ICS35.020CCSL09

2201長 春 市 地 方 標 準DB2201/T18—2022政務數據安全管理責任指南Guidelinesformanagementresponsibilityofgovernmentdatasecurity2022-01-14發布 2022-01-30實施長春市市場監督管理局??發布DB2201/T18DB2201/T18—2022II前 言本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。本文件的某些內容可能涉及專利，本文件的發布機構不承擔識別專利的責任。本文件由長春市政務服務和數字化建設管理局提出并歸口。本文件主要起草單位：長春市政務服務和數字化建設管理局、杭州安恒信息技術股份有限公司。靂、王振斌。DB2201/T18DB2201/T18—2022PAGEPAGE5政務數據安全管理責任指南范圍理責任。本文件適用于政務數據安全的管理責任工作。規范性引用文件（包括所有的修改單適用于本文件。GB/T25069信息安全技術術語GB/T35295信息技術大數據術語術語和定義GB/T25069和GB/T35295界定的以及下列術語和定義適用于本文件。服務第三方thirdpartyserviceprovider提供相關數據管理服務的供應方。數據管理組織Datamanagementorganization政府賦予數據管理職能的組織。數據血緣DataLineage關系。數據安全審計datasecurityaudit根據數據安全審計的要求，對數據本身以及與其形成過程安全相關的內部控制和流程進行檢查、評價，并發表審計意見。縮略語下列縮略語適用于本文件。API:應用程序編程接口(ApplicationProgrammingInterface)ETL:數據倉庫技術(Extract-Transform-Load)數據管理相關方數據管理相關方包括：數據安全管理組織、數據提供者、數據使用者、數據運營者。數據安全管理者負責數據安全相關領域和環節的決策，制定并審議數據安全相關制度，監督執行和組織落實業務部門數據安全相關工作。數據安全執行者負責數據安全相關領域和環節工作的執行，制定數據安全相關細則，落實各項安全措施，配合數據安全管理者開展各項工作。數據安全審計者對安全策略的適當性進行評價，幫助檢測安全違規，并生成安全審計報告。數據共享管理者對數據共享交換等平臺和過程進行管理，執行數據安全管理者分配的工作任務。數據使用者在開放、共享、交換、交易等過程中獲取數據的人員或組織。數據運營者是對政務數據在開放、共享、交換、交易等過程中進行控制的人員或組織。數據管理組織數據安全管理者責任包括但不限于：確定數據的分類分級初始值，制定數據分類分級指南。與提供數據的業務部門合作，確定數據的安全級別；綜合考慮法律法規、政策、標準、數據分析技術水平、組織所處行業特殊性等因素，評估數據安全風險，制定數據安全基本要求；對數據訪問進行授權；建立相應的數據安全管理監督機制，監視數據安全管理機制的有效性；數據安全執行者責任包含但不限于：根據數據安全管理者的要求實施安全措施；為數據安全管理者授權的相關方分配數據訪問權限和機制；配合數據安全管理者處置安全事件；記錄數據活動的相關日志。定期組織開展對數據開放、共享、交換、交易等過程的數據安全檢查；定期對數據使用者的數據安全防護能力進行評估。當發生重大數據安全事件時，數據管理組織應牽頭成立調查組對發生安全事件的相關方進行調查，調查組可以調閱、摘抄、復制與數據安全事件有關的資料，封存有關設備，進行調查取證；根據調查結果對相關數據提供、管理、運營及使用的相關方進行責任追究，責令限期整改；對造成重大損失或者社會影響的，責令暫停相關業務，涉及違法犯罪的由公安機關依法查處。數據安全審計者責任包含但不限于：定期審計數據安全的管理情況；出具數據安全審計報告。據安全管理者，確保風險有人負責處置過程，并對處置過程進行驗證。數據共享管理者責任包含但不限于：建立數據資源共享管理制度，負責數據資源目錄的編制、審核和維護；依據數據資源目錄審核歸集的數據資源，確保歸集數據合規性、準確性和完整性；牽頭制定數據分類分級標準，開展相關工作；牽頭制定數據使用的策略和規則，對數據使用者的數據共享申請進行審批；對數據使用者的分析數據結果輸出進行抽查。數據提供者數據提供者責任包括但不限于：向數據管理組織提供數據資源目錄；遵循“一數一源”和必要及最小化的原則采集數據，不宜重復采集通過共享方式獲取的數據資源；給出采集和提供數據的共享范圍、共享期限、共享用途和數據保存期限；對數據使用者提交的數據共享申請，根據履職需要和最小化原則，進行審批授權；對共享的數據設置對應的數據分類分級標簽；通過技術手段確保共享數據的完整性和一致性，并按照約定的頻率更新數據。數據使用者數據使用者責任包括但不限于：更新頻率等具體使用需求；不再對脫敏后的個人信息和敏感數據進行再識別；根據共享數據的保存期限進行數據銷毀工作；根據獲取到的共享數據的安全級別，采取相應等級的安全防護措施進行防護；根據業務需求對共享數據進行再次加工時，聯合數據管理者對加工后的數據進行識別和設置分類分級標簽，并采取相應等級的防護措施進行安全防護；完整記錄數據使用過程中的操作日志；明確數據使用的第一責任人。數據運營者數據運營者安全責任包括但不限于：進行書面安全承諾，承諾提供的產品和服務不包含惡意程序、隱蔽接口或未明示功能的模塊等；建立并執行針對產品和服務安全缺陷、漏洞的應急響應機制和流程，在發現提供的產品和服務存在安全缺陷、漏洞時，立即采取修復或替代方案等補救措施，及時告知用戶安全風險，并向數據管理者報告；收集用戶信息應明確告知收集用戶信息的目的、用途、范圍和類型，在用戶明示同意后，按照最少夠用原則收集實現產品和服務功能所需的最少用戶信息，并采取安全措施保護用戶信息的安全；產品和服務上線前應告知數據管理者上線計劃，并接受數據管理者或由數據管理者授權委托的服務方進行安全檢查；建立內部監督審計機制，對提供服務的人員進行監督和審計，簽訂保密協議，確保其不泄露用戶的業務數據；接受數據管理組織的安全監管工作，按監管要求提供相關交付件供數據管理者或監管服務方審核評估，并對通報的安全風險進行及時整改；根據數據管理者制定的安全策略和規則進行數據的訪問授權管理工作；APIAPIAPIAPIAPI對歸集的數據保留原始表，不做任何加工清洗，以滿足溯源、數據質量核查等需求；ETLETL提供數據同