ICS35.020 CCSL70DB3212 泰州市地方标准 DB3212/T1118—2022 政务数据共享与开放安全管理规范 Governmentdataopeningandsharingmanagementstandard 2022-12-28发布 2022-12-28实施 泰州市市场监督管理局发布 DB3212/T1118—2022 I前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规 定起草。 本文件由泰州市大数据管理局提出。 本文件由泰州市大数据管理局归口。 本文件起草单位：泰州市大数据管理局、泰州市标准化院。 本文件主要起草人：赵文涛、刘小芳、梁鑫晨、陈书剑、孙慧、王小冬、许鑫、施驰乐、吴薇、陈 蓝生、李海鹏、张婧娴、王友成、郭健。 DB3212/T1118—2022 1政务数据共享与开放安全管理规范 1范围 本文件规定了政务数据共享与开放安全管理规范的总则、基本要求、组织管理、数据生命周期安全 等要求。 本文件适用于泰州市政务数据的共享与开放。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T25058信息安全技术网络安全等级保护实施指南. GB/T31722信息技术安全技术信息安全风险管理 GB/T35273信息安全技术个人信息安全规范 GB/T36073数据管理能力成熟度评估模型 GB/T36344—2018信息技术数据质量评价指标 GB/T39295—2017信息技术大数据术语 GM/T0054信息系统密码应用基本要求 3术语和定义 GB/T39295—2017界定的以及下列术语和定义适用于本文件。 3.1 政务数据governmentdata 各级政务部门在履行职责过程中依法采集、生成、存储、管理的各类数据资源。 注：根据可传播范围，政务数据一般包括可共享政务数据、可开放公共数据及不宜开放共享政务数据。 3.2 政务数据共享governmentdatasharing 各级政务部门因履行职责需要，使用其他政务部门的政务数据以及为其他政务部门提供政务数据的 行为。 3.3 政务信息资源目录governmentinformationresourcecatalog 通过对政务信息资源依据规范的元数据描述，按照一定的分类方法进行排序和编码的一组信息。 注：一般用以描述各个政务信息资源的特征，以便于对政务数据的检索、定位与获取。 3.4 政务数据开放governmentdataopening 政务部门在安全保密、公共利益导向前提下，面向公民、法人和其他组织以非排他形式提供政务数 据的行为。 3.5 数据安全datasecurity 通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 4总则 DB3212/T1118—2022 24.1政务数据共享与开放安全管理采取主动防御、综合防范方针，坚持保障政务数据安全与促进应用 发展相协调、管理与技术并重的原则，实行统一协调、分工负责、分级管理。政务数据管理相关方数据 安全和信息化工作应同步规划、同步建设、同步运行。 4.2政务数据共享与开放安全要求包括基本要求，组织管理、数据生命周期安全。各参与方应根据自 身角色和责任遵照执行。 4.3支撑政务数据共享的平台基础设施应符合附录A的要求。 5基本要求 5.1数据安全策略与规程 5.1.1应制定满足业务需求的安全策略，明确安全方针、安全目标和安全原则。 5.1.2应基于安全策略，建立相关的制度规程，形成以数据为核心的体系化数据安全制度体系。 5.1.3应明确制度和规程分发机制，确保制度和规程分发至组织的相关部门、岗位和人员。 5.1.4应建立策略、规程的评审和发布流程，明确适当的频率和时机对策略和规程进行更新，以确保 其持续的适宜性和有效性。 5.2数据供应链管理 5.2.1应建立数据提供者、数据使用者、数据运营者安全管理规范，定义数据安全目标、原则和范围， 明确数据提供者、数据使用者、数据运营者的安全责任和义务，并建立监督审核机制。 5.2.2与数据提供者、数据使用者、数据运营者签署协议，明确数据的使用目的、供应方式、保密约 定等。 5.2.3应委托独立的运行监管方，对数据提供者、数据使用者和数据运营者的行为进行相关记录，利 用技术工具对数据提供者、数据使用者和数据运营者的行为进行合规性审核与监督。 5.2.4应建立完整的数据供应链和相关数据字典规则库，自动监测实际数据流动情况，实时分析数据 流向与数据供应链遵循情况，发现异常并自动报警和阻断。 