《【市场报告】公共数据安全评估规范(征求意见稿)_市场营销策划_重点报告20230901_doc.docx》由会员分享,可在线阅读,更多相关《【市场报告】公共数据安全评估规范(征求意见稿)_市场营销策划_重点报告20230901_doc.docx(92页珍藏版)》请在第一文库网上搜索。
1、ICS35.240.01CCS167DB4403深圳市地方标准DB4403TXXXXX-XXXX公共数据安全评估规范Assessmentspecificationofcommondatasecurity送审稿2023-XX-XX发布2023-XX-XX实施深圳市市场监督管理局目次前言III1范围12规范性引用文件13术语和定义14缩略语25概述25.1 评估原则25.2 评估职责25.3 安全能力评估维度3对评估体系35.5 评估方法35.6 评估适用情形45.7 评估对象和评估指标说明45.8 评估流程56通用管理安全评估56.1总体数据安全策略5U数据安全管理机构与人员6U数据安全管理制度
2、体系117通用技术安全评估137.1 数据分类分级保护137.2 数据安全评估157.3 数据安全风险监测17U数据安全管控197.5 数据安全应急处置237.6 数据安全审计258数据处理活动安全评估278.1 数据收集278.2 数据存储298.3 数据传输32U数据使用348.5 数据加工378.6 数据开放共享40U数据交易428.8 数据出境428.9 数据销毁与删除449整体评估469.1 概述469.2 评估子项间评估469.3 例外情况评估4610评估结论4710.1 安全风险分析和评价4710.2 评估结论判定47附录A(资料性)公共数据安全评估评分细则48附录B(资料性)高
3、风险项判例72附录C(资料性)常见威胁列表75附录D(资料性)公共数据安全评估报告模板78附录E(资料性)公共数据安全评估案例81参考文献87dJ-J1-B刖S本文件按照GB/T1.12023标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草。本文件由深圳市政务服务数据管理局提出并归口。本文件起草单位:深圳市信息安全管理中心、全知科技(杭州)有限责任公司、鹏城实验室、中国电子标准化研究院、金砖国家未来网络研究院中国分院、深圳市智慧城市科技发展集团有限公司、深圳国家金融科技测评中心有限公司、深圳赛西信息技术有限公司、蚂蚁科技集团股份有限公司、华为技术有限公司。本文件主要起草人:李苏、董
4、安波、罗菁春、林宇群、穆端端、赵剑、轩豪男、潘志斌、方兴、周顿科、魏凤玲、李佳雯、董亮、包亚鹏、林生锐、束建钢、何延哲、林桢、刘慧洋、王志、罗丰、吴祖顺、白晓媛、昌文婷、常新苗。公共数据安全评估规范1范围本文件规定了公共数据安全的总体概述、通用管理安全评估要求、通用技术安全评估要求、数据处理活动安全评估要求、整体评估与评估结论。本文件适用于公共管理和服务机构数据安全能力的评估,也适用于处理大量个人信息的服务平台数据安全能力的评估,各级公共数据主管部门、公共管理和服务机构可参照执行。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对
5、应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T222392019信息安全技术网络安全等级保护基本要求GB/T352732023信息安全技术个人信息安全规范GB/T379882019信息安全技术数据安全能力成熟度模型GB/T394772023信息安全技术政务信息共享数据安全技术要求DB4403/T2712023公共数据安全要求3术语和定义GB/T352732023、GB1T379882019DB4403/T271-2023界定的以及下列术语和定义适用于本文件。评估机构eva1uationorganization提供公共数据安全评估服务的机构,可为公
6、共管理和服务机构本身、第三方数据安全服务机构或数据统筹监管部门。被评估机构eva1uatedorganization在公共数据安全评估过程中,作为被评估角色的机构,主要为公共管理和服务机构,也可为处理大量个人信息的服务平台。数据场景datascenario为了达到特定业务目的而对数据进行处理和使用的场景,对场景下数据流向进行全链路分析,单个数据场景可能涉及多个机构及其业务系统。主责机构mainresponsib1eorganization评估对象为数据场景时,主责机构指场景涉及主要系统的责任部门。关联机构re1atedresponsib1eorganization评估对象为数据场景时,关联机构
7、指涉及场景相关处理活动的其他机构,如数据场景处理活动仅在主责机构内部,则不涉及关联机构。4缩略语下列缩略语适用于本文件:M:通用管理安全(Genera1ManagementSeCUrity)T:通用技术安全(Genera1TeChnoIOgySeCUrity)P:数据处理活动安全(DataProcessingActivitySecurity)BR:基本安全要求(BasicSecurityRequirements)TR:三级增强要求(1eve1ThreeEnhancementRequirements)FR:四级增强要求(1eve1FourEnhancementRequirements)DT:数据
