DB33/T 2488-2022 标准规范下载简介:
内容预览由机器从pdf转换为word,准确率92%以上,供参考
DB33/T 2488-2022 公共数据安全体系评估规范.pdf公共数据分类分级管理相关制度评估子项内容主要包括: 全面性:查验制度文件是否包括分类分级原则、要求、维度、方法、操作指南、工作流程以 及类别和级别变更场景、变更申请审批流程及工作要求等; 可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施; 动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修 订相关制度文件,查验范围包括调研记录、修订记录等。
7.2数据访问权限管理制度
公共数据访问权限管理相关制度评估子项内容主要包括: 全面性:查验制度文件是否包括对公共数据载体和公共数据权限管理系统的账号权限安全管 理职责分工和工作要求,公共数据访问账号权限分配、开通、使用、变更、重置、锁定、注 销等的申请审批流程,对具备超级管理员权限或数据批量复制、处理、导出和删除等高风险 操作权限的帐号的重点安全管理要求等: 可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施; 动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修 订相关制度文件,查验范围包括调研记录、修订记录等
7.3数据脱敏管理制度
公共数据安全脱敏管理相关制度评估子项内容主要包括: 全面性:查验制度文件是否充分根据公共数据分类分级结果,是否包括公共数据脱敏规则、 管理要求、技术要求和脱敏工作流程等: 可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等GB 5009.4-2016 食品安全国家标准 食品中灰分的测定,推演判断文件规定内 容是否可在该组织落地实施; 动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修 订相关制度文件,查验范围包括调研记录、修订记录等。
7.4数据共享和开放安全管理制度
公共数据共享和开放安全管理相关制度评估子项内容主要包括: 全面性:查验制度文件是否充分根据公共数据分类分级结果;查验制度文件是否包括差 的公共数据共享和开放安全管理、技术要求、应用场景、工作流程和申请审批环节等:
DB33/T24882022
可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施; 动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修 订相关制度文件,查验范围包括调研记录、修订记录等
公共数据安全销毁管理相关制度评估子项内容主要包括: 全面性:查验制度文件是否充分根据公共数据分类分级结果;查验制度文件是否包括公共数 据销毁对象、销毁场景、销毁方式、销毁流程、销毁工作要求等; 可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施; 动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修 订相关制度文件,查验范围包括调研记录、修订记录等
7.6供应方安全管理制
供应方安全管理相关制度评估子项内容主要包括: 全面性:查验制度文件是否包括供应方及供应方人员的安全管理要求,涉及终端安全、网络 安全、数据安全、保密管理等方面;查验制度文件是否包括供应方及供应方人员的岗位安全 职责、安全考核要求和处罚措施;核查服务安全保护及保密协议是否明确了对供应方及供应 方人员的数据保密范围、保密责任与义务、保密期限等; 可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施; 动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修 订相关制度文件,查验范围包括调研记录、修订记录等
7.7安全监督检查制度
