《SZSD13 0005—2024公共数据 数据生命周期安全规范.docx》由会员分享,可在线阅读,更多相关《SZSD13 0005—2024公共数据 数据生命周期安全规范.docx(11页珍藏版)》请在优知文库上搜索。
1、ICS35.020CCS1.70SZSD数字山东工程标准SZSD1300052024公共数据数据生命周期安全规范Publicdata-SecurityspecificationofdataIitecycle2024-04-15发布2024-06-01实施临沂市大数据局发布前aIi1范第12规范性引用文件13术谱和定义14概述25总体原则6基本要求7各阶段安全要求7.1 公共数据采集7.2 公共数据传输7.3 公共数据存储74公共数据使用7.5 公共数据交换7.6 公共数据退役本文件按照GB/T1.120204标准化工作导则第1部分:标准化文件的结构和起草规则的规定起草.请注意本文件的某些内容可
2、能涉及专利.本文件的发布机构不承担识别专利的责任.本文件由临沂市大数据局提出、归井组税实施O本文件起草单位:运筹数据技术(临沂)市限公司、临沂市大数据中心、临沂市罗庄区大数据局。本文件主要起草人:于运程、解桂林、李小清、邓兰华、邓征启、上官相伟、卢彦梆、高蕾红、路敏敏.公共数据数据生命周期安全规范1范围本文件规定了公共数据的总体原则和基本要求,同时规定了公共数据生命周期包含的公共数据采集、传输、存谛、使用、交换和退役六个阶段的数据安全要求。本文件适用于指导临沂市公共数据管理者、公共数据提供单位和公共数据利用主体等在公共数据生命周期各阶段的数据安全管理工作.2规葩性引用文件卜列文件中的内容通过文
3、中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅注日期的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件.GB/T22239信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T352732020信息安全技术个人信息安全规范GB/T35274信息安全技术大数据服务安全能力要求GB/T35295信息技术大数据术语GB/T37973信息安全技术大数据安全管埋指陶GB/T37988信息安全技术数据安全能力成熟度模型GB/T39786信息安全技术信息系统密码应用基本要求JR/T0223金融数据安全数据生命周期安全规范DB37/
4、T3523.1公共数据开放第1部分:基本要求DB37/T3523.2公共数据开放笫2部分:数据脱敢指南DB37/T3523.3公共数据开放第3部分:开放评价指标体系DB3713/T261公技数据开放数据筋地管理规范3术语和定义下列术语和定义适用于本文件。公共数据publicdata公共数据提供单位在依法随行公共管理职无、提供公共服务过程中,收集和产生的各类数据,来源:DB3713/T261-2022.3.13.2数据生命周期dataIifcycle将原始数据转化为可用于行动的知识的一组过程。来源:GB/T35295-2017.2.1.23.3数据安全datasecurity通过管理和技术措施,
5、耕保数抵有效保妒和合规(史用的状态.来源:GB/T379882019,3.13.4公共数据管理者pubIicdataadministrator发粉国家、省市关于大数据发展的方针政策和决策部署.统筹管理油区公共致据资源的政务部门,一般指市线和县区级大数据局(大数据中心)来说DB3713/T2612022.3.53.5公共效据开放主体pubIicdataopenmainorganization国家机关、法律法规授权的,具有管理公共事务职能的各级组织,具有公共服务职能的企业事业单位,人民团体等公共数据提供碓位.来源:DB3713/T2612022,3.43.6公共数据利用主体PUbliCdataus
