| 當(dāng)前位置:首頁(yè) |
|
| 索引號(hào): | 002668389/2025-114303 | 公開(kāi)方式: | 主動(dòng)公開(kāi) |
| 發(fā)布機(jī)構(gòu): | 市統(tǒng)計(jì)局 | 成文日期: | 2025-05-27 |
| 信息來(lái)源: 臺(tái)州市統(tǒng)計(jì)局 | 發(fā)布時(shí)間: 2025- 05- 29 11: 21 | 瀏覽次數(shù): |
|
|
各縣(市、區(qū))統(tǒng)計(jì)局、臺(tái)州灣新區(qū)統(tǒng)計(jì)局,局各處室(中心):
為規(guī)范全市統(tǒng)計(jì)公共數(shù)據(jù)安全開(kāi)發(fā),保障數(shù)據(jù)開(kāi)發(fā)活動(dòng)有序、合規(guī)開(kāi)展,提升數(shù)據(jù)安全保障能力,根據(jù)《浙江省公共數(shù)據(jù)條例》《浙江省公共數(shù)據(jù)安全管理總則(2024年修訂)》《臺(tái)州市公共數(shù)據(jù)開(kāi)發(fā)安全技術(shù)規(guī)范(試行)》等有關(guān)文件規(guī)定,制定了《臺(tái)州市統(tǒng)計(jì)局公共數(shù)據(jù)開(kāi)發(fā)安全技術(shù)規(guī)范(試行)》,現(xiàn)印發(fā)給你們,請(qǐng)認(rèn)真貫徹落實(shí)。
臺(tái)州市統(tǒng)計(jì)局辦公室
2025年5月27日
臺(tái)州市統(tǒng)計(jì)局公共數(shù)據(jù)開(kāi)發(fā)安全技術(shù)規(guī)范
(試行)
第一章 總則
第一條 目的與依據(jù)
為規(guī)范臺(tái)州市統(tǒng)計(jì)局公共數(shù)據(jù)開(kāi)發(fā)活動(dòng),保障數(shù)據(jù)全生命周期安全,防范泄露、篡改、濫用風(fēng)險(xiǎn),依據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)數(shù)據(jù)安全法》《中華人民共和國(guó)統(tǒng)計(jì)法》《中華人民共和國(guó)個(gè)人信息保護(hù)法》《浙江省公共數(shù)據(jù)條例》《臺(tái)州市公共數(shù)據(jù)開(kāi)發(fā)安全技術(shù)規(guī)范(試行)》等法律法規(guī),結(jié)合本局實(shí)際,制定本規(guī)范。
第二條 適用范圍
本規(guī)范適用于臺(tái)州市統(tǒng)計(jì)局及其委托的公共數(shù)據(jù)開(kāi)發(fā)單位、第三方服務(wù)機(jī)構(gòu)在數(shù)據(jù)采集、存儲(chǔ)、處理、共享、開(kāi)放、銷毀等環(huán)節(jié)的安全管理。
第三條 術(shù)語(yǔ)定義
公共數(shù)據(jù):依法采集的基層數(shù)據(jù)(如企業(yè)、個(gè)人、項(xiàng)目數(shù)據(jù))及綜合數(shù)據(jù)(如國(guó)民經(jīng)濟(jì)核算、行業(yè)統(tǒng)計(jì)數(shù)據(jù))。
數(shù)據(jù)開(kāi)發(fā)環(huán)境:支撐數(shù)據(jù)建模、分析、測(cè)試的軟硬件及網(wǎng)絡(luò)環(huán)境(如政務(wù)云平臺(tái))。
公共數(shù)據(jù)使用單位:行政機(jī)關(guān)、事業(yè)單位等依法管理和使用公共數(shù)據(jù)的主體。
公共數(shù)據(jù)開(kāi)發(fā)單位:受委托承擔(dān)數(shù)據(jù)開(kāi)發(fā)全生命周期技術(shù)服務(wù)的專業(yè)機(jī)構(gòu)。
第三方服務(wù)機(jī)構(gòu):提供安全測(cè)評(píng)、容災(zāi)備份等輔助服務(wù)的非開(kāi)發(fā)主體。
第四條 原則要求
權(quán)責(zé)一致:落實(shí)“誰(shuí)收集、使用、運(yùn)行誰(shuí)負(fù)責(zé)”的責(zé)任制。