公共数据监督检查相关制度评估子项内容主要包括: 全面性:查验制度文件是否包括对公共数据安全体系建设现状的监督检查内容、方式、工作 周期、工作流程等; 可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施; 动态更新性:查验是否持续跟踪外部环境、政策变化、组织实际情况等,至少每年评估并修 订相关制度文件,查验范围包括调研记录、修订记录等
7.8 安全日志审计制度
公共数据安全日志审计相关制度评估子项内容主要包括: 全面性:查验制度文件是否包括安全审计日志的采集内容、采集方式、标准化要求、日志存 储要求、审计策略和规则、异常预警及处置工作流程等; 可执行性:充分考虑政策背景、行业技术发展情况、单位实际情况等,推演判断文件规定内 容是否可在该组织落地实施:
DB33/T24882022
8技术防护子体系评估项
8.1数据源统一鉴别技术
数据源统一鉴别技术评估子项内容主要包括: 功能性:检查该技术产品是否具备数据源身份统一鉴别、记录的功能,以及对数据真实性、 有效性、规范性进行检验的功能; 适用性:核查该技术产品是否有效防止非法数据源接入,实现防止虚假数据注入;核查该技 术产品性能是否满足该组织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等
8.2敏感数据识别技术
敏感数据识别技术评估子项内容主要包括: 功能性:检查该技术产品是否具备敏感数据识别功能; 适用性:核查该技术产品是否可有效识别出敏感数据;核查该技术产品性能是否满足该组织 业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等
8.3数据分类分级标识技术
数据分类分级标识技术评估子项内容主要包括: 功能性:检查该技术产品是否具备根据相关标准进行智能化分类分级的功能;检查该技术产 品是否具备数据分类分级标识功能;检查该技术产品是否具有数据分类分级结果的输出接口 用于分类分级结果的应用: 适用性:核查该技术产品是否可有效标识数据类别和级别;核查该技术产品性能是否满足该 组织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等
DB33/T24882022
公共数据脱敏技术评估子项内容主要包括: 功能性:检查该技术产品是否可实现敏感数据脱敏功能;检查该技术产品是否可实现数据存 储或使用脱敏功能(包含静态和动态脱敏);检查该技术产品是否可根据不同场景配置不同 的脱敏算法与规则等; 适用性:核查是否已有效对规定场景数据进行静态或动态脱敏保护;核查该技术产品性能是 否满足该组织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等
数据加密技术评估子项内容主要包括: 功能性:检查该技术产品是否可实现敏感数据存储和传输加密功能; 适用性:核查是否已有效对存储和传输的敏感数据实施加密保护;核查该技术产品性能是否 满足该组织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等
8.6传输通道加密技术
传输通道加密技术评估子项内容主要包括 功能性:检查该技术产品是否可实现数据传输通道加密; 适用性:核查是否已有效对数据传输通道实施加密保护;核查该技术产品性能是否满足该组 织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等,
8.7数据血缘关系技术
数据血缘关系技术评估子项内容主要包括: 功能性:检查该技术产品是否具有追踪记录数据间的血缘关系的功能;检查该技术产品是否 可根据数据血缘关系建立数据资产全景视图等; 适用性:核查该技术产品是否可有效监控数据流转过程;核查该技术产品性能是否满足该组 织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等,
8.8数据备份和恢复技术
数据备份和恢复技术评估子项内容主要包括: 功能性:检查该技术产品是否具备自动化数据备份的功能;检查该技术产品是否具备自动检 验备份数据完整性的功能;检查该技术产品是否具备数据恢复的功能等; 适用性:核查该技术产品在数据遭受破坏时,数据备份机制是否保存了恢复所需的数据,恢 复机制是否能够根据备份数据有效恢复,保证业务受影响程度在可接受的范围内;核查该技 术产品性能是否满足该组织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等
