01建设目标
《诸暨市数据安全管理与保障体系》建设从广度与深度两个维度作为切入点,广度是参考外界相关法律法规及标准规范;深度是在外界相关标准上,结合诸暨市大数据的安全需求进行点状强化。为了加强数据管理体系可落地性,在对数据资产分类分级后,需要将不同类别、不同级别数据资产的安全要求融入至管理体系中。
此次建设依据2020年4月10日工信部发布的《网络数据安全标准体系建设指南(征求意见稿)》及GB/T37988-2019 《数据安全能力成熟度模型》来设计体系架构:
设计为三层架构,每一层是上一层支撑。第一层为数据安全管理总纲;第二层是以合规为基础,内外部数据安全制度与管理流程规范;第三层是为支撑制度、流程、规范的落地表单,以此留档、审计。
《诸暨市数据安全管理与保障体系》建设充分结合国家、地方等政策规定以及相关行业标准要求,主要依据如下:
1、《中华人民共和国网络安全法》
2、《数据安全法(草案)》(项目建设时《数据安全法》为草案)
3、《国家信息化领导小组关于我国电子政务建设指导意见》中办发〔2002〕17号
4、《国家信息化领导小组关于加强信息安全保障工作的意见》中办发〔2003〕27号
5、《国务院关于印发促进大数据发展行动纲要的通知》国发〔2015〕50号
6、《浙江省人民政府关于印发浙江省“互联网+”行动计划的通知》浙政发〔2016〕2号
7、《浙江省人民政府关于印发浙江省促进大数据发展实施计划的通知》浙政发〔2016〕6号
8、《深化数字浙江建设实施方案》浙政发〔2018〕48号
9、《浙江省数字化转型标准化建设方案(2018—2020年)》浙政办发〔2018〕70号
10、《浙江省促进大数据发展实施计划》浙政发〔2016〕6号
11、《浙江省公共数据和电子政务管理办法》省政府令354号
12、《国务院关于积极推进“互联网+”行动的指导意见》(国发〔2015〕40号)
13、《浙江省人民政府办公厅关于印发浙江省电子政务云计算平台管理办法的通知》(浙政办发〔2015〕8号)
14、《绍兴市大数据局数据安全体系》
根据客户实际需求,美创科技为本数据安全整体制度咨询服务指派了专职的资深数据安全顾问专家,全程参与、投入编制。共修订11版,终版全册共十一章,16个表单,合计109页。
4.1 管理总纲
作为诸暨市大数据发展管理中心的组织内部安全战略,统筹、整体说明了顶层规划,涵盖全局的数据开放与共享;同时界定了数据安全责任划分,规范数据归集、共享、使用。
4.2 管理制度
管理制度分为三个维度,分别是《数据安全规范》、《监测预警与处置》、《应急响应与灾难备份》,概述如下:参照《省公共数据开放与安全管理暂行办法》、《政府数据分级分类指南》、《绍兴市公共数据开放分级分类指南》结合诸暨市现状,对数据的分级分类进行规定,并明确责任划分。由数据采集规则、数据采集评估、数据采集质量把控管理三部分组成,对数据源的质量进行把控,定期对数据采集资产进行风险评估。由数据脱敏规范、数据加密存储规范、数据访问权限管理规范三部分组成,明确在数据全生命周期中对数据进行脱敏、去标识化,同时加入审计及追踪溯源机制;对存储的数据及相关加密密钥的管理,同时针对第三方开发、运维用户访问核心敏感数据时的运维权限管控。明确数源单位、大数据中心、数据使用单位三者的数据共享规范,明确在数据共享交换时需要关注的风险点并需满足相应的安全防护能力。由数据销毁场景、数据销毁办法、数据销毁审批流程、数据销毁监督流程、数据销毁指南五部分组成,在数据全生命周期最后一步,将以电子或非电子形式存储的失效数据进行销毁。由内部员工数据安全管理制度、外来人员数据安全管理制度两部分组成,明确多方运维运营过程中,对运维人员的管控。
主要作为对诸暨全市局委办提供的数据进行风险分析,通过相应的评价机制对数据质量进行评定,并及时对全市范围内风险通报。
主要说明了发现数据与应用风险后,如何向绍兴市、浙江省等上级直属部门以及公安、网信等监管部门进行上报。
由安全应急响应、数据安全应急预案两部分组成,一方面明确发生安全事件时整个闭环的流程流转,另一方面是如何尽快做应急处置,恢复正常业务生产。
由数据备份、备份介质管理、数据安全运维、切换演练四部分组成,主要围绕着容灾备份、数据库状态健康监控、备份切换模拟演练来做相应的规范。
浙公网安备 33010502006954号 
