《川渝政务数据风险评估指南.docx》由会员分享,可在线阅读,更多相关《川渝政务数据风险评估指南.docx(23页珍藏版)》请在第一文库网上搜索。
1、四川省市场监督管理局重庆市市场监督管理局发布DB51ICSCCS川渝地区地方标准DB51TXXXX-2023DB50/TXXXX-2023川渝政务数据风险评估指南(征求意见稿)XXXX-XX-XX实施XXXX-XX-XX发布目录目录2前言3引言41范围52规范性引用文件53术语和定义54政务数据风险评估工作概述65政务数据风险评估工作实施11附录A(资料性)自评估和检查评估实施步骤17附录B(资料性)典型数据安全风险类别18附录C(资料性)政务数据风险评估报告模板20附录D(资料性)政务数据安全工作评估得分表模板21参考文献22本文件按照GB/T1.1-2023标准化工作导则第1部分:标准化文
2、件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由四川省大数据中心、重庆市大数据应用发展管理局联合提出、归口并组织实施。本文件起草单位:四川省发展和改革委员会、四川省互联网信息办公室、重庆市互联网信息办公室、四川省大数据中心、重庆市大数据应用发展管理局、四川省标准化研究院、国家计算机网络与信息安全管理中心四川分中心、中电科网络安全科技股份有限公司。本文件主要起草人:魏杰、赵衍、李蒙、李坪芮、余靖浊、周立、黄智勇、高屹嵩、李贝贝、牛濒等。本文件为首次制定发布。政务数据风险评估是政务数据安全保障体系的重要环节,主要针对政务数据处理者的政
3、务数据和政务数据处理活动进行风险评估,区别于相关部门针对数据处理活动违法违规所进行的执法检查,风险评估旨在掌握政务数据安全总体状况,发现政务数据安全隐患,提出政务数据安全管理和技术防护措施建议。结合川渝地区实际,规范政务数据风险评估工作流程,明确政务数据风险评估各阶段的实施要点和工作方法,进一步提升保障能力,制定本评估指南川渝政务数据风险评估指南1范围本文件规范提出了四川省、重庆市行政区域内开展政务数据风险评估的基本概念、要素关系、分析原理、实施流程、评估内容等。本文件适用于指导四川省、重庆市各级政务部门开展政务数据风险自评估,同时适用于政务数据处理者、第三方开展政务数据风险评估,也可供主管监
4、管部门实施政务数据风险评估时参考。本文件适用于不涉及国家秘密的政务数据资源。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T20984-2023信息安全技术信息安全风险评估方法GB/T21063.4-2007政务信息资源目录体系第4部分:政务信息资源分类GB/T250692023信息安全技术术语GB/T37988-2023信息安全技术数据安全能力成熟度模型GB/T39335-2023信息安全技术个人信息安全影响评估指南TC260-PG-
5、20231A网络安全标准实践指南一网络数据安全风险评估实施指引DB51/T3056-2023政务数据数据分类分级指南DB51/T3058-2023政务数据数据脱敏规范3术语和定义GB/T25069、DB51/T3056-2023、DB51/T3058-2023界定的以及下列术语和定义适用于本文件。3.1政务数据governmentaffairsdata各级政务部门及其技术支撑单位在履行职责过程中依法采集、生成、存储、管理的各类电子数据资源。3.2政务数据处理活动governmentaffairsdataprocessingactivities政务数据收集、存储、使用、加工、传输、提供、公开、出
6、境、删除等活动。3.3政务数据处理者governmentaffairsdataprocessor政务数据处理者是指在政务数据处理活动中自主决定处理目的和处理方式的各级政务部门、软件和信息技术服务企业等政务领域各类主体。3.4政务数据安全governmentaffairsdatasecurity通过采取必要措施,确保政务数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。3.5政务数据安全风险governmentaffairsdatasecurityrisk由于开展政务数据处理活动不合理、缺少有效的数据安全措施等,导致数据安全事件的发生的可能性及其对国家安全、公共利益或者组织、个人
7、合法权益造成的影响。3.6政务数据风险评估governmentaffairsdatariskassessment对政务数据和政务数据处理活动的安全风险和违法违规问题进行检测评估的过程。3.7合理性rationa1ity是指政务数据处理活动遵守法律、法规,尊重社会公德和伦理,遵守商业道德和职业道德,诚实守信,不危害国家安全、公共利益,不得损害个人、组织的合法权益。3.8安全措施securitymeasure保护政务数据和政务数据处理活动、抵御数据安全风险事件而实施的各种安全管理和技术实践、规程和机制。3.9业务business组织为实现某项发展战略而开展的运营活动,该活动具有明确的目标,并延续一
8、段时间。3.10风险源risksource可能导致危害政务数据和政务数据处理的保密性、完整性、可用性和合理性等安全事故的原因、条件、情形或行为。注:风险源,既包括安全威胁利用脆弱性可能导致政务数据安全事件的风险源(简称为“政务数据安全风险源”),也包括政务数据处理活动不合理操作可能造成违法违规处理事件的风险源(简称为“违法违规处理风险源”)。4政务数据风险评估工作概述4.1 评估思路政务数据风险评估坚持预防为主、主动发现、积极防范,要对政务数据处理者的数据和数据处理活动中可能影响政务数据保密性、完整性、可用性和政务数据处理活动合理性的安全风险进行分析和评价。政务数据安全风险评估的评估思路如图1
