国家或地方技术规范:公共数据安全体系评估规范.docx
《国家或地方技术规范:公共数据安全体系评估规范.docx》由会员分享,可在线阅读,更多相关《国家或地方技术规范:公共数据安全体系评估规范.docx(59页珍藏版)》请在冰点文库上搜索。
ICS35.240.01
CCSL67
33
浙江省地方标准
DB33/T2488—2022
公共数据安全体系评估规范
Assessmentspecificationforpublicdatasecuritysystems
2022-04-26发布
�
2022-05-26实施
浙江省市场监督管理局发布
DB33/T2488—2022
目次
前言 II
引言 III
1范围 1
2规范性引用文件 1
3术语和定义 1
4缩略语 2
5总体要求 2
6评估模型 2
7制度规范子体系评估项 5
8技术防护子体系评估项 7
9运行管理子体系评估项 10
10评估流程 12
附录A(资料性)公共数据安全体系评估指标定义示例 14
附录B(资料性)常用评估方式示例 21
附录C(资料性)计算方法示例 22
附录D(资料性)公共数据安全体系评估案例 24
参考文献 29
I
DB33/T2488—2022
前言
本标准按照GB/T1.1—2020《标准化工作导则第1部分:
标准化文件的结构和起草规则》的规定起草。
请注意本标准的某些内容可能涉及专利。
本标准的发布机构不承担识别专利的责任。
本标准由浙江省大数据发展管理局提出、归口并组织实施。
本标准起草单位:
浙江省大数据发展中心、数字浙江技术运营有限公司、浙江省标准化研究院、联通数字科技有限公司、浙江省数据安全服务有限公司、杭州市数据资源管理局、宁波市大数据发展管理局、温州市大数据发展管理局、湖州市大数据发展管理局、嘉兴市政务服务和数据资源管理办公室、绍兴市大数据发展管理局、金华市大数据发展管理局、衢州市大数据发展管理局、舟山市大数据发展管理局、台州市大数据发展管理局、丽水市大数据发展管理局。
本标准主要起草人:
金加和、王瑚、洪吉明、蓝宇娜、孟一丁、党铮铮、蒋纳成、赵程遥、毛远庆、张斌、杜永华、池邦芬、笪猛霄、陈焕、包自毅、张新丰、顾闻、徐振华、张晓玮、杜战、范东媛、费嫒、叶春雷、孔俊、朱通、王沁怡、张伟伟、胡瑞玉、叶红叶、施筱玲、徐峰、蒋迪、甄理、俞巍滔、杜辉、孙茂阳、胡琼达、朱宝剑、叶茜茜、陈玮萍、屠勇刚、韩建良、徐李锐、毛勇增、张岳军、林国、王玲玲。
本标准为首次发布。
II
DB33/T2488—2022
引言
为保障一体化智能化公共数据平台和公共数据安全,建立健全数据安全防护能力评估指标,规范和指导各地各部门开展公共数据安全评估工作,推动全省公共数据安全管理工作可量化、可追溯、可评估,依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《浙江省公共数据条例》制定本标准。
本标准是公共数据安全体系相关系列标准之一。
与本标准的相关标准还包括:
——公共数据安全体系建设指南(DB33/T2487—2022);
——公共数据分类分级指南(DB33/T2351—2021)。
III
DB33/T2488—2022
公共数据安全体系评估规范
1范围
本标准规范了公共数据安全体系评估总体要求、评估模型、评估项和评估流程等。
本标准适用于公共数据安全体系和能力评估,各级公共数据主管部门、公共管理和服务机构可参考执行。
2规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。
其中,注日期的引用文件,仅该日期对应的版本适用于本标准;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本标准。
GB/T25069信息安全技术术语
GB/T37973信息安全技术大数据安全管理指南
GB/T37988信息安全技术数据安全能力成熟度模型
GB/T39477信息安全技术政务信息共享数据安全技术要求
DB33/T2350数字化改革术语定义
DB33/T2487公共数据安全体系建设指南
3术语和定义
GB/T25069、GB/T37973、GB/T37988、GB/T39477、DB33/T2350和DB33/T2487界定的以及下列术语和定义适用于本标准。
3.1
评估项assessmentitem
与公共数据安全三个子体系对应,每一个子体系对应一个评估项,包括制度规范子体系评估项、技术防护子体系评估项和运行管理子体系评估项。
3.2
评估子项assessmentsubitem
