DB15／T 2199-2021标准规范下载简介

DB15／T 2199-2021 数据交易安全技术要求.pdf简介：

"DB15/T 2199-2021 数据交易安全技术要求.pdf" 是一份由中国标准出版社发布的标准文档，全称为《数据交易安全技术要求》，该标准属于地*标准（DB15/T），编号为2199-2021。这份标准主要规定了数据交易过程中的安全技术要求，包括但不限于数据的加密、身份验证、访问控制、数据完整性保护、隐私保护等*面的内容。它旨在确保在数据交易过程中，数据的安全性和隐私性得到有效保障，防止数据泄露、篡改或丢失，适用于各类数据交易场景，例如金融、电子商务、物联网等。该标准是随着数字化和数据经济的发展，对数据安全保护提出的强制性技术规范。

DB15／T 2199-2021 数据交易安全技术要求.pdf部分内容预览：

本文件给出了数据资源交易参考框架，规定了数据资源交易参与*安全要求和数据资源交易过程中 数据生命周期安全要求， 本文件适用于数据资源交易参与*进行安全自评估，也可供第三*测评机构对数据资源交易参与* 进行安全评估时参考。

3.1 数据资源dataresource 法人、自然人和其他社会组织在生产、生活中产生或获取的，以一定形*记录、保存的文字、数字、 图表、图像、音频、视频等各类结构化和非结构化数据。 3.2 数据资源交易dataresourcetransaction 数据资源提供*和数据资源***之间以数据商品作为交易对象，进行的以货币或货币等价物交换 3.3 数据资源提供*dataresourceprovider 数据资源交易中提供数据资源的组织机构。 3.4

数据资源***dataresourcepurchaser

DBJ∕T 14-055-2009 基桩承载力自平衡检测技术规程数据资源***dataresourcepurchaser

DB15/T 2199202

DB15/T 2199202

数据资源交易服务机构dataresourcetransactionagency

数据资源交易服务机构dataresourcetransactionagency

数据资源交易服务机构为交易主体提供的独立开展数据资源交易活动的网页空间、虚拟交 信息发布等服务的信息化平台

数据资源提供*以数据调用接口的形*通过网络向数据资源***交付数据的数据交易模*。 3.9 离线数据资源交易offlinedataresourcetransactior 数据资源提供*通过离线**将数据从提供*传输到数据资源***的数据交易模*。 3.10 托管数据资源交易manageddataresourcetransaction 数据资源提供*将数据存放到数据资源交易服务机构指定的数据托管服务平台，数据资源*** 数据托管服务平台内使用数据，数据不发生转移的交易模*。

数据资源交易是数据资源提供*和数据资源***之间以数据商品作为交易对象，进行的以货币或 货币等价物交换数据商品的行为，数据资源交易参考框架如图1所示。数据资源交易涉及数据资源提供 *、数据资源***、数据资源交易服务机构。数据资源交易服务机构依托数据资源交易平台，为数据 资源交易主体提供独立的数据资源交易服务。从数据资源交易安全技术角度出发，在交易过程中应遵从 数据采集、数据传输、数据存储、数据处理、数据交易、数据销毁生命周期的安全要求。常见的数据资 原交易模*主要分为在线数据资源交易、离线数据资源交易和托管数据资源交易模*，数据资源交易模 *技术要求示例详见附录A。

DB15/T21992021

5数据资源交易参与*安全要求

图1数据资源交易参考框架

数据资源提供*应满足以下要求： a）为合法组织机构，完成在数据资源交易服务机构的注册与审核； 向数据资源交易服务机构提供书面的数据资源交易使用要求说明和来源合法承诺，明确界定 交易数据资源的内容范围、使用范围和使用期限，并确保数据真实可靠、来源合法等数据确 权内容。

5.2数据资源***安全要求

数据资源***应满足以下要求： a）为合法组织机构，完成在数据资源交易服务机构的注册与审核； b 向数据资源交易服务机构提供书面的数据资源使用安全承诺，明确数据资源需求内容、用途 等，确保符合国家法律法规要求，并对数据资源使用过程和结果负责； C 在按照数据资源交易约定**完成数据资源使用后，应及时按照相关规定销毁交易数据，并 妥善保管销毁证明或记录。

5.3数据资源交易服务机构安全要求

数据资源交易服务机构应满足以下要求：人 a）为境内的合法组织机构，得到相关行政主管部门的授权或许可，并具备承担数据资源交易服 务相对应的安全保障能力； b 在境内部署用于数据资源交易服务的数据资源交易平台，至少符合CB/T222399中第三级的 相关安全要求，服务机构至少满足GB/T37988中的三级要求； c 对数据资源交易主体身份、资质等信息进行核验、登记和备案，建立登记档案，并定期核验 更新； d 交易过程中所涉及的数据资源应严格保密，不得使用、泄露、出售或者非法向他人提供，未 经数据资源提供*授权，不得留存所交易的数据资源； e 对交易过程中的违法违规操作具有追溯能力：

6数据资源交易安全技术要求

数据资源提供*应满足但不限于以下要求： a）基于应用场景、交易类别等对交易数据资源进行分类标识； b）建立工具打标和人工审核的分类机制，能识别数据资源中禁止交易数据的敏感数据； c）对分类交易数据资源进行安全风险评估，并出具安全风险评估报告。

