ICS 35.080 CCS L 77 贵 DB52 州 省 地 方 标 准 DB52/T 1557—2021 大数据开放共享安全管理规范 Security management specification for opening and sharing of big data 2021 - 01 - 14 发布 贵州省市场监督管理局 2021 - 05 - 01 实施 发 布 DB52/T 1557—2021 目 次 前 言 .............................................................................. II 1 范围 .............................................................................. 1 2 规范性引用文件 .................................................................... 1 3 术语和定义 ........................................................................ 1 4 总体要求 .......................................................................... 2 5 数据流通 .......................................................................... 3 6 数据开放安全管理 .................................................................. 4 7 数据共享安全管理 .................................................................. 6 参考文献 ............................................................................ 10 I DB52/T 1557—2021 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由贵州航天计量测试技术研究所提出。 本文件由贵州省大数据标准化技术委员会归口。 本文件起草单位：贵州航天计量测试技术研究所、贵州大学、贵州省机械电子产品质量监督检验院、 贵州财经大学、贵州省保密技术检查中心、贵州医科大学附属医院、贵州中软云上数据技术服务有限公 司。 本文件主要起草人：潘积文、陈永久、杨玉龙、彭长根、丁红发、郑少波、朱义杰、田有亮、 李明贵、禹忠、邓迪、杨大刚、姜龙、李帅、冯迪、黄克敏、魏自强、关艳梅、韦超。 II DB52/T 1557—2021 大数据开放共享安全管理规范 1 范围 本文件规定了大数据开放共享安全管理总体要求、数据流通过程、数据开放安全管理和数据共享安 全管理。 本文件适用于大数据开放共享的安全管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修订单）适用于本 文件。 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 35295 信息技术 大数据 术语 3 术语和定义 GB/T 35295 界定的以及下列术语和定义适用于本文件。 3.1 数据资源 data source 数据提供方在履行职责、业务处理、日常管理等过程中依法采集、生成、存储、管理的各类不宜公 开的数据，不含涉密数据和公开数据。 3.2 数据开放 data open 数据提供方在安全保密、公共利益导向前提下，面向数据接收方以非排他形式提供数据资源的行为。 3.3 数据共享 data share 数据提供方因履行职责、公共利益需要，经与数据接收方磋商，向数据接收方提供数据资源的行为。 3.4 数据提供方 data provider 基于数据流通平台，向其他政府部门、团体机构、企事业单位或公众提供数据资源的实体。 注：包括政府部门、团体机构、企事业单位或公众。 1 DB52/T 1557—2021 3.5 数据接收方 data receiver 使用数据资源的实体。 注：包括政府部门、团体机构、企事业单位或公众。 3.6 数据流通 data flow 参与开放、共享的数据资源作为流通对象，按照一定的规则从数据提供方传递到数据接收方的过程。 3.7 数据流通平台 data flow platform 用于数据流通的信息管理服务平台，包含承载数据资源的各业务系统。 3.8 数据流通服务机构 data flow service 负责数据流通的日常管理、业务流转、运行维护等经营活动的组织。 4 总体要求 4.1 安全原则 数据流通应遵循以下原则： a) 责任共担原则：数据流通服务机构、数据提供方、数据接收方对数据流通过程及结果负责，共 同确保数据流通的安全。 