分域管理:按業(yè)務(wù)隔離數(shù)據(jù)域,操作全程留痕。
分級(jí)管理:數(shù)據(jù)分類分級(jí),按需分配最小權(quán)限。
量化閉環(huán):逐庫(kù)逐表防護(hù),持續(xù)優(yōu)化安全體系。
第二章 組織與職責(zé)
第五條 組織架構(gòu)
數(shù)據(jù)安全領(lǐng)導(dǎo)小組:統(tǒng)籌全局?jǐn)?shù)據(jù)安全策略,由局領(lǐng)導(dǎo)牽頭。
數(shù)據(jù)安全責(zé)任人:各部門指定專人,負(fù)責(zé)日常安全管理。
第六條 職責(zé)分工
公共數(shù)據(jù)使用單位職責(zé):制定安全管理制度,明確責(zé)任人與分管負(fù)責(zé)人;負(fù)責(zé)全生命周期數(shù)據(jù)安全管理(采集、存儲(chǔ)、共享、銷毀等);基于數(shù)據(jù)敏感性和重要性進(jìn)行分類分級(jí),建立權(quán)限管控(按需授權(quán))、加密存儲(chǔ)、數(shù)據(jù)脫敏、操作審計(jì)等安全機(jī)制,防止數(shù)據(jù)篡改、破壞、泄露,確保數(shù)據(jù)在開(kāi)發(fā)和使用中的完整性、可用性和安全性;根據(jù)實(shí)際業(yè)務(wù)需求,遵循“最小必要”原則,按需合規(guī)申請(qǐng)公共數(shù)據(jù)和政務(wù)云資源,避免資源濫用,嚴(yán)格保障數(shù)據(jù)開(kāi)發(fā)環(huán)境的安全性和合規(guī)性;監(jiān)督開(kāi)發(fā)單位及第三方機(jī)構(gòu),簽訂數(shù)據(jù)安全協(xié)議;制定應(yīng)急預(yù)案,定期開(kāi)展自查、風(fēng)險(xiǎn)評(píng)估、網(wǎng)絡(luò)安全檢測(cè)、漏洞修復(fù)等。
公共數(shù)據(jù)開(kāi)發(fā)單位職責(zé):落實(shí)安全開(kāi)發(fā)流程(需求、設(shè)計(jì)、測(cè)試、上線),做好開(kāi)發(fā)過(guò)程中人員安全檢測(cè)、評(píng)估和管理,及時(shí)整改安全隱患,強(qiáng)化閉環(huán)跟蹤和反饋;建立敏感數(shù)據(jù)清單及差異化保護(hù)策略;審核第三方合作方資質(zhì),實(shí)施數(shù)據(jù)接口白名單管控。
第三方服務(wù)機(jī)構(gòu)職責(zé):落實(shí)數(shù)據(jù)安全責(zé)任和義務(wù),做好人員安全管理;做好提供安全技術(shù)產(chǎn)品(如加密傳輸、訪問(wèn)控制);接受監(jiān)督檢查,建立數(shù)據(jù)保密制度。
第三章 數(shù)據(jù)分類分級(jí)管理
第七條 分類標(biāo)準(zhǔn)
基層數(shù)據(jù):原始采集數(shù)據(jù)(如企業(yè)報(bào)表、個(gè)人問(wèn)卷)。
綜合數(shù)據(jù):加工形成的統(tǒng)計(jì)數(shù)據(jù)(如GDP總量、行業(yè)增長(zhǎng)率)。
第八條 分級(jí)標(biāo)準(zhǔn)
級(jí)別 | 定義 |
核心數(shù)據(jù) | 直接影響國(guó)家安全重大公共利益 |
重要數(shù)據(jù) | 影響區(qū)域經(jīng)濟(jì)、社會(huì)穩(wěn)定 |
一般數(shù)據(jù) | 公開(kāi)或低敏感數(shù)據(jù) |
第九條 分級(jí)防護(hù)要求
核心數(shù)據(jù):加密存儲(chǔ)、獨(dú)立網(wǎng)絡(luò)隔離、雙人審批訪問(wèn)。
重要數(shù)據(jù):動(dòng)態(tài)脫敏、訪問(wèn)控制、定期備份。
一般數(shù)據(jù):基礎(chǔ)權(quán)限管控、操作留痕。
第四章 全生命周期安全管理
第十條 開(kāi)發(fā)階段
需求分析:提交《安全需求規(guī)格說(shuō)明書》,識(shí)別數(shù)據(jù)資源風(fēng)險(xiǎn)。
