大数据应用数据安全管理责任指南(DB15-T 2197—2021).pdf

ICS 35.040 CCS L80 15 内蒙古自治区地方标准 DB15/T 21972021 大数据应用 数据安全管理责任指南 Big data applicationData security management responsibility guide 2021-05-25 发布 2021-06-25 实施 内蒙古自治区市场监督管理局 发 布 DB15/T 21972021 I 目次 前言.II 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 概述.1 4.1 基本原则.1 4.2 场景分类.2 5 安全控制措施.2 5.1 基本安全要求.2 5.2 数据提供者安全控制措施.3 5.2.1 数据来源合法.3 5.2.2 数据共享管理.3 5.3 数据使用者安全控制措施.3 5.3.1 数据共享申请.3 5.3.2 共享数据使用.3 5.4 数据管理者安全控制措施.4 5.4.1 数据共享管理.4 5.4.2 安全管理.4 5.4.3 检查评估.4 5.4.4 安全事件调查处置.5 5.4.5 人员培训.5 5.5 服务第三方安全控制措施.5 5.5.1 服务第三方通用安全要求.5 5.5.2 数据产品提供者安全控制措施.5 5.5.3 数据服务提供者安全控制措施.6 参考文献.7 DB15/T 21972021 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。本文件由内蒙古自治区大数据中心提出并归口。本文件起草单位：内蒙古自治区大数据中心、杭州安恒信息技术股份有限公司、内蒙古工业大学网络空间安全研究所、华信咨询设计研究院有限公司。本文件主要起草人：包瑞林、孙卫、周俊、任子骙、林明峰、田丽丹、王钢、周烜义、李欢、崔连伟。DB15/T 21972021 1 大数据应用 数据安全管理责任指南 1 范围 本文件规定了数据共享交换场景中的基本安全要求，定义了数据共享交换过程中涉及的各相关角色的安全控制措施。本文件适用于自治区相关单位通过大数据云平台进行数据共享交换过程中的安全管理。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 35295 信息技术 大数据 术语 3 术语和定义 GB/T 35295界定的以及下列术语和定义适用于本文件。3.1 服务第三方 third party service provider 提供相关服务的供应方，包括数据产品和数据服务提供者。3.2 数据管理者 data manager 数据的管理者，由政府赋予数据管理职能的行政机构。3.3 数据血缘data lineage 数据在产生、传输、存储、处理、交换到销毁的全生命周期过程中，数据之间形成的可回溯的关联关系。4 概述 4.1 基本原则 数据共享交换安全控制措施的基本原则包括：a)共享交换安全管理采取主动防御、综合防范方针，坚持保障数据共享交换安全与促进应用发展相协调、管理与技术并重的原则，实行统一协调、分工负责、分级管理；DB15/T 21972021 2 b)支撑数据共享交换的基础设施和网络应符合国家等级保护和关键信息基础设施保护的相关法规和标准；c)数据共享交换过程由数据提供者、数据使用者、数据管理者和服务第三方组成。各参与方应按照谁主管、谁负责，谁使用、谁负责，谁运营、谁负责的原则，在各自职责范围内，做好数据安全管理工作；d)数据共享交换过程中各参与方之间的安全责任相互独立，在部分情况下需要依赖于另一方安全管理措施的有效性，责任由双方共同承担。4.2 场景分类 数据共享交换活动涉及数据提供者、数据使用者、数据管理者以及服务第三方（数据运营提供者、数据服务提供者），共享交换场景如图1所示。在数据共享交换场景下各相关方履行自身职责，采取安全管理措施，以保证数据共享交换风险可控。针对数据交换共享过程的数据流动、过程控制和管理，数据共享交换场景可分为以下几类：场景1：数据提供者数据采集及共享环节；场景2：数据服务提供者进行数据处理的环节；场景3：数据使用者获取数据的环节；场景4：数据运营提供者在数据采集、共享过程中的控制环节；场景5：数据管理者在数据共享交换过程的管理环节。