33I III IV 1 1 1 2 2 2 3 3 3 3 4 4 4 4 4 5 5 5 5 5 6 6 6 6 6 7 7 7 7 8 8 8 8 8 8 9 9 9 10A.1現(xiàn)狀分析 10A.2建設(shè)內(nèi)容 10A.3建設(shè)成效 11 12 13 14 15 16請注意本標(biāo)準(zhǔn)的某些內(nèi)容可能涉及專利。本標(biāo)準(zhǔn)的發(fā)布機(jī)構(gòu)不承擔(dān)識別專利的責(zé)任。本標(biāo)準(zhǔn)由浙江省大數(shù)據(jù)發(fā)展管理局提出、歸口并組局、臺州市大數(shù)據(jù)發(fā)展管理局、麗水市大數(shù)據(jù)發(fā)展——公共數(shù)據(jù)分類分級指南（DB33/T2351—21公共數(shù)據(jù)安全體系建設(shè)指南本標(biāo)準(zhǔn)不適用于涉及國家秘密的公共數(shù)據(jù)及相關(guān)處GB/T37973信息安全技術(shù)大數(shù)據(jù)安全管理GB/T39477信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求DB33/T2350數(shù)字化改革術(shù)DB33/T2351公共數(shù)據(jù)分類分級GB/T25069、GB/T37973、GB/T394772用戶行為畫像userbehavior4總體原則及架構(gòu)4.1.1權(quán)責(zé)一致公共數(shù)據(jù)安全體系建設(shè)宜遵循誰收集誰負(fù)責(zé)、誰使用誰負(fù)責(zé)、誰運(yùn)行誰4.1.2分級管理4.1.3全程可控4.1.4持續(xù)優(yōu)化4.1.5協(xié)調(diào)發(fā)展4.2體系架構(gòu)35.1制度規(guī)范子體系架構(gòu)境等相關(guān)場景要求。可按照三級架構(gòu)建立公共數(shù)據(jù)安全制度規(guī)范5.2數(shù)據(jù)分類分級管理制度a)公共數(shù)據(jù)分類分級原則、要求、維度和方法等；b)公共數(shù)據(jù)分類分級操作指南和工作流程等；c)公共數(shù)據(jù)類別和級別的變更場景、變更申請審批流程及變更工作要求等；5.3數(shù)據(jù)訪問權(quán)限管理制度4c)公共數(shù)據(jù)訪問賬號權(quán)限分配、開通、使用、變更、重置、鎖定、注銷等的申請審批流程；d)具備超級管理員權(quán)限或數(shù)據(jù)批量復(fù)制、處理、導(dǎo)出和刪除等高風(fēng)險(xiǎn)操作權(quán)限賬號的安全要求5.4數(shù)據(jù)脫敏管理制度5.5數(shù)據(jù)共享和開放安全管理制度c)各類別和級別公共數(shù)據(jù)共享和開放的應(yīng)用場景；d)各類別和級別公共數(shù)據(jù)共享和開放的工作流程；5.6數(shù)據(jù)安全銷毀管理制度a)各類別和級別公共數(shù)據(jù)銷毀對象；b)各類別和級別公共數(shù)據(jù)銷毀場景；5.7供應(yīng)方安全管理制度a)供應(yīng)方引入的安全管理要求，包括資質(zhì)和背景安全審查等；5.8安全監(jiān)督檢查制度a)公共數(shù)據(jù)安全管理監(jiān)督檢查內(nèi)容；b)公共數(shù)據(jù)安全管理監(jiān)督檢查方式；5c)公共數(shù)據(jù)安全管理監(jiān)督檢查工作周5.9安全日志審計(jì)制度5.10安全事件管理與應(yīng)急響應(yīng)制度a)公共數(shù)據(jù)安全事件分類分級方法；c)各類別公共數(shù)據(jù)安全應(yīng)急預(yù)案編制及應(yīng)急演練工作要求等。——公共數(shù)據(jù)安全監(jiān)測與預(yù)警技術(shù)等。a)數(shù)據(jù)源統(tǒng)一鑒別技術(shù)；h)數(shù)據(jù)備份與恢復(fù)技術(shù)；6k)數(shù)據(jù)有效銷毀技術(shù)等。