《數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范》由會(huì)員分享��,可在線閱讀���,更多相關(guān)《數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范(7頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索���。
1�、
ICS點(diǎn)擊此處添加ICS號(hào)
點(diǎn)擊此處添加中國(guó)標(biāo)準(zhǔn)文獻(xiàn)分類號(hào)
?????
DB??
浙江省杭州市地方標(biāo)準(zhǔn)
DB XX/ XXXXX—XXXX
?????
數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范
點(diǎn)擊此處添加標(biāo)準(zhǔn)英文譯名
點(diǎn)擊此處添加與國(guó)際標(biāo)準(zhǔn)一致性程度的標(biāo)識(shí)
?????
XXXX-XX-XX發(fā)布
XXXX-XX-XX實(shí)施
????????發(fā)布
DBXX/ XXXXX—XXXX
目??次
前??言 II
1 范圍 1
2 規(guī)范性引用文件 1
3 術(shù)語(yǔ)和定義 1
4 監(jiān)管目的 1
5 監(jiān)管流程 2
5.1 監(jiān)管角色與職責(zé) 2
5.2
2����、監(jiān)管框架 2
6 監(jiān)管內(nèi)容 2
6.1 敏感數(shù)據(jù)監(jiān)管 2
6.2 特權(quán)賬號(hào)監(jiān)管 3
6.3 基礎(chǔ)設(shè)施監(jiān)管 3
7 實(shí)現(xiàn)方式 4
7.1 總則 4
7.2 人工機(jī)制 4
7.3 自動(dòng)機(jī)制 4
前??言
本標(biāo)準(zhǔn)按照GB/T 1.1-2009給出的規(guī)則起草。
本標(biāo)準(zhǔn)由杭州市數(shù)據(jù)資源管理局提出并歸口����。
本標(biāo)準(zhǔn)主要起草單位:杭州市數(shù)據(jù)資源管理局���、蕭山區(qū)數(shù)據(jù)資源管理局��、杭州安恒信息技術(shù)股份有限公司�。
本標(biāo)準(zhǔn)主要起草人:丁熙�����、郭鵬飛�����、齊同軍�����、章建平、夏鵬����、任子骙、樊興悅��、周俊����、孫茂陽(yáng)、肖國(guó)軍�。
4
數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范
1 范圍
本標(biāo)準(zhǔn)規(guī)范了杭州市數(shù)
3、據(jù)資源管理過(guò)程中數(shù)據(jù)安全監(jiān)管目的���、監(jiān)管流程��、監(jiān)管內(nèi)容和實(shí)現(xiàn)方式�����。
本標(biāo)準(zhǔn)適用于開(kāi)展數(shù)據(jù)安全監(jiān)管工作�����。
2 規(guī)范性引用文件
下列文件對(duì)于本文件的應(yīng)用是必不可少的��。凡是注日期的引用文件����,僅所注日期的版本適用于本文件。凡是不注日期的引用文件��,其最新版本(包括所有的修改單)適用于本文件�����。
GB/T 25069 信息安全技術(shù) 術(shù)語(yǔ)
DB3301T 0276-2018 政務(wù)數(shù)據(jù)共享安全管理規(guī)范
GB/T 37972《信息安全技術(shù) 云計(jì)算服務(wù)運(yùn)行監(jiān)管框架》
3 術(shù)語(yǔ)和定義
GB/T 25069界定的以及下列術(shù)語(yǔ)和定義適用于本文件�����。
3.1
數(shù)據(jù)活動(dòng)
指數(shù)據(jù)的收集���、存儲(chǔ)、加工�����、使用
4��、、提供�����、交易�����、公開(kāi)等行為�����。
3.2
安全監(jiān)管方
為保障數(shù)據(jù)安全而開(kāi)展安全監(jiān)控和審計(jì)的組織��。
3.3
被監(jiān)管方
進(jìn)行數(shù)據(jù)活動(dòng)的組織和人員�����。
3.4
交付件
對(duì)監(jiān)管活動(dòng)起到佐證作用的任何實(shí)體����,包括但不限于文檔、圖片�����、錄音、錄像��、實(shí)物��、數(shù)據(jù)等�����,并以紙質(zhì)��、電子等形式有效保存�。