b) 合法合规原则：数据流通应遵从数据安全管理的相关法律法规、合同、标准等，遵守社会公德， 不得损害国家利益、社会公共利益和他人合法权益。 c) 责任权属原则：数据提供方对数据负责，数据流通过程中，责任不随数据转移而转移。 d) 最小授权原则：在保证数据流通完整实现的基础上，数据流通过程中各参与方具备最小操作权 限，确保非法用户或异常操作所造成的损失最小。 e) 数据安全原则：数据流通服务机构应确保数据流通平台的安全控制措施和策略有效，保护数据 生命周期的安全。 f) 安全审计原则：对数据流通平台的每次数据流通行为进行记录，确保可追溯可审查。 4.2 机构要求 数据流通服务机构应满足以下要求： a) b) c) d) 2 为无违法违规记录的境内合法组织机构； 得到相关行政或主管部门的授权或许可； 具备承担数据流通服务相对应的安全保障能力； 将从事境内数据流通服务的数据流通平台部署在我国境内； DB52/T 1557—2021 e) 数据流通服务机构职责：组织、协调和指导数据流通平台的建设、使用和开发工作；组织对数 据流通平台的安全检查和风险评估；监督和指导数据流通的日常管理、业务流转、运行维护等 经营活动；对数据流通参与方的注册信息进行审核；审查和确定数据流通平台用户的行为和权 限；建立和执行针对数据流通各参与方的安全监管、审计制度和流程；建立和执行针对数据销 毁的安全监管、审计制度和流程。 4.3 人员要求 数据流通服务机构应满足以下要求： a) b) c) d) e) f) 建立数据流通安全领导小组，由机构最高管理者或授权代表担任组长； 建立数据流通安全管理职能部门，设立安全管理负责人岗位，明确安全责任； 设立数据流通系统管理员、安全管理员、安全审计员等岗位，明确各岗位的安全职责； 对数据流通重要岗位人员进行安全审查和技术考核，确保无违法违规记录； 对数据流通重要岗位人员签署安全保密协议，与重要岗位人员签署岗位责任协议； 对数据流通各类岗位人员制定和实施培训计划，培训内容包括安全意识、专项技能等，具备与 岗位要求相适应的安全管理知识和专业技术水平； g) 对第三方人员进行安全管理，对于可能接触流通数据的第三方人员，签署安全保密协议。 4.4 制度要求 数据流通服务机构应满足以下要求： a) 根据数据流通的安全需求和安全目标，结合自身实际情况，制定明确的数据流通安全管理策略； b) 建立和执行安全责任制度，实行领导责任制，明确各岗位应承担的责任和义务； c) 建立和执行安全工作制度，包括人员、物理设施与环境、运行与开发、数据安全和个人信息安 全保护等； d) 为数据流通管理人员或操作人员执行的管理或业务操作建立操作规程； e) 定期对数据流通服务安全管理策略、制度和规程进行评审，并及时进行更新。 5 5.1 数据流通 数据开放 数据开放服务参考框架如图1所示。数据开放涉及到数据提供方、数据接收方和数据流通服务机构。 数据流通服务机构依托数据流通平台，制定数据流通安全管理保障措施，为数据提供方、数据接收方提 供数据开放服务。数据开放包括数据准备、数据发布和开放结束。 3 DB52/T 1557—2021 图 1 数据开放服务参考框架 5.2 数据共享 数据共享服务参考框架如图2所示。数据共享涉及到数据提供方、数据接收方和数据流通服务机构。 数据流通服务机构依托数据流通平台，制定数据流通安全管理保障措施，为数据提供方、数据接收方提 供数据共享服务。数据共享包括数据准备、共享磋商、共享实施和共享结束。 图 2 数据共享服务参考框架 6 数据开放安全管理 6.1 数据准备 6.1.1 数据提供方要求 数据提供方应满足以下要求： a) 为无违法犯罪记录的境内合法组织或自然人； b) 完成在数据流通服务机构的注册，并经数据流通服务机构审核通过； c) 遵守数据流通服务机构的安全管理制度和流程。 6.1.2 4 数据安全 DB52/T 1557—2021 6.1.2.1 数据安全要求 参与开放的数据应满足以下要求： a) 应确保通过合同或其他诸如强制的内部策略等明确界定数据接收方接收的数据范围和要求，确 保其提供同等或更高的数据保护水平； b) 应采用防计算机病毒系统对数据进行安全性扫描，确保数据的安全可靠； c) 应是真实可靠的数据，不应有蓄意伪造、篡改等造成数据污染的行为； d) 不应携带涉密、商业秘密、隐私等敏感信息及违法信息。 6.1.2.2 数据分类要求 应对开放数据进行分类，数据分类应满足以下要求： a) 数据分类应易于理解； b) 应形成文档化的数据分类条目，便于查询。 6.1.3 访问控制策略 6.1.3.1 策略制定 应根据数据提供方数据开放的需求和目标，结合数据接收方的实际需求，按照最小授权原则，制定 明确的数据开放访问控制策略。 6.1.3.2 策略更新 应根据数据提供方数据开放的需求和目标、数据接收方的需求、数据流通平台的变化情况，及时调 整现有的访问控制策略，动态保障数据流通平台的访问权限。 6.1.4 方案设计要求 数据流通服务机构进行数据开放应制定详细方案，方案设计应满足以下要求： a) 方案设计前