安全設(shè)計(jì):明確數(shù)據(jù)分類分級(jí)、權(quán)限管控、加密脫敏措施。
第十一條 測(cè)試與部署
環(huán)境隔離:開(kāi)發(fā)、測(cè)試環(huán)境與生產(chǎn)環(huán)境物理隔離,禁用真實(shí)數(shù)據(jù)測(cè)試。
數(shù)據(jù)脫敏:測(cè)試數(shù)據(jù)需靜態(tài)脫敏(如掩碼、替換)。
代碼安全:通過(guò)輸入驗(yàn)證和編碼、內(nèi)容安全策略(CSP)、安全掃描等措施,防范SQL注入、XSS漏洞。
審核監(jiān)管:開(kāi)發(fā)單位環(huán)境遷移至測(cè)試或生產(chǎn)環(huán)境前,使用單位需組織專業(yè)審核,評(píng)估成果及措施是否達(dá)標(biāo)。開(kāi)發(fā)單位全程記錄切換操作,使用單位定期審計(jì),確保合規(guī),保障切換安全可控。
第十二條 試運(yùn)行和驗(yàn)收
業(yè)務(wù)驗(yàn)證:組織復(fù)查數(shù)據(jù)加密、脫敏、安全傳輸及審計(jì)等既定安全策略與當(dāng)下業(yè)務(wù)流程的契合度,開(kāi)展安全評(píng)估審計(jì)。
安全測(cè)評(píng):委托專業(yè)機(jī)構(gòu)進(jìn)行應(yīng)用等保測(cè)評(píng)、密評(píng),對(duì)系統(tǒng)的人員權(quán)限分配、安全防護(hù)能力、數(shù)據(jù)加密效果、開(kāi)發(fā)測(cè)試數(shù)據(jù)銷毀等進(jìn)行全面評(píng)估;組織安全滲透檢測(cè),模擬黑客攻擊,查找系統(tǒng)潛在的安全漏洞;邀請(qǐng)行業(yè)專家對(duì)應(yīng)用數(shù)據(jù)安全狀況進(jìn)行評(píng)審。
第十三條 運(yùn)維與應(yīng)急
實(shí)時(shí)監(jiān)控:部署日志審計(jì)系統(tǒng),監(jiān)測(cè)異常操作(如批量下載)。
漏洞管理:定期掃描修復(fù)漏洞,更新系統(tǒng)補(bǔ)丁。
應(yīng)急響應(yīng):制定《數(shù)據(jù)安全事件處置流程》,定期開(kāi)展實(shí)操演練。
第十四條 應(yīng)用下架
數(shù)據(jù)銷毀:敏感數(shù)據(jù)采用多次覆寫或物理粉碎。
系統(tǒng)清理:清除殘留配置文件、釋放網(wǎng)絡(luò)資源。
第五章 技術(shù)保障措施
第十五條 權(quán)限管控
基于角色(RBAC)分配權(quán)限,離職人員權(quán)限即時(shí)回收。定期清理僵尸賬號(hào),記錄權(quán)限分配與調(diào)整過(guò)程。
第十六條 加密與脫敏
加密要求:核心數(shù)據(jù)采用SM4國(guó)密算法加密。
動(dòng)態(tài)脫敏:前端展示隱藏敏感字段(如手機(jī)號(hào)中間四位)。
第十七條 審計(jì)與溯源
部署數(shù)據(jù)庫(kù)審計(jì)系統(tǒng),留存操作日志6個(gè)月以上。敏感數(shù)據(jù)嵌入隱形數(shù)字水印,標(biāo)識(shí)使用單位及責(zé)任人。
第十八條 風(fēng)險(xiǎn)感知
搭建入侵分析系統(tǒng)平臺(tái),分析網(wǎng)絡(luò)數(shù)據(jù)包、系統(tǒng)日志等,識(shí)別異常流量或攻擊模式(如拒絕服務(wù)攻擊、掃描行為等),觸發(fā)警報(bào)、阻斷連接或聯(lián)動(dòng)防火墻等設(shè)備進(jìn)行防御實(shí)時(shí)監(jiān)視網(wǎng)絡(luò)或系統(tǒng)活動(dòng),檢測(cè)違反安全策略的行為或入侵跡象。發(fā)現(xiàn)風(fēng)險(xiǎn)后生成處置報(bào)告,閉環(huán)跟蹤整改。
第六章 附則
第十九條 實(shí)施與解釋
本規(guī)范自發(fā)布之日起實(shí)施,由臺(tái)州市統(tǒng)計(jì)局?jǐn)?shù)據(jù)中心負(fù)責(zé)解釋。
打印本頁(yè)
關(guān)閉窗口
|