3.5
特權(quán)賬號(hào)
特權(quán)賬號(hào)包括但不限于主機(jī)操作系統(tǒng)管理賬號(hào)、數(shù)據(jù)庫(kù)管理及運(yùn)維賬號(hào)����,中間件系統(tǒng)管理賬號(hào)��,網(wǎng)絡(luò)設(shè)備管理賬號(hào)��,安全系統(tǒng)和設(shè)備管理賬號(hào)及應(yīng)用系統(tǒng)內(nèi)嵌賬號(hào)��。
4 監(jiān)管目的
開(kāi)展數(shù)據(jù)安全監(jiān)管的目的是保障:
a) 數(shù)據(jù)安全保護(hù)工作持續(xù)滿足國(guó)家及省����、市相關(guān)法律法規(guī)����、行政命令���、政策和標(biāo)準(zhǔn)要
5�、求��;
b) 數(shù)據(jù)活動(dòng)安全風(fēng)險(xiǎn)可控����;
c) 安全監(jiān)管方能夠有效、及時(shí)掌握基礎(chǔ)設(shè)施的運(yùn)行質(zhì)量和安全狀態(tài)���。
5 監(jiān)管流程
5.1 監(jiān)管角色與職責(zé)
安全監(jiān)管包含兩個(gè)主要角色:
a) 安全監(jiān)管方���,應(yīng)對(duì)數(shù)據(jù)運(yùn)行各階段開(kāi)展安全監(jiān)控和審計(jì),對(duì)數(shù)據(jù)生命周期各階段可能存在的未授權(quán)訪問(wèn)�、數(shù)據(jù)濫用、數(shù)據(jù)泄漏等安全風(fēng)險(xiǎn)的防控��。
b) 被監(jiān)管方�,應(yīng)按照安全監(jiān)管要求提供相關(guān)交付件用于審計(jì)分析,收到相關(guān)安全風(fēng)險(xiǎn)通報(bào)后及時(shí)整改。
5.2 監(jiān)管框架
圖1 數(shù)據(jù)安全監(jiān)管框架
被監(jiān)管方應(yīng)對(duì)數(shù)據(jù)活動(dòng)過(guò)程中的敏感數(shù)據(jù)安全���、特權(quán)人員權(quán)限和基礎(chǔ)設(shè)施運(yùn)行落實(shí)相關(guān)管理和技術(shù)措施��,并為安全監(jiān)管方提供可證明的
6��、交付件�����,交付件可通過(guò)接口自動(dòng)獲取或人工手動(dòng)提交�。
安全監(jiān)管方應(yīng)對(duì)交付件進(jìn)行分析審核和評(píng)估驗(yàn)證等監(jiān)管活動(dòng)�,形成監(jiān)管結(jié)果。發(fā)現(xiàn)安全問(wèn)題時(shí)應(yīng)向被監(jiān)管方反饋結(jié)果���,必要時(shí)應(yīng)根據(jù)監(jiān)管結(jié)果給出合理的整改意見(jiàn)和建議���。
6 監(jiān)管內(nèi)容
6.1 敏感數(shù)據(jù)監(jiān)管
6.1.1 敏感數(shù)據(jù)級(jí)別標(biāo)簽監(jiān)管
結(jié)合國(guó)家法規(guī)標(biāo)準(zhǔn)與數(shù)據(jù)分類分級(jí)要求,判定敏感數(shù)據(jù)設(shè)置合法性與合理性���。
6.1.2 敏感數(shù)據(jù)傳輸監(jiān)管
確保敏感數(shù)據(jù)落實(shí)相應(yīng)等級(jí)的傳輸加密保護(hù),必要時(shí)可對(duì)安全通道方案�����、身份鑒別和認(rèn)證機(jī)制、數(shù)據(jù)加密算法進(jìn)行評(píng)估審核�。
6.1.3 敏感數(shù)據(jù)存儲(chǔ)監(jiān)管
確保敏感數(shù)據(jù)落實(shí)相應(yīng)等級(jí)的存儲(chǔ)加密手段,必要時(shí)可對(duì)數(shù)據(jù)庫(kù)配
7�����、置����、數(shù)據(jù)加密算法進(jìn)行評(píng)估審核。
6.1.4 敏感數(shù)據(jù)調(diào)用監(jiān)管
對(duì)敏感數(shù)據(jù)的訪問(wèn)行為進(jìn)行分析審計(jì)�,確保敏感數(shù)據(jù)調(diào)用合法合規(guī)。
6.1.5 敏感數(shù)據(jù)脫敏使用監(jiān)管
