据质量,并可提供数据处 理过程日志供第三方审计。
5.2数据提供者安全控制措施
5.2.1数据来源合法
数据提供者应保障数据来源合法,安全控制措施包括: 按照法定职责采集数据资源,明确本部门数据采集、发布、维护的规范和程序,确保数据的 正确性、完整性、时效性以及确权范围; b 除法律、法规另有规定以外,应当遵循“一数一源”的原则,不得重复采集可以通过共享方 式获取的数据资源; 按照法律、法规规定的数据范围进行采集,遵循数据采集必要性及最小化原则,不得采集法 定范围之外的数据
5. 2. 2 数据共享管理
数据提供者应提供数据共享服务,安全控制措施包括: 应明确本部门数据资源的共享范围,及时响应数据使用者的数据共享需求; b 法律、法规、规章等规定需要共享的数据,应按照相关要求进行共享; 对数据使用者提交的数据共享申请,应根据履职需要和最小化原则,进行审批授权; 应明确数据的共享范围、共享期限、共享用途、共享方式和数据保存期限,通过平台向数据 使用者共享数据; 应对共享的数据设置对应的数据分类分级标签; 应通过技术手段确保共享数据的完整性和一致性,并按照约定的更新频率更新数据。
5.3数据使用者安全控制措施
5.3.1数据共享申请
数据使用者应按照以下要求申请数据共享,安全控制措施包括: a) 应基于业务场景向数据提供者或数据管理者申请数据共享,并依据法律法规的要求在授权的 使用范围内使用共享数据; 申请共享数据时,应向数据提供者明确数据的使用目的、范围、期限、更新频率等具体使用 需求,共享数据的使用需经过两级审批(见5.2.2及5.4.1)。
5. 3. 2 共享数据使用
数据使用者按要求使用共享数据,安全控制措施包括: a)应在数据提供者的数据授权范围内使用共享数据; b)不应对脱敏后的个人信息和敏感数据通过技术手段进行再识别; C)应根据共享数据的保存期限进行数据销毁工作:
315/T21972021 d 应根据共享数据的安全级别,采取相应等级的安全防护措施进行防护; e 需要对共享数据进行再次加工时,应联合数据管理者对加工后的数据进行识别和设置分类分 级标签,并采取相应等级的防护措施进行安全防护; f 应完整记录数据使用过程中的操作日志,以便识别潜在的违约使用者; S 应明确数据使用的第一责任人
5.4数据管理者安全控制措施
5. 4. 1数据共享管理
数据管理者对数据共享过程进行管理,安全控制措施包括: 建立数据资源共享管理制度,指定专人负责数据资源目录的编制、审核和维护; 依据数据资源目录审核归集的数据资源,确保归集数据合规性、准确性和完整性; 牵头制定数据分类分级标准,按照数据类型与数据安全等级矩阵方法,确定数据敏感度等级; 针对具体业务场景,结合数据敏感度等级,确定场景数据使用风险等级;根据数据敏感度等 级、场景数据使用风险等级确定相应的控制措施: d 对数据提供者提交的数据分类分级情况进行审核,对不符合要求的数据分类和分级情况通报 数据提供者重新设置标签; e 牵头制定数据使用的策略和规则,对数据使用者的数据共享申请进行二次审批,重点审核数 据使用的目的和范围是否与其自身业务开展相关: 对数据使用者的分析数据结果输出进行抽查,避免分析结果输出中包含可恢复的个人信息、 重要数据等数据和结构标识,防止个人信息、重要数据等敏感信息的泄漏; 牵头数据共享交换各方对融合衍生后的数据进行识别和设置分类分级标签,并采取相应等级 的防护措施进行安全防护
别墅装修图(摩洛哥)5. 4. 2 安全管理
5. 4. 3检查评估
数据管理者应组织开展对数据共享交换各参与方的数据安全检查评估,安全控制措施包括: 应定期组织开展对数据共享交换各参与方的数据安全检查,对检查中发现的重大安全隐患, 应当责令有关单位立即排除并报相关监管部门;对检查中发现的违法行为,应当立即制止, 并提请公安部门依法查处; 应定期对数据使用者的数据安全防护能力进行评估,确保数据使用者只能获取与之防护能力 等级相匹配的数据。
5.5服务第三方安全控制措施
5.5.1服务第三方通用安全要求
服务第三方包括数据产品提供者和数据服务提供者,应满足以下通用安全要求: 提供的产品和服务应满足国家法律法规和地方规章的要求,例如提供基础设施和平台服务的 应满足国家网络安全等级保护的相关要求,提供安全专用产品的应取得计算机信息系统安全 专用产品销售许可证; b 提供的产品和服务应安全可控,并进行书面安全承诺,承诺提供的产品和服务不包含恶意程 序、隐蔽接口或未明示功能的模块等; 应建立并执行针对产品和服务安全缺陷、漏洞的应急响应机制和流程,在发现提供的产品和 服务存在安全缺陷、漏洞时,应立即采取修复或替代方案等补救措施,及时告知用户安全风 险,并向数据管理者报告: d 提供的产品和服务需要收集的用户信息时,应明确告知收集用户信息的目的、用途、范围和 类型,在用户明示同意后,按照最少够用原则收集实现产品和服务功能所需的最少用户信息, 并采取安全措施保护用户信息的安全; e 提供的产品和服务应不破坏数据管理者制定的整体安全策略,应不导致其他服务第三方的产 品和服务安全能力的失效 产品和服务上线前应告知数据管理者上线计划,并接受数据管理者或由数据管理者授权委托 的服务方进行安全检查; 8 应建立内部监督审计机制,对提供服务的人员进行监督和审计,签订保密协议,确保其不泄 露用户的业务数据; 应接受数据管理者或由数据管理者授权委托的第三方监管服务方的安全监管,按监管要求提 供相关交付件供数据管理者或监管服务方审核评估,并对通报的安全风险进行及时整改。
5.5.2数据产品提供者安全控制措施
《建筑工程预应力施工规程 CECS180:2005》数据产品提供者宜采取的安全控制措施包括: a)应根据数据管理者制定的安全策略和规则进行数据的访问授权管理工作:
5/T21972021 b 应提供服务API的用户鉴别、鉴权和访问控制的能力,并支持服务API的调用日志记录和外 发; 应采取措施保障服务API自身的安全性,确保服务API具备防重放、代码注入、DoS/DDoS(拒 绝服务/分布式拒绝服务)等攻击防护能力; 应提供服务API过载保护的能力,实现不同服务等级用户间业务的公平性和系统整体性处理 能力的最大化,