6. 1. 2 数据质量

数据资源提供*应满足但不限于以下要求： a）确保交易数据资源的格*规范、准确性、一致性和完整性符合数据质量评价标准 b）对数据资源进行数据质量校验和监控，发现异常数据及时告警和更正。

6. 1. 3 安全合规

数据资源交易服务机构应满足但不限于以下要求： a）对数据资源提供*提供的数据来源合法性及安全风险评估报告进行审核，确保数据资源可交 易； 要求数据资源提供*提供交易数据资源获取渠道合法、权利清晰无争议的承诺或确权证明材 料； C 对数据资源***的数据使用操作日志进行审核，确保数据使用合法合规。

数据资源交易服务机构应满足但不限于以下要求： 提供对数据传输通道两端进行数据资源交易主体身份鉴别和多因素认证机制，如可信数字证 书、生物识别**等，确保交易主体身份安全可靠： b 采用符合GM/T0054等国家相关标准的密码技术对数据传输通道进行加密，并提供对传输数 据的完整性进行检测并执行恢复控制； C 对数据传输安全策略的变更进行审核和监控，部署通道安全配置、密码算法配置、密钥管理 等保护措施的技术工具； d 在数据传输链路上采取交易数据资源监控技术，具有完备的数据保护机制和数据泄露检测能 力； e 建立数据传输链路余机制，保证数据传输可靠性和网络传输服务可用性

6. 3. 1数据存储

数据资源交易服务机构应满足但不限于以下要求：

DB15/T2199202

具备多用户数据存储安全隔离能力； 对交易数据资源采用符合GM/T0054规定的数据加密**和密码算法进行存储加密保护； 提供数据资源存储系统配置扫描工具，定期对数据资源存储系统的安全配置进行扫描，以保 证符合安全基线要求； 利用技术工具监测数据资源存储系统的数据使用规范性； e）采取相关技术手段防止数据资源在未授权条件下的下载、复制等**的输出； 要求数据资源***应采取相关技术手段对交易数据进行安全储存，确保数据不泄露。

6.3.2数据备份和恢复

数据资源交易服务机构应满足但不限于以下要求： ） 建立用于数据复制、备份、恢复的统一技术工具，并将具体的备份策略固化到工具中，保证 相关工作的自动化执行： 根据数据资源存储时效性相关的合规性要求，建立数据复制、备份与恢复操作过程规范，包 括复制、备份和恢复的日志记录规范； 建立数据复制、数据备份与恢复的定期检查和更新工作程序，包括数据副本更新频率、保存 期限等，确保数据副本或备份数据的有效性。

数据资源交易服务机构应满足但不限于以下要求： a 要求数据资源提供*基于应用场景定义脱敏规则，提供基于规则的数据静态脱敏，并对数据 脱敏处理过程进行记录； b）对交易数据资源进行敏感数据审核，确保数据可交易

数据资源交易服务机构应满足但不限于以下要求： a）明确数据分析安全审核流程，对数据分析的数据源、数据分析需求、分析逻辑进行审核，以 确保数据分析目的、分析操作等*面的正当性； b 采取敏感数据审查和管控措施，避免输出的数据分析结果包含可恢复的个人信息、重要数据 等数据和结构标识，以防止数据分析结果危害个人隐私、公司商业价值、社会公共利益和国 家安全； C 确保使用的数据分析工具具备产品销售许可证。

DB37∕T 5105-2017 山东省城市生活用水量标准6. 5. 1 交换安全

数据资源交易服务机构应满足但不限于以下要求： 为数据资源交易主体提供安全的数据访问接口，并且明确接口安全规范，包括且不限于接口 名称、接口标识、请求**、请求示例、接口安全要求等； 提供对数据访问接口的安全限制和安全控制措施，如身份鉴别、授权策略、访问控制机制、 签名、时间戳、安全协议等，具备对接口不安全输入参数进行限制或过滤能力，为接口提供 异常处理能力； c）对交易数据资源实施访问控制等安全措施，防止数据资源非法使用：

B15/T2199—2021 d）通过闪存、硬盘等介质存储设备进行线下数据资源交换时，应对介质存储设备进行病毒性检 测，确保介质存储设备安全可靠。

数据资源交易服务机构应满足但不限于以下要求： a）对数据访问人员实现统一账号管理、统一认证、统一授权和统一审计； 采用多因素认证的**进行身份认证，如可信数字证书、生物识别**等： 对交易主体和数据资源进行权限管理，遵循最小服务的原则，依据数据使用目的建立相应强 度或粒度的访问控制机制； d 对于托管交易模*，应为数据资源***提供安全隔离的数据使用环境，确保数据资源** *在平台中的数据、系统功能、会话、调度和分析环境等资源独立运行； e 要求数据资源***应遵循国家相关法律法规及交易约定正确使用数据，并完整记录数据使 用过程的操作日志。

6.5.3交易过程追溯

数据资源交易服务机构应满足但不限于以下要求： 跟踪和记录数据资源交易过程DB62∕T 3024-2018 砌体工程施工工艺规程，包括数据资源提供*记录、数据资源***记录、数据资源 交易服务机构记录； 数据资源提供*提供包括对交易数据资源的来源记录、分类记录、脱敏记录、质量核验记录 及交付记录等； 数据资源***提供包括对交易数据资源的接收记录、质量认定记录、使用记录及销毁记录 等； 数据资源交易服务机构记录包括数据资源审核记录、身份核验记录、数据传输过程记录、数 据交换记录及数据销毁记录等。