图1 共享交换场景分类示意图 5 安全控制措施 5.1 基本安全要求 数据共享交换场景的基本要求包括：a)数据共享工作应通过共享交换平台进行，通过 API 服务调用方式获取共享数据；b)数据提供者、数据使用者、数据管理者可在保留安全管理责任的前提下，通过签订标准合同明确责任和义务，将安全管理执行工作外包给服务第三方；数据提供者数据服务提供者数据使用者数据运营提供者数据管理者数据流控制与管理场景1场景3场景4场景4场景5场景2DB15/T 21972021 3 c)对于无条件共享的数据，归集整理后通过平台可向各单位进行数据共享；对于有条件共享的数据，由数据使用者向数据提供者提交数据资源共享申请，经数据提供者审批同意和数据管理者审核确认后，通过平台的 API（应用程序编程接口）服务进行数据共享；d)确立数据分类分级，根据数据敏感度等级、场景数据使用风险等级制定相应的控制措施；e)数据的保存期限应符合法律法规的要求，共享交换过程涉及各方应及时销毁超过数据保存期的数据，或者进行脱敏保存归档；f)数据共享交换的各参与方应保障各阶段数据血缘的完整性，保障数据质量，并可提供数据处理过程日志供第三方审计。5.2 数据提供者安全控制措施 5.2.1 数据来源合法 数据提供者应保障数据来源合法，安全控制措施包括：a)按照法定职责采集数据资源，明确本部门数据采集、发布、维护的规范和程序，确保数据的正确性、完整性、时效性以及确权范围；b)除法律、法规另有规定以外，应当遵循“一数一源”的原则，不得重复采集可以通过共享方式获取的数据资源；c)按照法律、法规规定的数据范围进行采集，遵循数据采集必要性及最小化原则，不得采集法定范围之外的数据。5.2.2 数据共享管理 数据提供者应提供数据共享服务，安全控制措施包括：a)应明确本部门数据资源的共享范围，及时响应数据使用者的数据共享需求；b)法律、法规、规章等规定需要共享的数据，应按照相关要求进行共享；c)对数据使用者提交的数据共享申请，应根据履职需要和最小化原则，进行审批授权；d)应明确数据的共享范围、共享期限、共享用途、共享方式和数据保存期限，通过平台向数据使用者共享数据；e)应对共享的数据设置对应的数据分类分级标签；f)应通过技术手段确保共享数据的完整性和一致性，并按照约定的更新频率更新数据。5.3 数据使用者安全控制措施 5.3.1 数据共享申请 数据使用者应按照以下要求申请数据共享，安全控制措施包括：a)应基于业务场景向数据提供者或数据管理者申请数据共享，并依据法律法规的要求在授权的使用范围内使用共享数据；b)申请共享数据时，应向数据提供者明确数据的使用目的、范围、期限、更新频率等具体使用需求，共享数据的使用需经过两级审批（见 5.2.2 及 5.4.1）。5.3.2 共享数据使用 数据使用者按要求使用共享数据，安全控制措施包括：a)应在数据提供者的数据授权范围内使用共享数据；b)不应对脱敏后的个人信息和敏感数据通过技术手段进行再识别；c)应根据共享数据的保存期限进行数据销毁工作；DB15/T 21972021 4 d)应根据共享数据的安全级别，采取相应等级的安全防护措施进行防护；e)需要对共享数据进行再次加工时，应联合数据管理者对加工后的数据进行识别和设置分类分级标签，并采取相应等级的防护措施进行安全防护；f)应完整记录数据使用过程中的操作日志，以便识别潜在的违约使用者；g)应明确数据使用的第一责任人。5.4 数据管理者安全控制措施 5.4.1 数据共享管理 数据管理者对数据共享过程进行管理，安全控制措施包括：a)建立数据资源共享管理制度，指定专人负责数据资源目录的编制、审核和维护；b)依据数据资源目录审核归集的数据资源，确保归集数据合规性、准确性和完整性；c)牵头制定数据分类分级标准，按照数据类型与数据安全等级矩阵方法，确定数据敏感度等级；针对具体业务场景，结合数据敏感度等级，确定场景数据使用风险等级；根据数据敏感度等级、场景数据使用风险等级确定相应的控制措施；d)对数据提供者提交的数据分类分级情况进行审核，对不符合要求的数据分类和分级情况通报数据提供者重新设置标签；e)牵头制定数据使用的策略和规则，对数据使用者的数据共享申请进行二次审批，重点审核数据使用的目的和范围是否与其自身业务开展相关；f)对数据使用者的分析数据结果输出进行抽查，避免分析结果输出中包含可恢复的个人信息、重要数据等数据和结构标识，防止个人信息、重要数据等敏感信息的泄漏；g)牵头数据共享交换各方对融合衍生后的数据进行识别和设置分类分级标签，并采取相应等级的防护措施进行安全防护。5.4.2 安全管理 数据管理者 对数据提供者、数据使用者和服务第三方的数据访问和操作进行管理，安全控制措施包括：a)对数据收集、使用、存储、处理、共享交换、产生、销毁的过程进行监管，确保数据流转和使用符合相关管理规定；b)对服务第三方提供的产品和服务进行监管，要求服务第三方提供相关交付件，通过对交付件进行分析审核、评估验证等活动，确保服务第三方所提供的产品和服务持续满足安全能力要求；c)监管过程中发现的安全风险事件应及时告知相关方，并监督其整改；d)宜委托有资质和专业技术能力的服务第三方来承担安全监管工作，但应做好授权和监督审计工作，并确保承担安全监管工作的服务方独立于其他服务第三方。