数据防泄漏技术评估子项内容主要包括:
DB33/T24882022
功能性:检查该技术产品是否具备数据防泄漏功能,包括终端、网络和应用等; 适用性:核查该技术产品是否有效实现了数据在终端、网络和应用等流转过程的防泄漏;核 查该技术产品性能是否满足该组织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等,
.10销毁数据识别技术
销毁数据识别技术评估子项内容主要包括: 功能性:检查该技术产品是否具备符合销毁场景数据的识别功能; 适用性:核查该技术产品是否可有效识别符合数据销毁场景的数据;核查该技术产品性能是 否满足该组织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等,
数据销毁技术评估子项内容主要包括: 功能性:检查该技术产品是否具备多种数据销毁策略和技术手段等; 适用性:核查该技术产品的销毁策略和手段是否可实现对数据的彻底销毁;核查该技术产品 性能是否满足该组织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等
8.12访问权限管理技术
公共数据访问权限管理技术评估子项内容主要包括: 功能性:检查该技术产品是否具备公共数据访问权限集中认证、统一访问入口等功能;检查 该技术产品是否具备库、表、字段级别的访问控制功能:检查该技术产品是否与数据脱敏相 关技术产品联动,实现动态脱敏等; 适用性:核查该技术产品是否有效支撑该组织和角色职能需求,实现公共数据访问权限的有 效管控;核查该技术产品性能是否满足该组织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等,
8.13数据共享和开放安全技术
公共数据共享和开放的安全技术评估子项内容主要包括: 功能性:检查该技术产品是否具备访问控制功能;检查该技术产品是否具备数据脱敏功能; 核查该技术产品是否具备接口实时数据安全监测与异常告警功能;检查该技术产品是否具备 数据追踪溯源功能,如数字水印标识等; 适用性:核查该技术产品是否可有效支撑共享和开放数据的访问控制功能;核查该技术产品 的数据脱敏能力是否可有效对共享和开放的数据实施脱敏,包括脱敏算法的类型、数量等; 核查该技术产品是否可有效发现接口安全风险,并告警:核查该数据产品的测源过程和结果 是否可信,例如采用区块链技术等;核查该技术产品性能是否满足该组织业务高峰期需求等 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等。
8.14安全监测与预警技术
公共数据安全监测与预警技术评估子项内容主
DB33/T24882022
功能性:检查该技术产品是否具备可配置化的量化指标的功能;检查该技术产品是否接入了 全量重要系统的日志数据,并具备支撑威胁发现、识别、理解分析、风险预警和提供处置建 议的能力等; 适用性:核查该技术产品是否有效发现该组织数据安全风险,支撑数据安全体系建设规划 核查该技术产品性能是否满足该组织业务高峰期需求等; 安全性:核查该技术产品本身是否存在安全漏洞、配置错误、业务逻辑错误等
9运行管理子体系评估项
2.1数据安全管理团队
公共数据安全管理团队评估子项内容主要包括: 完备性:检查是否设置公共数据安全管理团队,包括公共数据安全决策方、公共数据安全管 理方、公共数据安全执行方、公共数据安全审计方等;检查是否明确公共数据安全管理团队 的各方的职责分工;检查是否设置机构主要负责人为公共数据安全管理第一责任人:检查是 否设置专职的公共数据安全管理负责人;检查是否明确公共数据安全管理第一责任人和负责 人的工作职责等; 专业性:查验公共数据安全管理负责人是否具备数据安全专业知识和履职能力,包括具备CIS 等安全专业证书;查验公共数据安全管理负责人是否接受安全技能培训和考核;查验单位是 否为公共数据安全管理负责人提供必备的人力支持和技术支持。查验该团队成员专业人员安 全技术能力及安全专业证书覆盖程度,确保可胜任职责范围的工作; 可靠性:查验该团队安全管理负责人和成员的背景、履历等情况。
