公共数据安全评估方法.docx

目次前言III1范围12规范性引用文件13术语和定义14缩略语25通则25.1评估原则25.2 评估体系25.3 安全能力35.4 评估手段35.5 评估适用情形45.6 评估指标和评估对象说明45.7 评估流程46通用管理安全评估51.1 1总体数据安全策略51.2 数据安全管理机构与人员61.3 数据安全管理制度体系H7通用技术安全评估131.1 数据分类分级保护131.2 数据安全评估151.3 数据安全风险监测171.4 数据安全管控191.5 数据安全应急处置231.6 数据安全审计258数据处理活动安全评估278. 1数据收集278.1 数据存储298.2 数据传输328.3 数据使用348.4 数据加工378.5 数据开放共享408.6 数据交易428.7 数据出境428.8 数据销毁与删除449整体评估469. 1整体评估要求469.1 评估子项间评估469.2 例外情况评估4710评估结论4710. 1安全风险分析和评价4711. 2评估结论判定47附录A（规范性）公共数据安全评估评分细则48A.1公共数据安全评估评分表48A.2公共数据安全评估评分方法70附录B（资料性）高风险项判例72附录C（资料性）常见威胁列表75附录D（资料性）公共数据安全评估报告模板78D. 1公共数据安全评估报告封面78D.2公共数据安全评估基本信息表79D.3公共数据安全评估报告大纲80附录E（资料性）公共数据安全评估案例81E. 1组建评估团队81E.2确定评估对象及评估范围81E.3评估对象调研81E.4组织评估实施81E.5评估报告编制86参考文献87,.l.刖S本文件按照GB/T1.1-2020标准化工作导则第1部分：标准化文件的结构和起草规则的规定起草。本文件由深圳市政务服务和数据管理局提出并归口。本文件起草单位：深圳市信息安全管理中心、全知科技（杭州）有限责任公司、鹏城实验室、中国电子标准化研究院、金砖国家未来网络研究院中国分院、深圳市智慧城市科技发展集团有限公司、深圳国家金融科技测评中心有限公司、深圳赛西信息技术有限公司、蚂蚁科技集团股份有限公司、华为技术有限公司。本文件主要起草人：董安波、李苏、罗菁春、林宇群、穆端端、赵剑、轩豪男、潘志斌、方兴、周顿科、魏凤玲、李佳雯、包亚鹏、陈崇滨、林生锐、束建钢、何延哲、林桢、刘慧洋、王志、罗丰、吴祖顺、白晓媛、常新苗。公共数据安全评估方法1范围本文件规定了公共数据安全的通则、通用管理安全评估要求、通用技术安全评估要求、数据处理活动安全评估要求、整体评估与评估结论。本文件适用于各级公共数据主管部门、公共管理和服务机构开展公共数据安全评估，也适用于处理大量个人信息的服务平台数据安全能力的评估。本文件不适用于涉及国家秘密的公共数据安全评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件,仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本GB/T222392019GB/T352732020GB/T379882019GB/T394772020信息安全技术信息安全技术信息安全技术信息安全技术文件。网络安全等级保护基本要求个人信息安全规范数据安全能力成熟度模型政务信息共享数据安全技术要求DB4403/T2712022公共数据安全要求3术语和定义GB/T352732020GB/T379882019DB4403/T2712022界定的以及下列术语和定义适用于本文件。3. 1公共数据commondata公共管理和服务机构及处理大量个人信息的服务平台在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。注：本文件提及的数据均指公共数据。3.2数据场景datascenario为了达到特定业务目的而对数据进行处理和使用的场景，对场景下数据流向进行全链路分析.注：单个数据场景可能涉及多个机构及其业务系统。3.3主责机构mainresponsibleorganization评估对象为数据场景时，场景涉及主要系统的责任部门。3.4关联机构relatedresponsibleorganization评估对象为数据场景时，涉及场景相关处理活动的其他机构。注：如数据场景处理活动仅在主责机构内部，则不涉及关联机构。4缩略语下列缩略语适用于本文件。SDK：软件开发工具包（SoftWareDevelopmentKit）API：应用程序接口（APPIiCationProgrammingInterface）5通则1.1 评估原则为规范公共数据安全评估工作，全面有效发现公共数据可能面临的各类安全风险，评估机构在评估过程中，遵循下列原则：a）公正客观原则：评估机构对评估对象数据安全保障措施进行公平客观的判定，不受机构性质、评估对象、评估时间、评估人员、利益关系等任何因素影响而损害评估的公正及客观性：b）最小影响原则：评估机构对评估对象的网络、业务、数据流转等正常运行造成的影响降低到最低，不因评估工作而导致业务连续性的中断；c）可控性原则：评估机构确保评估过程可管可控，使用的评估工具或技术手段，已经过实践验证，不存在安全隐患；d）全面性原则：评估机构全面覆盖评估要点，基于评估要点对评估对象涉及的资产（如制度类文档、数据资产、软硬件资产、人力资源等）、数据处理活动各环节进行评估；e）书面授权原则：评估机构开展评估工作得到被评估机构的正式书面授权；f）保密性原则：评估机构及评估人员与被评估机构签订数据安全相关保密协议，明确保密责任、义务及争议条款，除法律要求或获得被评估机构同意外，评估人员获取的评估对象相关信息、过程文档等严格保密，不对外透露。