6、er依法依规获取各类公共数据的自然人、法人和其他组织.*:DB3713/T2612022,3.6,有修改4概述公共数据的生命周期主要包括公共数据采集、公共数据传输、公共数据存储、公共数据使用、公共数据交换和公共数据退役六个阶段,结构图见图1。IiJtfeiKXit今JttMlTl公共小兴T公共数就使阳T公扎&卅交换卜公共欣抠退快图1公共数盘生命周期结构图各阶段具体定义如下;公共数据采集;公共数据提供单位业务系统新产生数据,以及从外部系统收柒数据的阶段。在本阶段,公共数据提供单位因履职需要,采用Il接采集、委托第三方机构采集、协商等方式向公民、法人和其他组织获取有关数据.以及通过业务臻统、监测、
7、11.录音、录像等方式产生有关数据.公共数据传输;公共数据从一个实体通过网络或物理存储介质流动到处一个实体的阶段,涉及公共数据提供总位将公共数据传输归集到云平台、数据共享交换平台、大数据中心等,以及下侬部门将公共数据传输汇聚到上级部门等,公共数据存谛:公共数楙以任何数字格式进行物理存储或云存Wi的阶段.公共数据存谛涉及采柒数据存储、归集发聚后的数据存储、数据共享交换后的数据存储等。公共数据使用:公共数据管理者针财公共数据进行处理、计算、分析、可视化等操作的阶段,通常是对公共数据进行整合,形成基础数据窿和主区数据森,并进行大数据分析利用转化成公块数据产品或限务,公共数据交换:公共数据提供单位之间
8、或公共数据提供单位与公共数据利用主体进行数据共享、交换开放的阶段.公共数据共享通常是公共数据提供单位因救行职贵需要使用其他公共数据提供单位的公共数据,并为其他公共数据利用主体提供公共数据。公共数据交换通常是公共数据提供单位间或公共数据提供单位与公共数据利用主体进行数据交互;公共数据开放通常是公共数据开放主体通过数据开放平台向公共数据利用主体开放公共数据.公共数据退役:不再进行使用和交换的公共数据进入数据退役阶段,涉及公共数据管理者对公共数据的归档、转移、丢弃、箱55以及对存储介质的销毁处理等.特定的公共数据所经历的生命周期由实际的业务场景所决定,所彳!1的公共数据都会完整地没历前四个阶段。5总
9、体原则为规莅公共数据安全的茶本要求,防范和抵御公共数据可能面峪的各类安全风I%,各方在处理公共数据过程中,应遵循卜列原则,具体包括:a)合法正当原则:公共数据的管理和使用应符合法律法规和伦理规范,不应侵犯他人的合法权益,应确保公共数据生命刷期各阶段数据活动的合法性和正当性:b)权击明确原则:应明确各方公共数据安全管埋职费,各方应积极糙行相应职费,对公共数据的保密性、完整性、可用性和可追溯性负出;O目的明确原则:各方的公共数据处理活动应具有明确、清晰、具体的目的;d)明示同意原则:公共数据提供单位应拥有对其所提供数据的处理目的、方武、范阳等的知情权.公共数据利用主体在进行公共数据处理活动前应向公
10、共数据提供单位明示,并找得授权同意,法律、行政法嫂另有规定的例外情况,从其规定:6)最小必要原则;公共数据处理活动应仅处理可满足特定公共服务为目的所需的最少数证的公共数据:f公开透明原则:应以明确、易懂和合理的方式公开公共数据处理的范围、目的、规则等,并接受外部监督,法律、行政法规另有规定的例外情况,从其规定;8动态调整晚则:公共数据的安全管理原则和安全防护要求应携F业务需求、安全风险态势、利用主体行为等因素实施动态调整;h)全程可捽原则:应采取与公共数据安全级别相匹配的安全管控机制和安全防护措施.确保公共数据在生命周期各阶段的保密性、完祭性和可用性,避免公共数据在生命展期内被未授权访问、破坏
11、、篡改、泄蛛或丢失等.6基本要求公共数据基本要求如下:a)应建立完善的安全管理体系,包括安全策略、安全管理机构、安全贡任、安全审计、安全培训和演练等方面:b)的严格遵守相关法律法规和伦理规范不应侵犯第三方的合法权益:O承我公共数据的信息系统应按GB/T22239描述的基本要求,同步现划、建设、运营信息系统并对信息系统纲织开展定级莅案、等级测评、安全整改工作:d公共数据处理过程涉及的密码技术应按GB/T39786描述的密码应用基本要求执行。7各阶段安全要求71公共数据采集公共数据采集阶段要求如下:a)应设立公共数据采集安全管理的词位,由任职于该岗位的人员倒货制定相关的公共数据采嬖安全管理的制度.