公共数据分类分级管理机制评估子项内容主要包括: 完整性:查验该工作机制是否与数据资源目录机制协同;查验该工作机制是否建立维护了数 据资产全景视图;查验该工作机制是否实现分类分级工作实施、工作结果反馈、分类分级机 制优化的闭环管理等; 符合性:查验分类分级工作实施、数据资源目录同步、分级结果反馈、分类分级机制优化等 工作过程文件和记录; 有效性:检查分类分级工作实施、数据资源目录同步、分级结果反馈、分类分级机制优化等 工作结果文件和记录。
9.3数据访问权限管理机制
公共数据访问权限管理机制评估子项内容主要包括: 一完整性:查验该工作机制是否包括公共数据访问权限的分配、开通、使用、变更、重置、注 销等的申请审批、实施、以及定期核查等;查验该工作机制是否建立维护了统一的公共数据 访问权限清单; 符合性:查验公共数据访问账号权限分配、开通、使用、变更、重置、注销等的申请审批、 实施、定期核查等工作过程文件和记录; 有效性:检查公共数据访问账号权限分配、开通、使用、变更、重置、注销等的申请审批、 实施、定期核查等工作结果文件和记录
9.4数据共享和开放安全管理机制
DB33/T24882022
公共数据共享和开放安全管理机制评估子项内容主要包括: 完整性:查验该工作机制是否包括公共数据共享和开放的申请审批,接口上线前和上线后的 安全检查、敏感数据实时监测告警处置等; 符合性:查验公共数据共享和开放的申请审批,接口上线前和上线后的安全检查、敏感数据 实时监测告警处置等工作过程文件和记录; 有效性:检查公共数据共享和开放的申请审批,共享和开放接口安全检查及整改、敏感数据 实时监测告警处置及整改等工作结果文件和记录
公共数据安全日志审计机制评估子项内容主要包括: 完整性:查验该工作机制是否包括违规行为告警的核实、分析、处置和整改等环节; 符合性:查验违规行为告警的核实、分析、处置和整改等工作过程文件和记录; 有效性:检查违规行为告警的核实、分析、处置和整改等工作的结果文件
9.6安全监督检查机制
公共数据安全监督检查机制评估子项内容主要包括: 完整性:查验该工作机制是否包括安全监督检查工作实施、工作总结,问题整改、整改效果 验证等环节; 符合性:查验安全监督检查工作实施、工作总结,问题整改、整改效果验证等工作过程文件 和记录; 有效性:检查安全监督检查工作实施、工作总结,问题整改、整改效果验证等工作结果文件 和记录。
公共数据安全培训机制评估子项内容主要包括: 完整性:查验该工作机制是否包括培训计划制定、工作实施、效果考核、计划优化调整等环 节; 符合性:查验培训计划制定、工作实施、效果考核、计划优化调整等工作过程文件和记录: 有效性:检查培训计划制定、工作实施、效果考核、计划优化调整等工作结果文件和记录,
DB33/T24882022
公共数据安全体系评估流程应依据评估对象及评估目标,按照确定评估范围、组建评估团 评估方案、实施评估和报告编制5个步骤实施,评估工作过程可参考图2。
图2评估工作过程示意图
评估团队应由评估人员和被评估单位相关人员组成,可根据单位实际情况及评估范围,聘请相关专 业机构或专家参与评估工作。被评估单位相关人员宜包括: 一公共数据安全管理人员; 一公共数据平台运维人员; 公共数据相关基础设施(政务云、网络、终端等)运维人员; 公共数据重点应用部门相关人员等,
10. 4制定评估方案
应制定评估方案。评估团队根据评估对象实际情况,确定评估场地、评估时间。依据评估范围选取 应的评估项(含子项)和评估维度,制定评估指标(取定评估权重和赋分规则可参考附录B),通过 料查询、人员访谈、问卷调查、功能演示和技术检测等评估方式,形成书面评估方案。评估方案主要 括: a 评估对象:被评估的组织机构或部门; b 评估范围:被评估方涉及评估的系统、应用、网络、终端以及相关部门和人员等; C 评估团队:评估人员和被评估单位涉及到的人员: d 评估场地:评估团队开展评估活动的地点; e 评估时间:评估起止时间; 评估指标:评估子项内容、评估权重、赋分(参见附录A);
实施评估主要包括以下步骤: a)评估团队按照评估方案实施评估,收集并整理相关证明材料,初步研判各评估指标符合情况 并记录评估过程信息:
DB33/T24882022
b)评估团队根据评估过程记录及证明材料,组织召开会议,与被评估单位确认研判结果,形成 各评估指标得分; c)根据评估指标得分,计算评估子项分值。 计算方法可参见附录C。