1.2 评估体系公共数据安全评估框架见图1,公共数据安全评估体系包含安全要求、安全能力、安全等级三个维度，三个维度具体内容如下：a）内容涵盖通用管理安全、通用技术安全及数据处理活动安全三方面安全要求；b）针对组织、制度、人员、技术四方面安全能力进行评估；c）对于不同的安全等级选取相对应的安全要求进行评估，评估对象涉及不同安全等级的数据类型且无法拆分评估时，依据评定的最高数据安全等级的安全要求开展评估，按照DB4403/T2712022中6.7规定的安全等级与安全要求的关系确定安全等级与对应安全要求。图1公共数据安全评估框架1.3 安全能力评估机构对评估对象的数据安全能力进行评估，安全能力应分为以下四个维度：a）组织能力：主要考察数据安全组织架构及人员的设立、职责分工及沟通协作；b）制度能力：主要考察数据安全制度及流程建设完备性、可执行性、动态更新性;c）人员能力：主要考察人员数据安全建设专业能力、工作执行落地情况；d）技术能力：主要考察采取技术手段或自动化技术工具落实数据安全要求的能力。1.4 评估手段公共数据安全评估宜采取如下评估手段开展评估工作：a）文档查阅：评估人员通过查看数据安全评估相关材料，如数据安全管理制度、业务安全保障措施技术材料、制度落地执行记录表单等，辅助验证是否符合相关安全要求；被评估机构提前准备相关文档以供评估人员查阅：b）人员访谈：评估人员与被评估机构相关人员进行交流、讨论、询问等，以初步验证数据安全要求的符合性，可结合其他评估手段，充分验证数据安全保障措施的有效性；访谈人员范围包含数据安全管理机构人员以及承载业务系统运行的应用、系统、网络相关人员等：c）技术检测：评估人员对业务系统不同应用形态（如网页应用程序、移动应用程序、小程序、公众号等）、系统、网络等进行技术测试，以验证是否符合数据处理活动技术安全要求；通过评估人员事先准备测试工具（如流量监测工具、扫描工具、渗透测试工具等）、业务注册或使用被评估机构准备的测试账号等以完成技术测试：d）系统核验：被评估机构人员根据评估人员的要求，上机核验被评估机构相关安全能力平台或业务数据处理活动各环节、数据操作日志记录等界面；此评估手段可直观验证数据安全保障措施是否有效，被评估机构人员安排相关人员进行现场演示，评估人员根据演示结果判断安全要求的符合性。1.5 评估适用情形满足如下情形之一，应及时启动评估工作：a）涉及公共数据的政务信息化建设项目合同终验前；b）承载公共数据的信息系统运营阶段，数据承载环境发生重大变更时，如数据处理技术模式变更、数据采集渠道变更、数据种类发生重大变化、批量数据共享对象变更、业务重大版本迭代、网络环境重大变更、数据存储系统升级改造、数据出境等；c）行业主管部门要求或法律法规规定的其他情形。1.6 评估指标和评估对象说明5. 6.1评估指标对第6章至第8章的评估指标进行编码，M指代通用管理安全，T指代通用技术安全，P指代数据处理活动安全，BR指代基本安全要求，TR指代三级增强要求，FR指代四级增强要求，DT指代数据子类或字段，各评估指标按照附录A进行评分。6. 6.2评估对象业务系统、数据场景均可作为评估对象。评估机构针对选取的评估对象，确定评估指标，开展评估工作，并编制形成评估报告。不同的评估对象适用于不同的评估指标：a）评估对象为业务系统，根据其安全等级选取第6章至第8章相对应安全要求的评估指标进行评估,判别依据为被评估机构数据安全组织架构、人员配备、制度流程、技术能力及与该业务系统相关的资产、已有安全保护措施等；b）评估对象为数据场景，应划分主责机构和关联机构，涉及的多个机构及其业务系统均纳入评估范围，评估指标选取原则如下：1）针对主责机构，参照第6章至第8章的评估指标对其开展评估：2）针对关联机构，一个关联机构可能涉及该场景下单个或多个数据处理活动环节，参照第8章中与该关联机构涉及数据处理活动环节所对应的评估指标开展评估。注：主责机构指数据场景主要系统的管理者，对该场景下处理的数据负主要责任。关联机构指与数据场景有关联关系，涉及该场景下数据处理活动中单个或多个环节的机构，对其涉及的环节负关联责任。5.7评估流程公共数据安全的评估流程按照以下步骤进行：a）组建评估团队：数据安全评估前，组建数据安全评估团队，评估团队宜包含评估机构评估人员、被评估机构数据安全管理机构人员，评估过程中涉及的人员包含评估对象相关的业务运营运维部门、业务开发测试部门、数据合作方等人员，评估机构的评估人员应具备数据安全评估能力，确保评估结果的有效性：b）确定评估对象：按照5.6.2明确数据安全评估对象，针对选定的评估对象，根据评估对象的安全等级，确定评估指标；c）评估对象调研：数据安全评估团队对评估对象相关数据安全工作进行充分调研，包括业务简介、网络拓扑情况、数据安全岗位人员、数据安全管理相关制度流程表单、数据安全设备部署情况、已有安全保护措施等；在组织评估实施之前，提供评估方案，并与被评估机构协商一致；d)组织评估实施：数据安全评估团队组织远程及现场评估，采用文档查阅、人员访谈、技术检测、系统核验等评估手段，开展评估指标的评分工作，并进行安全风险分析，附录B给出了高风险项示例，附录C给出了常见的数据安全威胁，可参考进行风险分析；e)评估报告编制：数据安全评估团队对评估过程进行记录，保存对应的评估佐证材料，并编制形成数据安全评估报告