DB3212_T1118—2022_政务数据共享与开放安全管理规范_泰州市 .docxVIP

ICS35.020CCSL70

DB3212

泰 州 市 地 方 标 准DB3212/T1118—2022

政务数据共享与开放安全管理规范

Governmentdataopeningandsharingmanagementstandard

DB3212/T1118—2022

前 言

本文件按照GB/T1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起草。

本文件由泰州市大数据管理局提出。本文件由泰州市大数据管理局归口。本文件起草单位：泰州市大数据管理局、泰州市标准化院。

本文件主要起草人：赵文涛、刘小芳、梁鑫晨、陈书剑、孙慧、王小冬、许鑫、施驰乐、吴薇、陈蓝生、李海鹏、张婧娴、王友成、郭健。

DB3212/T1118—2022

政务数据共享与开放安全管理规范

1 范围

本文件规定了政务数据共享与开放安全管理规范的总则、基本要求、组织管理、数据生命周期安全等要求。

本文件适用于泰州市政务数据的共享与开放。

2 规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239 信息安全技术 网络安全等级保护基本要求GB/T25058 信息安全技术 网络安全等级保护实施指南.GB/T31722 信息技术安全技术信息安全风险管理

GB/T35273 信息安全技术 个人信息安全规范GB/T36073 数据管理能力成熟度评估模型

GB/T36344—2018 信息技术 数据质量评价指标GB/T39295—2017 信息技术 大数据 术语

DB3212/T1118—2022

4.1 政务数据共享与开放安全管理采取主动防御、综合防范方针，坚持保障政务数据安全与促进应用发展相协调、管理与技术并重的原则，实行统一协调、分工负责、分级管理。政务数据管理相关方数据安全和信息化工作应同步规划、同步建设、同步运行。

4.2 政务数据共享与开放安全要求包括基本要求，组织管理、数据生命周期安全。各参与方应根据自身角色和责任遵照执行。

4.3 支撑政务数据共享的平台基础设施应符合附录A的要求。

5 基本要求

5.1 数据安全策略与规程

5.1.1 应制定满足业务需求的安全策略，明确安全方针、安全目标和安全原则。

5.1.2 应基于安全策略，建立相关的制度规程，形成以数据为核心的体系化数据安全制度体系。5.1.3 应明确制度和规程分发机制，确保制度和规程分发至组织的相关部门、岗位和人员。

5.1.4 应建立策略、规程的评审和发布流程，明确适当的频率和时机对策略和规程进行更新，以确保其持续的适宜性和有效性。

5.2 数据供应链管理

5.2.1 应建立数据提供者、数据使用者、数据运营者安全管理规范，定义数据安全目标、原则和范围，明确数据提供者、数据使用者、数据运营者的安全责任和义务，并建立监督审核机制。

5.2.2 与数据提供者、数据使用者、数据运营者签署协议，明确数据的使用目的、供应方式、保密约定等。

5.2.3 应委托独立的运行监管方，对数据提供者、数据使用者和数据运营者的行为进行相关记录，利用技术工具对数据提供者、数据使用者和数据运营者的行为进行合规性审核与监督。

5.2.4 应建立完整的数据供应链和相关数据字典规则库，自动监测实际数据流动情况，实时分析数据

DB3212/T1118—2022

5.5.2 应建立并实施整体的终端安全解决方案，实现终端设备与组织机构内部员工的有效绑定，按照统一的部署标准在终端系统上安装各类防控软件（如防病毒、硬盘加密、终端入侵检测、终端防泄漏等软件），对终端系统上的数据进行风险监控。

5.5.3 应采用身份鉴别、访问控制等手段对打印输出设备进行安全管控，并对用户账户在该终端设备上的数据操作进行日志记录。

5.6 数据防泄漏

5.6.1 应建立数据防泄露规范，明确需要进行数据泄露防护处理的应用场景和处理方法。5.6.2 应支持基于终端使用、动态传输、静态存储的综合数据泄露防护机制。

5.6.3 应限制批量修改、拷贝、下载等操作的权限。

5.6.4 应提供数据防泄漏处理过程的日志记录，满足数据防泄漏处理安全审计要求。

6 组织管理

6.1 政务数据管理相关方

6.1.1 政务数据管理相关方包括：政务数据安全管理组织、政务数据提供者、政务数据使用者、政务数据运营者。

6.1.2 政务数据安全管理组织应履行政务数据安全管理、安全执行、安全审计、政务数据共享开放管理的职责：

a) 政务数据安全管理者负责数据安全相关领域和环节的决策，制定并审