12、推动相关要求、流程的落地,并对具体业务或项目的风险评估提供咨询和支持:b)应按照规定的采集方式采集公共数据,如直接采集、委托第三方机构采集或拧协商的方式采集.也可通过业务系统、监测、测班、录音、录像等方式产生有关数据,应遵守保护国家秘密、商业秘密和个人隐私的相关规定:c应对公共数据采集来源进行席别和记录,确保数据采集来源的合法性、正当性,明确数据类型及采集秦道、目的、用途、范围、频度、方式等:d)果泉外部系统数据前,应对数据采集过程中的河络环境、系统进行安全评估,确保采集数据的机密性、完整性和可用性:e)应明确数据安全元数据笆理要求,如口令策珞、权限列表、授权境略等;f)应按照科学的原则和方法
13、对公共数据进行数据分类和安全定级:K)涉及个人信息的,应按照GB/T352732020中5.1至5.6规定的要求开展数据采集工作.72公共数据传输公共数据传旅阶段要求如下:a)应设立公共数据传输安全管理的岗位,由任职于该岗位的人员负贲制定相关的公共数据传输安全管理的制度,推动相关要求、流程的落地,并对具体业务或项目的风哙评估提供咨询和支持:b)应设立专门的网络可用性管理部门,由该部门人员来处理和解决公共数据传输过程中网络故障和维护网络的正常运行,降低网络故障或痹痪可能性,同时网络和业务恢复时间应处在可捽范用之内,保障数据在网络中传输的他定性:O应在不同网络环境之间设置防火墙、入侵检测等安全防御
14、措脩来维护网络边界安全,以确保不同安全级别的网络相连接的安全性:防止未经授权的网络流求、恶建程序和攻击者进入网络破坏公共数据;d应明确公共数据传输安全管理规范、传输安全要求(如传输通道加密、数据内容加密、签名胶器、身份鉴别、数据传输接口安全等),确定需要对数招传输加密的场景:e应对公共数据传输两端进行身份鉴别,确保数据传输双方可信任:f应采用校验技术保证公找数据在传输过程中的完整性;g应通过网络电洲设脩以及按照府络层数据防泄漏设备的备份建设,实现网络的高可用性,以保证公共数据传谕过程中的稳定性:h)我要数据不应通过国线或即时通信方式传输:i)在可能涉及法律货任认定的应用中,应采用密码技术提供数
15、据原发证据和数据接收证据,实现数据原发行为的抗抵籁和数据接收行为的抗抵赖。7.3 公共数据存修公共数据存储阶段要求如下:a)应设立公共数据存储安全管理的岗位,由任职于该岗位的人员确定加密原则和技术工作,指导技术团队负货实现具体场景卜的数据存储加密;b)应确保公共数据存储设备或公扶数据存储媒介(如硬盘飘动器、固态硬盘、ISB闪存舞动器等)安全,并根据具体的应用场景和使用衢求进行选择:c)应明确公共数据存储相关安全管控指的.如加密、访问控制、数字水印、完整性校脸等:d)应明确公共数据备份与恢复安全策略,应建立公共数据备份与恢亚操作规程.说明数据名份周期、得份方式、花份地点:应建立数据恢登性脸证机制,保障数据的可用性与完整性:e)应对公火数据进行异地备份,1匈保必要时可进行实时切换;f)个人生物识别信息应与个人身份信息分开存储,原则上不应存储原始个人生物识别信息(如样本、图像等).仅存储个人生物识别信息的摘要信息:g)个人信息存储期限应为实现个人信息主体授权使用目的所必需的蜃短时间,法律法规另有规定或者个人信息主体另行授权同意的除外,超出个人信息存
免费区 