对应公共数据安全子体系各部分的建设内容,一个评估项包括若干个评估子项。
3.3
评估指标assessmentindex
用以评估某一安全目标实现程度的数据安全相关活动和过程的最小单位,一个评估子项可基于评估内容,确定评估权重并赋予分值,定义若干个评估指标。
3.4
评估对象assessmentobject
被评估的组织机构或部门,主要涉及相关配套制度文档、设备设施及人员等。
1
DB33/T2488—2022
4缩略语
下列缩略语适用于本标准。
AIT:
评估项(AssessmentItem)
AS:
评估子项(AssessmentSubItem)
SUM:
最终分值(Sum)
5总体要求
5.1科学性
评估项和评估方法的选取应能够体现公共数据安全体系的主要内容,反映公共数据安全保障面临的主要风险。
5.2适宜性
评估项和评估方法的选取应结合本地区本部门实际情况,引导公共数据安全体系合理建设。
5.3可度量性
评估项应具备可以获取的证明依据,并可以度量。
5.4代表性
评估项应能较为全面地反映公共数据安全体系建设的总体水平。
5.5持续性
应充分应用评估结果,促进公共数据安全体系的持续优化。
6评估模型
6.1总体架构
公共数据安全体系评估模型包括公共数据安全体系评估项、公共数据安全体系评估维度、公共数据安全体系评估方法。
公共数据安全体系评估模型详见图1。
2
DB33/T2488—2022
公共数据安全体系评估维度
功能性
适配性
符合性(有效性)
运行管理
安全管理团队
分类分级管理
数据加密
访问权限管理
数据血缘
共享和开放管理
数据安全销毁
安全日志审计
安全监督检查
安全事件与应急
安全培训
报
公共数据安全体系评估项
可执行性
动态更新性安全性
制度规范技术防护
数据备份和恢复
数据防泄漏
数据销毁
访问权限管理数据共享和开放
安全监测与预警
供应方安全
安全监督检查
安全日志审计
安全事件管理与应急响应
分类分级管理
访问权限管理
数据脱敏管理
共享和开放
数据源鉴别
分类分级和标识
可靠性
(完整性)
全面性
(专业性)
果
p
----
图1公共数据安全体系评估模型
6.2评估项
6.2.1制度规范子体系评估项
制度规范子体系评估项可基于二级制度展开,主要包含的评估子项:
a)分类分级管理制度;
b)访问权限管理制度;
c)数据脱敏管理制度;
d)数据共享和开放安全管理制度;
e)数据安全销毁管理制度;
f)供应方安全管理制度;
g)安全监督检查制度;
h)安全日志审计制度;
i)安全事件管理与应急响应制度等。
6.2.2技术防护子体系评估项
技术防护子体系评估项主要包含的评估子项:
a)数据源统一鉴别技术;
b)敏感数据识别技术;
c)数据分类分级标识技术;
3
DB33/T2488—2022
d)数据脱敏技术;
e)数据加密技术;
f)传输通道加密技术;
g)数据血缘关系技术;
h)数据备份和恢复技术;
i)数据防泄漏技术;
j)销毁数据识别技术;
k)数据销毁技术;
l)访问权限管理;
m)数据共享和开放;
n)安全监测与预警等。
6.2.3运行管理子体系评估项
运行管理子体系评估项主要包含的评估子项:
a)数据安全团队;
b)数据分类分级运行管理机制;
c)数据访问权限运行管理机制;
d)数据共享和开放安全运行管理机制;
e)安全日志审计机制;
f)安全监督检查机制;
g)安全事件应急响应机制;
h)安全培训机制等。
6.3评估维度
公共数据安全体系评估维度可根据公共数据安全体系评估项的特点设置,共分为3大类,包括:
a)制度规范子体系评估维度,包括:
1)全面性:
评估相关制度文件内容是否全面,是否已经包含了必要的组成要素;2)可执行性:
评估相关制度文件内容是否具备可落地执行性;
3)动态更新性:
评估相关制度文件内容是否根据外部环境、政策变化、组织实际情况等进行了相应的调整。
b)技术防护子体系评估维度,包括:
1)功能性:
评估相关技术产品是否覆盖所有安全功能要求;
2)适用性:
评估相关技术产品的安全功能和性能是否有效实现公共数据安全防护;
3)安全性:
评估相关技术产品本身是否存在漏洞、配置错误(基线检查)、业务逻辑错误等安全问题。
c)运行管理子体系-数据安全团队评估子项评估维度,包括:
1)完备性:
评估该组织是否已安全评价指标配备团队人员;
2)专业性:
评估相关人员是否有足够能力胜任职责范围内的工作,评估相关人员是否定期接受数据安全防护技能及法规培训等;
3)可靠性:
评估相关人员是否有良好的职业操守,无相关不良记录情况。
d)运行管理子体系-分类分级等其他运行管理机制的评估子项评估维度,包括:
4