a)公共數(shù)據(jù)訪問權(quán)限集中認(rèn)證技術(shù)；b)公共數(shù)據(jù)訪問權(quán)限統(tǒng)一入口訪問；c)基于終端、網(wǎng)絡(luò)、系統(tǒng)、文件、數(shù)據(jù)b)接口安全監(jiān)測與預(yù)警技術(shù)；b)公共數(shù)據(jù)安全威脅的發(fā)現(xiàn)和識別；7——公共數(shù)據(jù)安全培訓(xùn)等。a)公共數(shù)據(jù)安全決策方：領(lǐng)導(dǎo)公共數(shù)據(jù)安全管理工作，負(fù)責(zé)公共數(shù)據(jù)安b)公共數(shù)據(jù)安全管理方：根據(jù)相關(guān)法律法規(guī)和制度規(guī)范要求，參考本指南建立公系（包括制度規(guī)范子體系、技術(shù)防護(hù)子體系和運(yùn)行管理子體系指導(dǎo)公共數(shù)據(jù)安全要求的c)公共數(shù)據(jù)安全執(zhí)行方：負(fù)責(zé)落實(shí)和配合公共數(shù)據(jù)安全管理工作；d)公共數(shù)據(jù)安全監(jiān)審方：對公共數(shù)據(jù)安全管理工作進(jìn)行監(jiān)督、檢查和審計(jì)，落實(shí)公共數(shù)據(jù)安全e)公共數(shù)據(jù)安全管理負(fù)責(zé)人：宜委任具備公共數(shù)據(jù)安全管理相為公共數(shù)據(jù)安全管理負(fù)責(zé)人，為其提供人力、技術(shù)宜建立基于數(shù)據(jù)資源目錄的分類分級運(yùn)行管理機(jī)b)公共數(shù)據(jù)訪問權(quán)限分配表建立和維護(hù)；g)高風(fēng)險(xiǎn)數(shù)據(jù)操作權(quán)限特殊管控工作等。宜建立公共數(shù)據(jù)共享和開放安全運(yùn)行管理機(jī)b)公共數(shù)據(jù)共享和開放接口上線前安全檢查；e)公共數(shù)據(jù)共享和開放渠道（如批量共享、接口共享、文件導(dǎo)出、郵件、網(wǎng)絡(luò)、終端等）的敏8a)對公共數(shù)據(jù)處理環(huán)境安全、公共數(shù)據(jù)訪問權(quán)限管理、公共數(shù)據(jù)共享和開放安全管理、公共數(shù)據(jù)銷毀管理、個(gè)人信息使用等重要環(huán)節(jié)的安全管理工作落實(shí)情況和效果的安全檢查；b)安全檢查問題通知和整改；8.1.2評估工作全流程包含確定評估范圍、組建評估團(tuán)隊(duì)、制定評估方案、實(shí)施評估、報(bào)告編制以及9a)初次系統(tǒng)性開展公共數(shù)據(jù)安全體系建設(shè)的；b)按照既定安全體系評估機(jī)制，周期性開展公共數(shù)據(jù)安全體系評估的；a)總體判斷評估對象的公共數(shù)據(jù)安全體系建設(shè)水平。評估結(jié)果可作為公共數(shù)據(jù)處理活動開展的b)研判公共數(shù)據(jù)安全體系風(fēng)險(xiǎn)隱患，發(fā)現(xiàn)公共數(shù)據(jù)安全防護(hù)的薄弱環(huán)節(jié)。針對評A.1現(xiàn)狀分析a)制度規(guī)范子體系。已制定出臺公共數(shù)據(jù)安全管理總則等綱領(lǐng)文件和公共數(shù)據(jù)安全銷毀管理、供應(yīng)方安全管理、安全事件管理與應(yīng)急響應(yīng)、公共數(shù)據(jù)脫敏管理、安全日志審計(jì)和監(jiān)督檢查等相關(guān)配套制度。公共數(shù)據(jù)分類分級管理、公共數(shù)據(jù)開放及共享管理、公共數(shù)據(jù)訪問權(quán)限管b)技術(shù)防護(hù)子體系。數(shù)據(jù)共享和開放安全技術(shù)能力、訪問權(quán)限管理技術(shù)能力、全生命周期安全c)運(yùn)行管理子體系。已具備安全管理負(fù)責(zé)人、安全日志監(jiān)審、安全培訓(xùn)等運(yùn)行管理，安全管理團(tuán)隊(duì)也基本形成。