DB2201_T 18-2022 政务数据安全管理责任指南.docxVIP

ICS35.020CCSL09

2201

长春市地方标准

DB2201/T18—2022

政务数据安全管理责任指南

Guidelinesformanagementresponsibilityofgovernmentdatasecurity

2022-01-14发布

2022-01-30实施

长春市市场监督管理局发布

I

DB2201/T18—2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

本文件的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。

本文件由长春市政务服务和数字化建设管理局提出并归口。

本文件主要起草单位：长春市政务服务和数字化建设管理局、杭州安恒信息技术股份有限公司。

本文件主要起草人：刘竞雄、丁慧东、柳羽辉、戚志军、孟红月、刘烁、冷皓、吴晨、吴怡、金晓雳、王振斌。

DB2201/T18—2022

1

政务数据安全管理责任指南

1范围

本文件规定了政务数据安全涉及的数据管理相关方、数据管理组织、数据提供者及数据运营者的管理责任。

本文件适用于政务数据安全的管理责任工作。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

GB/T35295信息技术大数据术语

3术语和定义

GB/T25069和GB/T35295界定的以及下列术语和定义适用于本文件。

3.1

服务第三方thirdpartyserviceprovider

提供相关数据管理服务的供应方。

3.2

数据管理组织Datamanagementorganization

政府赋予数据管理职能的组织。

3.3

数据血缘DataLineage

数据在产生、传输、存储、处理、交换到销毁的全生命周期过程中，数据之间形成的可追溯的关联关系。

3.4

数据安全审计datasecurityaudit

根据数据安全审计的要求，对数据本身以及与其形成过程安全相关的内部控制和流程进行检查、评价，并发表审计意见。

4缩略语

DB2201/T18—2022

2

下列缩略语适用于本文件。

API:应用程序编程接口(ApplicationProgrammingInterface)

ETL:数据仓库技术(Extract-Transform-Load)

5数据管理相关方

5.1数据管理相关方包括：数据安全管理组织、数据提供者、数据使用者、数据运营者。

5.2数据安全管理组织应履行数据安全管理、安全执行、安全审计、数据共享管理的职责。

a)数据安全管理者负责数据安全相关领域和环节的决策，制定并审议数据安全相关制度，监督执行和组织落实业务部门数据安全相关工作。

b)数据安全执行者负责数据安全相关领域和环节工作的执行，制定数据安全相关细则，落实各项安全措施，配合数据安全管理者开展各项工作。

c)数据安全审计者对安全策略的适当性进行评价，帮助检测安全违规，并生成安全审计报告。

d)数据共享管理者对数据共享交换等平台和过程进行管理，执行数据安全管理者分配的工作任务。

5.3数据提供者是参与政务数据在开放、共享、交换、交易等过程的采集数据进行处理的人员或组织。

5.4数据使用者在开放、共享、交换、交易等过程中获取数据的人员或组织。

5.5数据运营者是对政务数据在开放、共享、交换、交易等过程中进行控制的人员或组织。

6数据管理组织

6.1数据安全管理者责任包括但不限于：

a)确定数据的分类分级初始值，制定数据分类分级指南。与提供数据的业务部门合作，确定数据的安全级别；

b)综合考虑法律法规、政策、标准、数据分析技术水平、组织所处行业特殊性等因素，评估数据安全风险，制定数据安全基本要求；

c)对数据访问进行授权；

d)建立相应的数据安全管理监督机制，监视数据安全管理机制的有效性；

e)组织人员培训，应建立数据安全培训机制，定期组织开展数据安全专项培训。

6.2数据安全执行者责任包含但不限于：

a)根据数据安全管理者的要求实施安全措施；

b)为数据安全管理者授权的相关方分配数据访问权限和机制；

c)配合数据安全管理者处置安全事件；

d)记录数据活动的相关日志。

e)定期组织开展对数据开放、共享、交换、交易