DB2201_T 18-2022 政务数据安全管理责任指南.docxVIP

ICS?35.020 CCS?L09 2201 长 春 市 地 方 标 准 DB?2201/T?18—2022 政务数据安全管理责任指南 Guidelines?for?management?responsibility?of?government?data?security 2022?-?01?-?14?发布 2022?-?01?-?30?实施 长春市市场监督管理局??发?布 DB?2201/T?18—2022 政务数据安全管理责任指南 1??范围 本文件规定了政务数据安全涉及的数据管理相关方、数据管理组织、数据提供者及数据运营者的管 理责任。 本文件适用于政务数据安全的管理责任工作。 2??规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T?25069 信息安全技术?术语 GB/T?35295 信息技术?大数据?术语 3??术语和定义 GB/T?25069?和?GB/T?35295?界定的以及下列术语和定义适用于本文件。 服务第三方?third?party?service?provider 提供相关数据管理服务的供应方。 数据管理组织?Data?MaNageMeNt?orgaNizatioN 政府赋予数据管理职能的组织。 数据血缘?Data?LiNeage 数据在产生、传输、存储、处理、交换到销毁的全生命周期过程中，数据之间形成的可追溯的关联 关系。 数据安全审计?data?secUrity?aUdit 根据数据安全审计的要求，对数据本身以及与其形成过程安全相关的内部控制和流程进行检查、 评价，并发表审计意见。 4??缩略语 1 DB?2201/T?18—2022 下列缩略语适用于本文件。 API:应用程序编程接口(Application?Programming?Interface) ETL:数据仓库技术(Extract-Transform-Load) 5??数据管理相关方 数据管理相关方包括：数据安全管理组织、数据提供者、数据使用者、数据运营者。 数据安全管理组织应履行数据安全管理、安全执行、安全审计、数据共享管理的职责。 a)??数据安全管理者负责数据安全相关领域和环节的决策，制定并审议数据安全相关制度，监督 执行和组织落实业务部门数据安全相关工作。 b)??数据安全执行者负责数据安全相关领域和环节工作的执行，制定数据安全相关细则，落实各 项安全措施，配合数据安全管理者开展各项工作。 c)??数据安全审计者对安全策略的适当性进行评价，帮助检测安全违规，并生成安全审计报告。 d)??数据共享管理者对数据共享交换等平台和过程进行管理，执行数据安全管理者分配的工作任 务。 数据提供者是参与政务数据在开放、共享、交换、交易等过程的采集数据进行处理的人员或组织。 数据使用者在开放、共享、交换、交易等过程中获取数据的人员或组织。 数据运营者是对政务数据在开放、共享、交换、交易等过程中进行控制的人员或组织。 6??数据管理组织 数据安全管理者责任包括但不限于： a)??确定数据的分类分级初始值，制定数据分类分级指南。与提供数据的业务部门合作，确定数 据的安全级别； b)??综合考虑法律法规、政策、标准、数据分析技术水平、组织所处行业特殊性等因素，评估数 据安全风险，制定数据安全基本要求； c)??对数据访问进行授权； d)??建立相应的数据安全管理监督机制，监视数据安全管理机制的有效性； e)??组织人员培训，应建立数据安全培训机制，定期组织开展数据安全专项培训。 数据安全执行者责任包含但不限于： a)??根据数据安全管理者的要求实施安全措施； b)??为数据安全管理者授权的相关方分配数据访问权限和机制； c)??配合数据安全管理者处置安全事件； d)??记录数据活动的相关日志。 e)??定期组织开展对数据开放、共享、交换、交易等过程的数据安全检查；定期对数据使用者的 数据安全防护能力进行评估。 f)??当发生重大数据安全事件时，数据管理组织应牵头成立调查组对发生安全事件的相关方进行 调查，调查组可以调阅、摘抄、复制与数据安全事件有关的资料，封存有关设备，进行调查 取证；根据调查结果对相关数据提供、管理、运营及使用的相关方进行责任追究，责令限期 整改；对造成重大损失或者社会影响的，责令暂停相关业务，涉及违法犯罪的由公安机关依 法查处。 2 DB?2201/T?18—2022 数据安全审计者责任包含但不限于： a)??审计数据活动的主体、操作及对象等相关属性，确保数据活动的过程和相关操作符合安全要求； b)??定期审计数据安全的管理情况； c)??出具数据安全审计报告。 d)