DB15/T 1874-2020 公共大数据安全管理指南.pdf

ICS35.040
L80
DB15内蒙古自治区地方标准
DB15/T1874-2020
公共大数据安全管理指南
Public big data security management guide
2020-04-03  发布
2020-05-03  实施
内蒙古自治区市场监督管理局  发布

前言
本标准按照GB/T1.1-2009给出的规则起草。“请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由内蒙古自治区大数据发展管理局提出并归口。本标准起草单位：内蒙古自治区大数据发展管理局、内蒙古自治区党委网信办、中国电子技术标准化研究院。本标准主要起草人：孙卫、全鑫、包瑞林、刘贤刚、胡影、张宇光、刘朝苹、南丁、朱寰、应智强、董建敏、崔连伟。

内容摘抄：

公共大数据安全管理指南
1范围
本标准从通用安全、安全监管、数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据交换安全、数据退役安全等方面，规定了内蒙古自治区公共大数据安全管理指南。本标准适用于规范公共管理和服务机构开展公共数据采集、存储、传输、使用、共享、开放、退役等数据活动，也可为内蒙古自治区有关部门对数据活动进行监督管理提供参考。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文
件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。
GB/T25069信息安全技术术语
3术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件。
3.1公共数据public data
公共管理和服务机构在依法履行职责过程中制作或获取的，以一定形式记录、保存的文件、资料、图表和数据等各类数据资源，包括公共管理和服务机构直接或通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的数据资源等。
3.2公共管理和服务机构public management and service organization
内蒙古自治区各级行政机关以及履行公共管理和服务职能的企事业单位和社会组织，涉及公共数据开发的产业机构。
3.3大数据big data
具有数量巨大、种类多样、流动速度快、特征多变等特性，并且难以用传统数据体系结构和数据处理技术进行有效组织、存储、计算、分析和管理的数据集。

3.4重要数据important data
不涉及国家秘密，但如果泄露、毁损、丢失或被窃取、篡改和非法使用可能危害国家安全、国计民生、公共利益的未公开数据。
3.5个人信息personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。注：关于个人信息的范围和类型可参见GB/T35273《信息安全技术个人信息安全规范》附录A。
3.6数据脱敏data desensitization
通过一系列数据处理方法对原始数据进行处理以屏蔽敏感信息的一种数据保护方法。
3.7大数据平台big data platform
采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件集合，包括监视大数据的存储、输入/输出、操作控制等大数据服务软硬件基础设施。
3.8数据活动data activity
组织机构针对数据开展的一组特定任务的集合，数据活动主要包括采集、存储、传输、使用、共享、删除等。
3.9数据供应链data supply chain
为满足数据供应关系，通过资源和过程将需方、供方相互连接的网链结构，可用于供方将数据及其产品与服务提供给需方。
3.10组织机构organization
由作用不同的个体为实施共同的业务目标而建立的结构。组织可以是一个企业、事业单位、政府部门等。注：本标准的组织机构，通常是指公共管理和服务机构。

3.11合规compl iance
对数据安全所适用的法律法规的遵循。
4概述
4.1数据生命周期的各个阶段
本标准定义了数据生命周期的六个阶段，并针对公共数据特点和场景进行了描述：数据采集：组织机构内部系统中新产生数据，以及从外部系统收集数据的阶段。在公共数据方面，通常是指公共管理和服务机构因履职需要，采用直接采集、委托第三方机构采集、协商等方式向公民、法人和其他组织获取有关数据，以及通过业务系统、监测、测量、录音、录像等方式产生有关数据：数据传输：数据从一个实体通过网络流动到另一个实体的阶段。在公共数据方面，通常是公共管理和服务机构将数据传输归集到云平台、数据资源共享交换平台、大数据中心等，下一级部
门将公共数据传输汇聚到上一级部门等：数据存储：数据以任何数字格式进行物理存储或云存储的阶段。在公共数据方面，数据存储可能涉及采集数据存储、归集汇聚后的数据存储、数据共享交换后的数据存储等：数据使用：组织机构针对数据进行计算、分析、可视化等操作的阶段。在公共数据方面，通常是对公共数据进行整合，形成基础数据库和主题数据库，并进行大数据分析利用转化成公共大数据产品或服务：
数据交换：组织机构与组织机构及个人进行数据共享、开放、交换的阶段。公共数据共享通常是公共管理和服务机构因履行职责需要使用其他公共管理和服务机构公共数据，并为其他公共管理和服务机构提供公共数据。公共数据开放通常是公共管理和服务机构通过数据开放平台向社会开放公共数据。公共数据交换通常是公共管理和服务机构间或公共管理和服务机构与个人进行数据交互：
数据退役：不再进行处理的公共数据进入数据退役阶段，涉及对信息的归档、转移、丢弃、销毁以及对存储介质的销毁处理等。特定的数据所经历的生命周期由实际的业务场景所决定，并非所有的数据都会完整地经历六个阶段。
4.2数据安全体系
公共数据安全体系由30类安全技术和管理控制措施组成，分成数据生命周期安全、通用安全、安全监管三部分，如图1所示。其中数据生命周期安全包含数据采集、数据传输、数据存储、数据使用、数据交换、数据退役六个阶段的安全措施。安全通用安全是指对数据生命周期各阶段通用的安全技术和管理措施。安全监管则是从公共数据主管部门角度提出的安全监管类措施。其中，安全监管是数据生命周期安全建设中必须被满足的基线要求，通用安全是数据生命周期安全建设的中具有共性的安全建设内容，一般贯穿于数据全生命周期建设，三者共同构建了公共数据安全体系。

（略）

投稿会员：巧克力布丁