评估结果以报告形式展现,评估报告内容主要包括: a) 评估对象; b) 评估范围; c) 评估团队; d) 评估场地: e 评估时间; f) 评估方式; g) 评估指标及分值; h) 评估过程记录及关键证明材料; i) 安全风险; j) 评估结论; k) 整改建议、计划及已整改情况等。 评估工作案例可参见附录D。
评估结果以报告形式展现,评估报告内容 a 评估对象; 评估范围; 评估团队; 评估场地: 评估时间; 评估方式; 评估指标及分值; 评估过程记录及关键证明材料; 1 安全风险; j)评估结论; k)整改建议、计划及已整改情况等。 评估工作案例可参见附录D。
DB33/T24882022
公共数据安全体系评估指标定义示例
表A.1公共数据安全体系评估指标定义示例
DB33/T24882022
A.1公共数据安全体系评估指标定义示例(续
DB33/T24882022
A.1公共数据安全体系评估指标定义示例(续
DB33/T24882022
A.1公共数据安全体系评估指标定义示例(续
DB33/T24882022
A.1公共数据安全体系评估指标定义示例(续
DB33/T24882022
A.1公共数据安全体系评估指标定义示例(续
DB33/T24882022
A.1公共数据安全体系评估指标定义示例(续
出队可根据评估对象及评估项的实际情况,选取
B. 2 常用评估方式
B. 2. 1资料查阅
DB33/T24882022
附录B (资料性) 常用评估方式示例
评估人员查阅评估对象相关文件资料,包括但不限于项目数据安全方面的政策文件、管理制度、工 作流程以及工作中的相关记录文件,用以评估公共数据安全体系是否符合标准定义的一种方法。通常在 评估初期使用该方式。评估对象需要事先准备完整的文件资料以供评估人员查阅。
评估人员通过调研、访谈等形式,收集 共数据安全体系是否有效,并发现问 题,寻找整改方案的一种评估方式。通常在评估过程中深入组织实地调研时使用,组织需要安排熟悉数 据流转过程,承载数据的应用、系统、网络情况,公共数据安全体系建设及运行情况的人员参加访谈。
评估人员有目的、有计划、有系统地以书面的形式提出问题的方式搜集资料,以搜集评估对象相关 的现实状况或历史状况的材料进行整理、统计、分析的一种评估方式。通常在评估初期评估人员分发间 卷给评估对象相关人员,组织需要安排熟悉数据流转过程,承载数据的应用、系统、网络情况,公共数 据安全体系建设及运行情况的人 人员填写间卷
B. 2. 4 功能演示
评估人员查看公共数据安全相关应用、系统等,包括功能页面、功能实现效果等,以评估公共 全体系是否有效的一种方法。通常在评估过程中深入调研时使用,组织安排相关人员进行现场或 方式演示。评估人员根据演示情况进行评估。
B. 2. 5 技术检测
评估人员通过人工检查、实际测试、工具扫描、应用分析、硬件检测、攻防演练或渗透测试等方式 检测承载公共数据的应用、系统、网络以及相关安全系统,以评估公共数据安全体系是否有效的一种方 去。通常是评估人员针对公共数据生命周期涉及的相关技术指标进行验证时使用。评估人员需要事先准 备验证工具、与组织约定好评估时间,避免影响业务系统的正常运行。
DB33/T24882022
C.1评估团队可根据评估指标得分计算评估子项分值,对应附录A的评估指标设计,可 法。评估子项分值等于各评估指标得分之和。评估子项分值计算公式为: ASn= Xn +Yn + Zn.. 式中的变量符号说明见表C.1:
评估团队可根据评估指标得分计算评估子项分值,对应附录A的评估指标设计SN/T 5142-2019 进出口动物源性食品中粘菌素残留量的测定 液相色谱-串联质谱法,可采用下文计算 评估子项分值等于各评估指标得分之和。评估子项分值计算公式为:
= Xn +Yn +Zn..
表C.1变量符号说明表
根据评估子项分值,可分别计算每个子体系评估项分值,子体系评估项分值等于该类别中各评 分值与其评估权重的乘积之和: )制度规范子体系的评估项分值计算公式如下:
GB/T 6326-2014 轮胎术语及其定义AITi = ZASfull,*RAS
AIT2= ZH=29ASn*RASn n=2ASfull,*RASm
AIT3 = : Zn=ASn*RAST En=tASrull,*RAS * 100 +* (C.