9、所示。政务数据安全风险评估,主要围绕政务数据和政务数据处理活动,聚隹可能影响政务数据的保密性、完整性、可用性和数据处理合理性的安全风险。首先通过信息调研识别政务数据处理者、业务和信息系统、政务数据资产、政务数据处理活动、安全防护措施以及网络安全等级保护测评、密码应用安全评估等国家法律法规、强制性国家标准等文件要求的检测评估工作情况等相关要素然后从政务数据安全管理、政务数据处理活动、政务数据安全技术、个人信息保护、检测评估结果等方面进行风险评估,从国家安全、公共利益、行业组织或个人合法权益等方面综合分析,最后梳理风险问题清单和风险评估报告,并给出整改建议。政务数据风险评估涉及政务数据、政务数据处
10、理活动、业务、安全措施、政务数据安全风险等基本要素,如图2所示,此图不涉及流程顺序,仅展示要素间关系。a)政务数据是核心要素,具有数据价值等属性,数据价值将影响数据安全风险的危害程度。b)政务数据和政务数据处理活动是政务数据安全风险评估的评估对象。c)业务需要依托信息系统的支撑,可能涉及一个或多个信息系统。d)信息系统包含多个政务数据处理活动,信息系统是政务数据的载体。e)政务数据在流转过程中涉及一个或多个政务数据处理活动,政务数据处理活动应遵循数据安全法律法规要求。f)安全措施用于保护政务数据安全,能降低数据安全风险源发生的可能性。g)政务数据和政务数据处理活动作为评估对象,可能存在风险源,
11、风险源可能引发数据安全风险,数据安全风险将对政务数据和政务数据处理活动有潜在影响。4.2 评估适用情形核心数据的界定和保护要求按照国家相关文件执行。符合以下情形之一的政务数据处理者,需结合实际情况开展政务数据风险评估:a)党政机关、事业单位、国有企业等涉及重要数据、关键信息基础设施运营、100万人以上个人信息、大型互联网平台运营的政务数据处理者,宜每年至少开展一次政务数据风险评估;b)政务数据处理者在重要数据共享、交易、委托处理或向境外提供前,应开展政务数据风险评估;c)政务数据处理者开展高风险政务数据处理活动前,宜开展政务数据风险评估。风险评估工作是持续性的活动,当评估对象的政策环境、外部威
12、胁环境、业务目标、安全目标等发生变化时,应重新开展风险评估。4.3 评估内容框架政务数据风险评估内容,既包括涉及政务数据处理者、业务和信息系统的基本情况调研,也包括处理的政务数据、开展的政务数据处理活动情况识别,还包括政务数据处理活动、政务数据安全管理、政务数据安全技术、个人信息保护、重要数据处理等方面的评估内容,评估内容框架如图3所示。IIIH四国j司I使用和口工IM1询,回回M风险识别政务数据制度流程管理组织分类分级投诉举报安全管理J风险识别人员安全管理合作方管理安全应急政务数据安全措施评估身份整别与访同控制安全监控与审计政务颤据防泄温政务数据脱敏政务数据接口安全合法诚信正当必要公开透明个
13、人信息主体权利负责人和管理机构个人信息处理风险识别一般个人信息处理敏感个人信息处理个人信息同意个人信息安全义务移动互联网应用程序个人信息保护评估重数处风识要据理险别年度风险评估安全应急人员培训安全措施11提供安全图3政务数据风险评估内容框架图4.4评估实施流程政务数据风险评估实施流程,主要包括评估准备、政务数据和政务数据处理活动识别、风险识别、风险分析与评价、评估总结五个阶段,如图4所示。阶段具体工作主要产出物I评估准备1确定评估目标及范困2 .组建评估团队3 .开展前期调研4,确定评估规则5 .制定评估方案评估方案前期调研记录政务数据和政务数据处理活动识别1.识别处理的政务数据及其分类分级2
14、.识别政务数据处理活动政务数据情况清单政务数据处理活动清单风险识别1 .已开展测评T作结论分析2 .政务数据处理活动风险识别3 .政务数据安全管理风险识别4 .政务数据安全技术风险识别5 .个人信息处理风险识别6 .必要数据处理风险识别政务数据安全风险评估记录风险分析与评价1政务数据安全风险分析2 .政务数据安全风险评价3 .安全风险等级判定政务数据安全风险清单评估总结1 .编写评估报告及评估得分2 .安全风险处置及开放共享建议图4政务数据风险评估实施前椰政务数据安全评估报告94.5 评估工作形式从实施主体来区分,政务数据风险评估分为自评估和检查评估,具体实施步骤可参考附录A。自评估是指四川省
15、、重庆市各级政务部门根据政务数据风险评估适用情形自行发起对政务数据资产和政务数据应用场景的评估,自评估可以指定内部专门负责评估、审计的岗位或角色开展,也可以委托外部专业机构开展评估工作。检查评估是指四川省、重庆市各级政务部门的上级监管单位发起的政务数据风险评估工作,上级监管单位是指有直接领导关系或负有监督管理责任的部门,也可以委托第三方专业机构开展评估。4.6 评估手段开展数据安全风险评估时,综合采取人员访谈、文档查验、安全核杳和技术检测等手段进行评估。5政务数据风险评估工作实施5.1 评估准备5.1.1 确定评估目标及范围明确政务数据风险评估的目标,根据评估目标确定政务数据风险评估的对象、范围和边界,明确评估涉及的政务数据资产、政务数据处理活动、业务、信息系统、
免费区 