DB33/T2488—2022
1)完整性:
评估该运行管理机制是否包括完整的闭环运行管理环节;
2)符合性:
评估该运行管理机制是否已在该组织落地实施;
3)有效性:
评估该运行管理机制在该组织落实后,是否有效的实现公共数据安全防护预期效果。
7制度规范子体系评估项
7.1数据分类分级管理制度
公共数据分类分级管理相关制度评估子项内容主要包括:
——全面性:
查验制度文件是否包括分类分级原则、要求、维度、方法、操作指南、工作流程以及类别和级别变更场景、变更申请审批流程及工作要求等;
——可执行性:
充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内容是否可在该组织落地实施;
——动态更新性:
查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修订相关制度文件,查验范围包括调研记录、修订记录等。
7.2数据访问权限管理制度
公共数据访问权限管理相关制度评估子项内容主要包括:
——全面性:
查验制度文件是否包括对公共数据载体和公共数据权限管理系统的账号权限安全管理职责分工和工作要求,公共数据访问账号权限分配、开通、使用、变更、重置、锁定、注销等的申请审批流程,对具备超级管理员权限或数据批量复制、处理、导出和删除等高风险操作权限的帐号的重点安全管理要求等;
——可执行性:
充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内容是否可在该组织落地实施;
——动态更新性:
查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修订相关制度文件,查验范围包括调研记录、修订记录等。
7.3数据脱敏管理制度
公共数据安全脱敏管理相关制度评估子项内容主要包括:
——全面性:
查验制度文件是否充分根据公共数据分类分级结果,是否包括公共数据脱敏规则、管理要求、技术要求和脱敏工作流程等;
——可执行性:
充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内容是否可在该组织落地实施;
——动态更新性:
查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修订相关制度文件,查验范围包括调研记录、修订记录等。
7.4数据共享和开放安全管理制度
公共数据共享和开放安全管理相关制度评估子项内容主要包括:
——全面性:
查验制度文件是否充分根据公共数据分类分级结果;查验制度文件是否包括差异化的公共数据共享和开放安全管理、技术要求、应用场景、工作流程和申请审批环节等;
5
DB33/T2488—2022
——可执行性:
充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内容是否可在该组织落地实施;
——动态更新性:
查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修订相关制度文件,查验范围包括调研记录、修订记录等。
7.5数据安全销毁管理制度
公共数据安全销毁管理相关制度评估子项内容主要包括:
——全面性:
查验制度文件是否充分根据公共数据分类分级结果;查验制度文件是否包括公共数据销毁对象、销毁场景、销毁方式、销毁流程、销毁工作要求等;
——可执行性:
充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内容是否可在该组织落地实施;
——动态更新性:
查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修订相关制度文件,查验范围包括调研记录、修订记录等。
7.6供应方安全管理制度
供应方安全管理相关制度评估子项内容主要包括:
——全面性:
查验制度文件是否包括供应方及供应方人员的安全管理要求,涉及终端安全、网络安全、数据安全、保密管理等方面;查验制度文件是否包括供应方及供应方人员的岗位安全职责、安全考核要求和处罚措施;核查服务安全保护及保密协议是否明确了对供应方及供应方人员的数据保密范围、保密责任与义务、保密期限等;
——可执行性:
充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内容是否可在该组织落地实施;
——动态更新性:
查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修订相关制度文件,查验范围包括调研记录、修订记录等。