8、子类或字段(DataSUbCIaSSOrFieId)SDK:软件开发工具包(SoftWareDeve1opmentKit)API:应用程序接口(APPIiCatiOnProgrammingInterface)5概述5.1 评估原则为规范公共数据安全评估工作,全面有效发现公共数据可能面临的各类安全风险,评估机构在评估过程中,应遵循下列原则,具体包括:a)公正客观原则评估机构在整体评估过程中,对评估对象数据安全保障措施进行公平客观的判定,不应受机构性质、评估对象、评估时间、评估人员、利益关系等任何因素影响而损害评估的公正及客观性;W最小影响原则评估机构在评估过程中,对评估对象的网络、业务、数据流转
9、等正常运行造成的影响应降低到最低,不因评估工作而导致业务连续性的中断;c) 可控性原则一一在评估过程中,评估机构应确保评估过程可管可控,使用的评估工具或技术手段,己经过实践验证,不存在安全隐患;d) 全面性原则一评估机构在评估过程应全面覆盖评估要点,基于评估要点对评估对象涉及的资产(如制度类文档、数据资产、软硬件资产、人力资源等)、数据处理活动各环节进行评估;e) 书面授权原则评估机构所开展的评估工作,包括评估对象、评估范围、方法、时间等,应得到被评估机构的正式书面授权,严禁未经授权的评估行为;f) 保密性原则一一评估机构及评估人员在评估前应与被评估机构签订数据安全相关保密协议,明确保密责任、
10、义务及争议条款,除法律要求或获得被评估机构同意外,评估人员在评估过程中获取的评估对象相关信息、过程文档等应严格保密,不得对外透露,以确保被评估机构的数据安全。5.2 评估职责评估机构负责为被评估机构提供公共数据安全评估服务,在得到被评估机构书面授权及签署数据安全相关保密协议后,应遵循公正客观原则开展评估工作,评估过程应不对被评估机构公共数据运营活动造成影响;被评估机构应向评估机构提供公共数据安全评估过程所需资源,包括但不限于文档、人员、网络等。5.3 安全能力评估维度评估机构对评估对象的数据安全能力进行评估,安全能力应分为以下4个维度:a)组织能力一一主要考察数据安全组织架构及人员的设立、职责
11、分工及沟通协作;W制度能力一一主要考察数据安全制度及流程建设完备性、可执行性、动态更新性;c)人员能力主要考察人员数据安全建设专业能力、工作执行落地情况;技术能力主要考察采取技术手段或自动化技术工具落实数据安全要求的能力。5.4 评估体系评估机构采用文档查阅、人员访谈、技术检测、系统核验等评估方法,对评估对象涉及的资产、数据处理活动各环节的数据安全保障措施合规情况进行评估。评估流程包括组建评估团队、确定评估对象及评估范围、评估对象调研、组织评估实施及评估报告编制。评估涵盖通用管理安全要求、通用技术安全要求及数据处理活动安全要求三方面。针对不同的安全等级选取相对应的安全要求进行评估。框架结构如图
12、1。安全能力评估维度安全要求评估维度图1公共数据安全评估框架注:评估对象涉及不同安全等级的数据类型且无法拆分评估时,依据评定的最高数据安全等级的安全要求开展评估,安全等级与安全要求的关系参见DB4403T271-2023o5.5 评估方法公共数据安全评估宜采取如下评估方法开展评估工作:a)文档查阅评估人员通过查看数据安全评估相关材料,如数据安全管理制度、业务安全保障措施技术材料、制度落地执行记录表单等,辅助验证是否符合相关安全要求;被评估机构应提前准备相关文档以供评估人员查阅;b)人员访谈评估人员与被评估机构相关人员进行交流、讨论、询问等,以初步验证数据安全要求的符合性,可结合其它评估方法,充
13、分验证数据安全保障措施的有效性;此评估方法通常在评估前期调研、评估过程中使用,访谈人员范围包含数据安全管理机构人员以及承载业务系统运行的应用、系统、网络相关人员等;c)技术检测评估人员对业务系统不同应用形态(如Web应用、移动应用程序、小程序、公众号等)、系统、网络等进行技术测试,以验证是否符合数据处理活动技术安全要求;通过由评估人员事先准备测试工具(如流量监测工具、扫描工具、渗透测试工具等)、业务注册或使用被评估机构准备的测试账号等以完成技术测试;系统核验由被评估机构人员根据评估人员的要求,上机核验被评估机构相关安全能力平台或业务数据处理活动各环节、数据操作日志记录等界面,此评估方法可直观验
14、证数据安全保障措施是否有效,被评估机构人员安排相关人员进行现场演示,评估人员根据演示结果判断安全要求的符合性。5.6 评估适用情形满足如下情形之一,应及时启动评估工作:a) 承载公共数据的业务系统上线前;b) 业务运营阶段,数据承载环境发生重大变更时,如数据处理技术模式变更、数据采集渠道变更、数据种类发生重大变化、批量数据共享对象变更、业务重大版本迭代、网络环境重大变更、数据存储系统升级改造、数据出境等;c) 行业主管部门要求时;d) 法律法规规定的其它情形。5.7 评估对象和评估指标说明业务系统、数据场景均可作为评估对象。评估机构针对选取的评估对象,确定评估指标,开展评估工作,并编制形成评估
15、报告。不同的评估对象适用于不同的评估指标,选取原则如下:a) 业务系统;D对业务系统进行评估时,根据其安全等级选取本文件第6至8章节相对应安全要求的评估指标进行评估,判别依据为被评估机构数据安全组织架构、人员配备、制度流程,技术能力及与该业务系统相关的资产、已有安全保护措施等。b) 数据场景;D对数据场景进行评估时,单个数据场景可能涉及多个机构及其业务系统,应划分主责机构和关联机构;2) 主责机构指数据场景主要系统的管理者,对该场景下处理的数据负主要责任,关联机构指与数据场景有关联关系,涉及该场景下数据处理活动中单个或多个环节的机构,对其涉及到的环节负关联责任;3)评估对象为数据场景时,主责机构和关联机构均需纳入评估范围,针对主责机构,应选取本文件第6至8章节的评估指标对其开展评估,针对关联机构,一个关联机构可能涉及该场景下单个或多个数据处理活动环节,应选取本文件第8章节中与该关联机构涉及数据处理活动环
免费区 