5.3元数据管理 5.3.1应建立数据服务元数据语义统一规范和管理规则，如口令策略、权限列表、授权策略。 5.3.2应建立元数据访问控制策略，明确元数据管理角色及其授权控制机制，并通过技术手段实现对 元数据管理角色的授权和访问管理。 5.3.3应建立元数据操作审计制度，根据审计制度要求，采集元数据操作日志，确保元数据操作的可 追溯。 5.3.4应保证元数据的一致性和连续性，避免元数据错乱。 5.3.5应建立统一的元数据管理平台，将各领域的元数据通过集中的平台进行提供。 5.4运行监管 5.4.1应制定数据生命周期各阶段数据访问和操作的日志记录规范要求和监管要求。 5.4.2应根据日志记录规范和监管要求，对数据采集、传输、存储、处理、交换、销毁等过程进行有 效的日志记录，实现政务数据共享全链路的可追溯。 5.4.3应建立统一的数据访问和操作的日志记录和分析技术工具，该技术工具可对各类数据访问和操 作的日志进行统一的处理和分析，实现对数据异常访问和操作的告警，实现对数据滥用、违规使用、缔 约过失、越权使用等行为的识别、监控、预警和追责。 5.4.4应对数据运营者实施的安全控制措施、变更管理、应急响应等进行持续监管，通过技术措施或 文件审核等方式对数据运营者承诺的安全控制项进行评估验证。 5.4.5应建立针对敏感数据的动态可持续的数据风险监管体系，周期性的对敏感数据的脆弱性、面临 的安全威胁、安全措施的有效性等内容进行风险评估。 5.5终端数据管理 5.5.1应制订面向终端的数据安全管理规范，明确终端层面的数据防泄漏管理要求。 DB3212/T1118—2022 35.5.2应建立并实施整体的终端安全解决方案，实现终端设备与组织机构内部员工的有效绑定，按照 统一的部署标准在终端系统上安装各类防控软件（如防病毒、硬盘加密、终端入侵检测、终端防泄漏等 软件），对终端系统上的数据进行风险监控。 5.5.3应采用身份鉴别、访问控制等手段对打印输出设备进行安全管控，并对用户账户在该终端设备 上的数据操作进行日志记录。 5.6数据防泄漏 5.6.1应建立数据防泄露规范，明确需要进行数据泄露防护处理的应用场景和处理方法。 5.6.2应支持基于终端使用、动态传输、静态存储的综合数据泄露防护机制。 5.6.3应限制批量修改、拷贝、下载等操作的权限。 5.6.4应提供数据防泄漏处理过程的日志记录，满足数据防泄漏处理安全审计要求。 6组织管理 6.1政务数据管理相关方 6.1.1政务数据管理相关方包括：政务数据安全管理组织、政务数据提供者、政务数据使用者、政务 数据运营者。 6.1.2政务数据安全管理组织应履行政务数据安全管理、安全执行、安全审计、政务数据共享开放管 理的职责： a)政务数据安全管理者负责数据安全相关领域和环节的决策，制定并审议数据安全相关制度，监 督执行和组织落实业务部门数据安全相关工作； b)政务数据安全执行者负责数据安全相关领域和环节工作的执行，制定数据安全相关细则，落实 各项安全措施，配合数据安全管理者开展各项工作； c)政务数据安全审计者对安全策略的适当性进行评价，帮助检测安全违规，并生成安全审计报告； d)政务数据共享开放管理者对数据共享交换等平台和过程进行管理，执行政务数据安全管理者分 配的工作任务。 6.1.3政务数据提供者是参与政务数据在开放、共享、交换、交易等过程的采集数据进行处理的人员 或组织。 6.1.4数政务据使用者在开放、共享、交换、交易等过程中获取政务数据的人员或组织。 6.1.5政务数据运营者是依法依规对政务数据在开放、共享、交换、交易等过程中进行控制的人员或 组织。 6.2政务数据管理组织 6.2.1政务数据安全管理者责任包括但不限于： a)确定数据的分类分级初始值，制定数据分类分级指南。与提供数据的业务部门合作，确定数据 的安全级别； b)综合考虑法律法规、政策、标准、数据分析技术水平、组织所处行业特殊性等因素，评估数据 安全风险，制定数据安全基本要求； c)对数据访问进行授权； d)建立相应的数据安全管理监督机制，监视数据安全管理机制的有效性； e)组织人员培训，应建立数据安全培训机制，定期组织开展数据安全专项培训。 6.2.2政务数据安全执行者责任包含但不限于： a)根据政务数据安全管理者的要求实施安全措施； b)为政务数据安全管理者授权的相关方分配数据访问权限和机制； c)配合政务数据安全管理者处置安全事件； d)记录数据活动的相关日志； e)定期组织开展对数据开放、共享、交换、交易等过程的数据安全检查；定期对政务数据使用者 的数据安全防护能力进行评估； f)当发生重大数据安全事件时，数据管理组织应牵头成立调查组对发生安全事件的相关方进行调 查，调查组可以调阅、摘抄、复制与