數(shù)據(jù)訪問權(quán)限運(yùn)行管理、安全監(jiān)督檢查的監(jiān)審方及監(jiān)審機(jī)制、安全事件應(yīng)A.2建設(shè)內(nèi)容A.2.1概述子體系三個(gè)方面開展，主要包括制定分類分權(quán)限管控、安全事件應(yīng)急響應(yīng)等運(yùn)行管理機(jī)制。具體包括三個(gè)方A.2.2優(yōu)化公共數(shù)據(jù)安全制度規(guī)范子體系A(chǔ).2.3提升公共數(shù)據(jù)安全技術(shù)防護(hù)子體系能力、數(shù)據(jù)動態(tài)脫敏能力，實(shí)現(xiàn)數(shù)據(jù)處理階段的安全；建立數(shù)據(jù)加密/脫敏、接口管控、血緣關(guān)系分析通過建立敏感數(shù)據(jù)監(jiān)測、安全風(fēng)險(xiǎn)監(jiān)測預(yù)警、通訊安全保密等能力，提升公共數(shù)據(jù)安全防護(hù)水平。A.2.4完善公共數(shù)據(jù)安全運(yùn)行管理子體系A(chǔ).3建設(shè)成效a)數(shù)據(jù)安全制度規(guī)范體系逐漸完善。現(xiàn)行規(guī)范制度覆蓋面、合理性、可操作性方面得到優(yōu)化，新增分類分級、公共數(shù)據(jù)開放及共享等制度規(guī)范，指導(dǎo)開展義數(shù)據(jù)安全責(zé)任、事項(xiàng)操作流程，細(xì)化分解數(shù)據(jù)安全評價(jià)b)數(shù)據(jù)安全防護(hù)技術(shù)能力提升。公共數(shù)據(jù)脫敏等技術(shù)應(yīng)用為數(shù)據(jù)安全流通提供了有效的安全處c)數(shù)據(jù)安全運(yùn)行管理體系優(yōu)化改進(jìn)。依托大數(shù)據(jù)平臺數(shù)據(jù)自動識別、數(shù)據(jù)標(biāo)識、數(shù)據(jù)多維展現(xiàn)大幅上升。依據(jù)數(shù)據(jù)權(quán)限授予最小化原則，梳理并重新定義數(shù)據(jù)管控權(quán)限，規(guī)避數(shù)據(jù)權(quán)限不清造成的風(fēng)險(xiǎn)隱患。應(yīng)急演練與應(yīng)急實(shí)戰(zhàn)常態(tài)化，檢驗(yàn)與調(diào)整優(yōu)化應(yīng)急響應(yīng)組織架構(gòu)、響應(yīng)等854Q301202106561243->854Q********64679001100413425->646Z*****LYAFR7OP3BC722222->***********7入7263002Y6091020864->7263***6727161662705304130->***********a)數(shù)據(jù)權(quán)限申請審批授予。按照數(shù)據(jù)權(quán)限分配、開通、使用、變更、重置、鎖定、注銷流程的b)數(shù)據(jù)權(quán)限常規(guī)性變更。針對人員離崗、人員崗位變動、系統(tǒng)迭代、系統(tǒng)下線等變更情況，及時(shí)進(jìn)行權(quán)限回收，更新數(shù)據(jù)權(quán)限清單，保證c)數(shù)據(jù)權(quán)限定期核查。按照季度進(jìn)行數(shù)據(jù)權(quán)限定期核查工作，對2021年第四季度數(shù)據(jù)權(quán)限核查結(jié)果記錄表a)事件判定。發(fā)現(xiàn)數(shù)據(jù)安全事件時(shí)（大數(shù)據(jù)平臺安全模塊告警、人工主動上報(bào)經(jīng)監(jiān)測工作件分級”標(biāo)準(zhǔn)初步判定信息安全事件等級，并向應(yīng)急協(xié)調(diào)小組報(bào)b)預(yù)案啟動。Ⅰ級和Ⅱ級事件(Ⅰ級最高）由應(yīng)急協(xié)調(diào)小組組長下達(dá)應(yīng)急預(yù)案啟動指令，并將事件情況上報(bào)監(jiān)管部門提供偵查、協(xié)助處理；Ⅲ級和Ⅳc)應(yīng)急處置。由應(yīng)急工作小組組長組織開展應(yīng)急處置工作并協(xié)調(diào)內(nèi)外部人員支撐，應(yīng)急工