7.7安全监督检查制度
公共数据监督检查相关制度评估子项内容主要包括:
——全面性:
查验制度文件是否包括对公共数据安全体系建设现状的监督检查内容、方式、工作周期、工作流程等;
——可执行性:
充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内容是否可在该组织落地实施;
——动态更新性:
查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修订相关制度文件,查验范围包括调研记录、修订记录等。
7.8安全日志审计制度
公共数据安全日志审计相关制度评估子项内容主要包括:
——全面性:
查验制度文件是否包括安全审计日志的采集内容、采集方式、标准化要求、日志存储要求、审计策略和规则、异常预警及处置工作流程等;
——可执行性:
充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内容是否可在该组织落地实施;
6
DB33/T2488—2022
——动态更新性:
查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修订相关制度文件,查验范围包括调研记录、修订记录等。
7.9安全事件管理与应急响应制度
公共数据安全事件管理与应急响应相关制度评估子项内容主要包括:
——全面性:
查验制度文件是否包括数据安全事件分类分级方法;核查制度文件是否充分结合数据安全事件分类分级结果;核查制度文件是否包括公共数据安全事件发现、上报、处置、溯源、总结等工作流程;核查制度文件是否包括数据安全应急预案编制及应急演练工作要求等;
——可执行性:
充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内容是否可在该组织落地实施;
——动态更新性:
查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修订相关制度文件,查验范围包括调研记录、修订记录等。
8技术防护子体系评估项
8.1数据源统一鉴别技术
数据源统一鉴别技术评估子项内容主要包括:
——功能性:
检查该技术产品是否具备数据源身份统一鉴别、记录的功能,以及对数据真实性、有效性、规范性进行检验的功能;
——适用性:
核查该技术产品是否有效防止非法数据源接入,实现防止虚假数据注入;核查该技术产品性能是否满足该组织业务高峰期需求等;
——安全性:
核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。
8.2敏感数据识别技术
敏感数据识别技术评估子项内容主要包括:
——功能性:
检查该技术产品是否具备敏感数据识别功能;
——适用性:
核查该技术产品是否可有效识别出敏感数据;核查该技术产品性能是否满足该组织业务高峰期需求等;
——安全性:
核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。
8.3数据分类分级标识技术
数据分类分级标识技术评估子项内容主要包括:
——功能性:
检查该技术产品是否具备根据相关标准进行智能化分类分级的功能;检查该技术产品是否具备数据分类分级标识功能;检查该技术产品是否具有数据分类分级结果的输出接口,用于分类分级结果的应用;
——适用性:
核查该技术产品是否可有效标识数据类别和级别;核查该技术产品性能是否满足该组织业务高峰期需求等;
——安全性:
核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。
8.4数据脱敏技术
7
DB33/T2488—2022
公共数据脱敏技术评估子项内容主要包括:
——功能性:
检查该技术产品是否可实现敏感数据脱敏功能;检查该技术产品是否可实现数据存储或使用脱敏功能(包含静态和动态脱敏);检查该技术产品是否可根据不同场景配置不同的脱敏算法与规则等;
——适用性:
核查是否已有效对规定场景数据进行静态或动态脱敏保护;核查该技术产品性能是否满足该组织业务高峰期需求等;
——安全性:
核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。
8.5数据加密技术
数据加密技术评估子项内容主要包括:
——功能性:
检查该技术产品是否可实现敏感数据存储和传输加密功能;
——适用性:
核查是否已有效对存储和传输的敏感数据实施加密保护;核查该技术产品性能是否满足该组织业务高峰期需求等;