5.4.3 检查评估 数据管理者应组织开展对数据共享交换各参与方的数据安全检查评估，安全控制措施包括：a)应定期组织开展对数据共享交换各参与方的数据安全检查，对检查中发现的重大安全隐患，应当责令有关单位立即排除并报相关监管部门；对检查中发现的违法行为，应当立即制止，并提请公安部门依法查处；b)应定期对数据使用者的数据安全防护能力进行评估，确保数据使用者只能获取与之防护能力等级相匹配的数据。DB15/T 21972021 5 5.4.4 安全事件调查处置 安全事件调查处置过程中宜采取的安全控制措施包括：a)当发生重大数据安全事件时，数据管理者应牵头成立调查组对发生安全事件的单位进行调查，调查组可以调阅、摘抄、复制与数据安全事件有关的资料，封存有关设备，进行调查取证；b)应根据调查结果对相关数据共享交换单位和人员进行责任追究，责令限期整改并报相关监管部门；对造成重大损失或者社会影响的，责令暂停相关业务，涉及违法犯罪的由公安机关依法查处。5.4.5 人员培训 数据管理者应定期进行人员安全培训，包括：a)应建立人员数据安全培训机制，对数据共享交换各参与方人员普及和培训数据安全相关知识，通过多种形式推广数据安全的风险防范思路和方法，提高数据共享交换各方人员的数据安全意识，促进数据安全工作的有效执行；b)应定期组织开展数据安全专项培训，分阶段对数据共享交换各参与方的开发人员、运维人员、管理人员和安全人员进行专项技能培训，确保各参与方人员提高数据安全专项技能。5.5 服务第三方安全控制措施 5.5.1 服务第三方通用安全要求 服务第三方包括数据产品提供者和数据服务提供者，应满足以下通用安全要求：a)提供的产品和服务应满足国家法律法规和地方规章的要求，例如提供基础设施和平台服务的应满足国家网络安全等级保护的相关要求，提供安全专用产品的应取得计算机信息系统安全专用产品销售许可证；b)提供的产品和服务应安全可控，并进行书面安全承诺，承诺提供的产品和服务不包含恶意程序、隐蔽接口或未明示功能的模块等；c)应建立并执行针对产品和服务安全缺陷、漏洞的应急响应机制和流程，在发现提供的产品和服务存在安全缺陷、漏洞时，应立即采取修复或替代方案等补救措施，及时告知用户安全风险，并向数据管理者报告；d)提供的产品和服务需要收集的用户信息时，应明确告知收集用户信息的目的、用途、范围和类型，在用户明示同意后，按照最少够用原则收集实现产品和服务功能所需的最少用户信息，并采取安全措施保护用户信息的安全；e)提供的产品和服务应不破坏数据管理者制定的整体安全策略，应不导致其他服务第三方的产品和服务安全能力的失效；f)产品和服务上线前应告知数据管理者上线计划，并接受数据管理者或由数据管理者授权委托的服务方进行安全检查；g)应建立内部监督审计机制，对提供服务的人员进行监督和审计，签订保密协议，确保其不泄露用户的业务数据；h)应接受数据管理者或由数据管理者授权委托的第三方监管服务方的安全监管，按监管要求提供相关交付件供数据管理者或监管服务方审核评估，并对通报的安全风险进行及时整改。5.5.2 数据产品提供者安全控制措施 数据产品提供者宜采取的安全控制措施包括：a)应根据数据管理者制定的安全策略和规则进行数据的访问授权管理工作；DB15/T 21972021 6 b)应提供服务 API 的用户鉴别、鉴权和访问控制的能力，并支持服务 API 的调用日志记录和外发；c)应采取措施保障服务 API 自身的安全性，确保服务 API 具备防重放、代码注入、DoS/DDoS（拒绝服务/分布式拒绝服务）等攻击防护能力；d)应提供服务 API 过载保护的能力，实现不同服务等级用户间业务的公平性和系统整体性处理能力的最大化。5.5.3 数据服务提供者安全控制措施 数据服务提供者宜采取的安全控制措施包括：a)对归集的数据保留原始表，不做任何加工清洗，以满足溯源、数据质量核查等需求；b)提供数据 ETL（抽取/转换/加载）服务的应根据质量规则进行标准化处理，并通过技术手段保障数据的一致性。对所有的 ETL 过程应记录日志，并可提供给第三方进行审计；c)提供数据同步服务的通过技术手段保障数据同步过程的一致性，记录数据同步过程的所有日志，并可提供给第三方进行审计；d)提供数据分析计算服务的应配合数据管理者或数据使用者对新生成的数据进行识别和设置分类分级标签。DB15/T 21972021 7 参考文献 1 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求 2 GB/T 35274-2017 信息安全技术 大数据服务安全能力要求