ICS35.020CCSL092201GuidelinesformanagementresponsibilityofgovernmentdatasecurityIDB2201/T18—2022本文件按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》的規定起草。本文件的某些內容可能涉及專利，本文件的發布機構不承擔識別專利的責任。本文件由長春市政務服務和數字化建設管理局提出并歸口。本文件主要起草單位：長春市政務服務和數字化建設管理局、杭州安恒信息技術股份有限公司。本文件主要起草人：劉競雄、丁慧東、柳羽輝、戚志軍、孟紅月、劉爍、冷皓、吳晨、吳怡、金曉靂、王振斌。1DB2201/T18—2022政務數據安全管理責任指南本文件規定了政務數據安全涉及的數據管理相關方、數據管理組織、數據提供者及數據運營者的管理責任。本文件適用于政務數據安全的管理責任工作。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069信息安全技術術語GB/T35295信息技術大數據術語3術語和定義GB/T25069和GB/T35295界定的以及下列術語和定義適用于本文件。服務第三方thirdpartyserviceprovider提供相關數據管理服務的供應方。數據管理組織Datamanagementorganization政府賦予數據管理職能的組織。數據血緣DataLineage數據在產生、傳輸、存儲、處理、交換到銷毀的全生命周期過程中，數據之間形成的可追溯的關聯關系。根據數據安全審計的要求，對數據本身以及與其形成過程安全相關的內部控制和流程進行檢查、評價，并發表審計意見。4縮略語23DB2201/T18—2022數據安全審計者責任包含但不限于：a)審計數據活動的主體、操作及對象等相關屬性，確保數據活動的過程和相關操作符合安全要求；b)定期審計數據安全的管理情況；c)出具數據安全審計報告。d)監督和推動各方對審計結果進行確認、整改、復測、關閉；對審計中的高危風險及時匯報給數據安全管理者，確保風險有人負責處置過程，并對處置過程進行驗證。數據共享管理者責任包含但不限于：a)建立數據資源共享管理制度，負責數據資源目錄的編制、審核和維護；b)依據數據資源目錄審核歸集的數據資源，確保歸集數據合規性、準確性和完整性；c)牽頭制定數據分類分級標準，開展相關工作；d)牽頭制定數據使用的策略和規則，對數據使用者的數據共享申請進行審批；e)對數據使用者的分析數據結果輸出進行抽查。7數據提供者數據提供者責任包括但不限于：a)向數據管理組織提供數據資源目錄；b)遵循“一數一源”和必要及最小化的原則采集數據，不宜重復采集通過共享方式獲取的數據資源；c)給出采集和提供數據的共享范圍、共享期限、共享用途和數據保存期限；d)對數據使用者提交的數據共享申請，根據履職需要和最小化原則，進行審批授權；e)對共享的數據設置對應的數據分類分級標簽；f)通過技術手段確保共享數據的完整性和一致性，并按照約定的頻率更新數據。8數據使用者數據使用者責任包括但不限于：a)基于業務場景向數據提供者或數據管理者申請數據共享，明確數據的使用目的、范圍、期限、更新頻率等具體使用需求；b)不再對脫敏后的個人信息和敏感數據進行再識別；c)根據共享數據的保存期限進行數據銷毀工作；d)根據獲取到的共享數據的安全級別，采取相應等級的安全防護措施進行防護；e)根據業務需求對共享數據進行再次加工時，聯合數據管理者對加工后的數據進行識別和設置分類分級標簽，并采取相應等級的防護措施進行安全防護；f)完整記錄數據使用過程中的操作日志；g)明確數據使用的第一責任人。9數據運營者數據運營者安全責任包括但不限于：4DB2201/T18—2022a)進行書面安全承諾，承諾提供的產品和服務不包含惡意程序、隱蔽接口或未明示功能的模塊b)建立并執行針對產品和服務安全缺陷、漏洞的應急響應機制和流程，在發現提供的產品和服務存在安全缺陷、漏洞時，立即采取修復或替代方案等補救措施，及時告知用戶安全風險，并向數據管理者報告；c)收集用戶信息應明確告知收集用戶信息的目的、用途、范圍和類型，在用戶明示同意后，按照最少夠用原則收集實現產品和服務功能所需的最少用戶信息，并采取安全措施保護用戶信息的安全；d)產品和服務上線前應告知數據管理者上線計劃，并接受數據管理者或由數據管理者授權委托的服務方進行安全檢查；e)建立內部監督審計機制，對提供服務的人員進行監督和審計，簽訂保密協議，確保其不泄露用戶的業務數據；f)接受數據管理組織的安全監管工作，按監管要求提供相關交付件供數據管理者或監管服務方審核評估，并對通報的安全風險進行及時整改；g)根據數據管理者制定的安全策略和規則進行數據的訪問授權管理工作；h)提供服務API的用戶鑒別、鑒權和訪問控制的能力，并支持服務API的調用日志記錄和外發；采取措施保障服務API自身的安全性，確保服務API具備防重放、代碼注入、拒絕服務攻擊等攻擊防護能力；提供服務API過載保護的能力，實現不同服務等級用戶間業務的公平性和系統整體性處理能力的最大化。i)對歸集的數據保留原始表，不做任何加工清洗，以滿足溯源、數據質量核查等需求；j)提供數據ETL服務的應根據質量規則進行標準化處理，并通過技術手段保障數據的一致性。對所有的ETL過程應記錄日志，并可提供給第三方進行審計；k)提供數據同步服務的通過技術手段保障數據同步過程的一致性，記錄數據同步過程的所有日志，并可提供給第三方進行審計；l)提供數據分析計算服務的應配合數據管理者或數據使用者對新生成的數據進行識別和設置分類分級標簽。5DB