對(duì)敏感數(shù)據(jù)脫敏���、分析等數(shù)據(jù)操作行為進(jìn)行日志分析與流量分析審核����,確保敏感數(shù)據(jù)的使用符合申請(qǐng)需求����。
6.1.6 敏感數(shù)據(jù)銷毀監(jiān)管
對(duì)敏感數(shù)據(jù)的銷毀方式、審批記錄和銷毀過(guò)程進(jìn)行審計(jì)���,確保數(shù)據(jù)合規(guī)銷毀���。
6.2 特權(quán)賬號(hào)監(jiān)管
6.2.1 特權(quán)賬號(hào)操作監(jiān)管
分析評(píng)估特權(quán)賬號(hào)操作日志記錄����,重點(diǎn)監(jiān)管審計(jì)數(shù)據(jù)庫(kù)特權(quán)賬號(hào)對(duì)數(shù)據(jù)資源的增����,刪,改�,查。
6.2.2 特權(quán)賬號(hào)共享使用監(jiān)管
分析評(píng)估特權(quán)賬號(hào)的登錄/登出記錄���,防止特
8�����、權(quán)賬號(hào)被多人共享使用����。
6.2.3 特權(quán)賬號(hào)口令監(jiān)管
分析評(píng)估特權(quán)賬號(hào)的密碼強(qiáng)度�����,防止賬號(hào)密碼被輕易破解�。
6.2.4 特權(quán)賬號(hào)授權(quán)監(jiān)管
分析評(píng)估特權(quán)賬號(hào)的授權(quán)記錄,保障賬號(hào)權(quán)限“最小可用”��。
6.3 基礎(chǔ)設(shè)施監(jiān)管
6.3.1 基礎(chǔ)設(shè)施運(yùn)行監(jiān)管
對(duì)信息資產(chǎn)的日常運(yùn)行及使用狀態(tài)進(jìn)行安全監(jiān)管�����。
6.3.2 基礎(chǔ)設(shè)施合規(guī)監(jiān)管
開(kāi)展等級(jí)保護(hù)測(cè)評(píng)�、等級(jí)保護(hù)備案、個(gè)人信息保護(hù)規(guī)范等安全檢查���,確保被監(jiān)管方落實(shí)安全合規(guī)建設(shè)���。
6.3.3 安全管理措施監(jiān)管
檢查數(shù)據(jù)安全管理制度等文件,確保被監(jiān)管方制定相關(guān)數(shù)據(jù)安全目標(biāo)及規(guī)劃��。
6.3.4 技術(shù)防護(hù)措施監(jiān)管
通過(guò)滲透測(cè)試或安
9����、全眾測(cè)等方式,確保被監(jiān)管方安全防護(hù)措施的有效性�����。
6.3.5 安全事件處置監(jiān)管
對(duì)被監(jiān)管方安全通報(bào)的整改情況,應(yīng)急事件的響應(yīng)情況進(jìn)行監(jiān)管審計(jì)�,確保安全事件進(jìn)行有效處置。
7 實(shí)現(xiàn)方式
7.1 總則
安全監(jiān)管方應(yīng)通過(guò)有效�、準(zhǔn)確、及時(shí)的方式獲取數(shù)據(jù)安全監(jiān)管所需的交付件�,以便開(kāi)展對(duì)業(yè)務(wù)運(yùn)行狀態(tài)和安全風(fēng)險(xiǎn)進(jìn)行分析、評(píng)估����、審核、驗(yàn)證等監(jiān)管活動(dòng)�,實(shí)現(xiàn)方式包括人工機(jī)制和自動(dòng)機(jī)制。
7.2 人工機(jī)制
被監(jiān)管方按照約定的內(nèi)容與頻率�,以確定的非在線方式,向安全監(jiān)管方提交支撐運(yùn)行監(jiān)管活動(dòng)的相關(guān)交付件����。
7.3 自動(dòng)機(jī)制
7.3.1 被監(jiān)管方應(yīng)按照約定的內(nèi)容與頻率,以確定的在線方式���,向安全監(jiān)管方提交支撐運(yùn)行監(jiān)管活動(dòng)的相關(guān)交付件�。
7.3.2 安全監(jiān)管方應(yīng)通過(guò)搭建平臺(tái)或系統(tǒng)�����,實(shí)現(xiàn)相關(guān)交付件內(nèi)容的自動(dòng)分析處理與判斷。
7.3.3 被監(jiān)管方提交日志類型交付件時(shí)����,日志內(nèi)容應(yīng)包括但不限于事件主體�、事件客體、起止時(shí)間���,操作內(nèi)容和操作結(jié)果等元素�。
_________________________________
數(shù)據(jù)資源管理 政務(wù)數(shù)據(jù)安全監(jiān)管規(guī)范