——安全性:
核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。
8.6传输通道加密技术
传输通道加密技术评估子项内容主要包括:
——功能性:
检查该技术产品是否可实现数据传输通道加密;
——适用性:
核查是否已有效对数据传输通道实施加密保护;核查该技术产品性能是否满足该组织业务高峰期需求等;
——安全性:
核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。
8.7数据血缘关系技术
数据血缘关系技术评估子项内容主要包括:
——功能性:
检查该技术产品是否具有追踪记录数据间的血缘关系的功能;检查该技术产品是否可根据数据血缘关系建立数据资产全景视图等;
——适用性:
核查该技术产品是否可有效监控数据流转过程;核查该技术产品性能是否满足该组织业务高峰期需求等;
——安全性:
核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。
8.8数据备份和恢复技术
数据备份和恢复技术评估子项内容主要包括:
——功能性:
检查该技术产品是否具备自动化数据备份的功能;检查该技术产品是否具备自动检验备份数据完整性的功能;检查该技术产品是否具备数据恢复的功能等;
——适用性:
核查该技术产品在数据遭受破坏时,数据备份机制是否保存了恢复所需的数据,恢复机制是否能够根据备份数据有效恢复,保证业务受影响程度在可接受的范围内;核查该技术产品性能是否满足该组织业务高峰期需求等;
——安全性:
核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。
8.9数据防泄漏技术
数据防泄漏技术评估子项内容主要包括:
8
DB33/T2488—2022
——功能性:
检查该技术产品是否具备数据防泄漏功能,包括终端、网络和应用等;
——适用性:
核查该技术产品是否有效实现了数据在终端、网络和应用等流转过程的防泄漏;核查该技术产品性能是否满足该组织业务高峰期需求等;
——安全性:
核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。
8.10销毁数据识别技术
销毁数据识别技术评估子项内容主要包括:
——功能性:
检查该技术产品是否具备符合销毁场景数据的识别功能;
——适用性:
核查该技术产品是否可有效识别符合数据销毁场景的数据;核查该技术产品性能是否满足该组织业务高峰期需求等;
——安全性:
核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。
8.11数据销毁技术
数据销毁技术评估子项内容主要包括:
——功能性:
检查该技术产品是否具备多种数据销毁策略和技术手段等;
——适用性:
核查该技术产品的销毁策略和手段是否可实现对数据的彻底销毁;核查该技术产品性能是否满足该组织业务高峰期需求等;
——安全性:
核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。
8.12访问权限管理技术
公共数据访问权限管理技术评估子项内容主要包括:
——功能性:
检查该技术产品是否具备公共数据访问权限集中认证、统一访问入口等功能;检查该技术产品是否具备库、表、字段级别的访问控制功能;检查该技术产品是否与数据脱敏相关技术产品联动,实现动态脱敏等;
——适用性:
核查该技术产品是否有效支撑该组织和角色职能需求,实现公共数据访问权限的有效管控;核查该技术产品性能是否满足该组织业务高峰期需求等;
——安全性:
核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。
8.13数据共享和开放安全技术
公共数据共享和开放的安全技术评估子项内容主要包括:
——功能性:
检查该技术产品是否具备访问控制功能;检查该技术产品是否具备数据脱敏功能;核查该技术产品是否具备接口实时数据安全监测与异常告警功能;检查该技术产品是否具备数据追踪溯源功能,如数字水印标识等;
——适用性:
核查该技术产品是否可有效支撑共享和开放数据的访问控制功能;核查该技术产品的数据脱敏能力是否可有效对共享和开放的数据实施脱敏,包括脱敏算法的类型、数量等;核查该技术产品是否可有效发现接口安全风险,并告警;核查该数据产品的溯源过程和结果是否可信,例如采用区块链技术等;核查该技术产品性能是否满足该组织业务高峰期需求等;
——安全性:
核查该技术产品本身是否存在安全漏洞、配置错误、
升级会员 