ICS 35.040 CCS L80 15 内 蒙 古 自 治 区 地 方 标 准 DB15/T 2197—2021 大数据应用 数据安全管理责任指南 Big data application——Data security management responsibility guide 2021-05-25 发布 2021-06-25 实施 内蒙古自治区市场监督管理局 发 布 DB15/T 2197—2021 目 次 前言 ................................................................................. II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 概述 ............................................................................... 1 4.1 基本原则 ....................................................................... 1 4.2 场景分类 ....................................................................... 2 5 安全控制措施 ....................................................................... 2 5.1 基本安全要求 ................................................................... 5.2 数据提供者安全控制措施 ......................................................... 5.2.1 数据来源合法 ............................................................... 5.2.2 数据共享管理 ............................................................... 5.3 数据使用者安全控制措施 ......................................................... 5.3.1 数据共享申请 ............................................................... 5.3.2 共享数据使用 ............................................................... 5.4 数据管理者安全控制措施 ......................................................... 5.4.1 数据共享管理 ............................................................... 5.4.2 安全管理 ................................................................... 5.4.3 检查评估 ................................................................... 5.4.4 安全事件调查处置 ........................................................... 5.4.5 人员培训 ................................................................... 5.5 服务第三方安全控制措施 ......................................................... 5.5.1 服务第三方通用安全要求 ..................................................... 5.5.2 数据产品提供者安全控制措施 ................................................. 5.5.3 数据服务提供者安全控制措施 ................................................. 2 3 3 3 3 3 3 4 4 4 4 5 5 5 5 5 6 参考文献 .............................................................................. 7 I DB15/T 2197—2021 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由内蒙古自治区大数据中心提出并归口。 本文件起草单位：内蒙古自治区大数据中心、杭州安恒信息技术股份有限公司、内蒙古工业大学网 络空间安全研究所、华信咨询设计研究院有限公司。 本文件主要起草人：包瑞林、孙卫、周俊、任子骙、林明峰、田丽丹、王钢、周烜义、李欢、崔连 伟。 II DB15/T 2197—2021 大数据应用 数据安全管理责任指南 1 范围 本文件规定了数据共享交换场景中的基本安全要求，定义了数据共享交换过程中涉及的各相关角色 的安全控制措施。 本文件适用于自治区相关单位通过大数据云平台进行数据共享交换过程中的安全管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 35295 信息技术 大数据 术语 3 术语和定义 GB/T 35295界定的以及下列术语和定义适用于本文件。 3.1 服务第三方 third party service provider 提供相关服务的供应方，包括数据产品和数据服务提供者。 3.2 数据管理者 data manager 数据的管理者，由政府赋予数据管理职能的行政机构。 3.3 数据血缘data lineage 数据在产生、传输、存储、处理、交换到销毁的全生命周期过程中，数据之间形成的可回溯的关联 关系。 4 概述 4.1 基本原则 数据共享交换安全控制措施的基本原则包括： a) 共享交换安全管理采取主动防御、综合防范方针，坚持保障数据共享交换安全与促进应用发 展相协调、管理与技术并重的原则，实行统一协调、分工负责、分级管理； 1 DB15/T 2197—2021 b) c) d) 支撑数据共享交换的基础设施和网络应符合国家等级保护和关键信息基础设施保护的相关法 规和标准； 数据共享交换过程由数据提供者、数据使用者、数据管理者和服务第三方组成。各参与方应 按照谁主管、谁负责，谁使用、谁负责，谁运营、谁负责的原则，在各自职责范围内，做好 数据安全管理工作； 数据共享交换过程中各参与方之间的安全责任相互独立，在部分情况下需要依赖于另一方安 全管理措施的有效性，责任由双方共同承担。 4.2 场景分类 数据共享交换活动涉及数据提供者、数据使用者、数据管理者以及服务第三方（数据运营提供者、 数据服务提供者），共享交换场景如图1所示。在数据共享交换场景下各相关方履行自身职责，采取安 全管理措施，以保证数据共享交换风险可控。 针对数据交换共享过程的数据流动、过程控制和管理，数据共享交换场景可分为以下几类： 场景1：数据提供者数据采集及共享环节； 场景2：数据服务提供者进行数据处理的环节； 场景3：数据使用者获取数据的环节； 场景4：数据运营提供者在数据采集、共享过程中的控制环节； 场景5：数据管理者在数据共享交换过程的管理环节。 数据管理者 数据流 场景5 控制与管理 场景2 场景1 数据提供者 场景3 数据服务提供者 数据使用者 场景4 场景4 数据运营提供者 图1 共享交换场景分类示意图 5 安全控制措施 5.1 基本安全要求 数据共享交换场景的基本要求包括： a) 数据共享工作应通过共享交换平台进行，通过 API 服务调用方式获取共享数据； b) 数据提供者、数据使用者、数据管理者可在保留安全管理责任的前提下，通过签订标准合同 明确责任和义务，将安全管理执行工作外包给服务第三方； 2 DB15/T 2197—2021 c) d) e) f) 对于无条件共享的数据，归集整理后通过平台可向各单位进行数据共享；对于有条件共享的 数据，由数据使用者向数据提供者提交数据资源共享申请，经数据提供者审批同意和数据管 理者审核确认后，通过平台的 API（应用程序编程接口）服务进行数据共享； 确立数据分类分级，根据数据敏感度等级、场景数据使用风险等级制定相应的控制措施； 数据的保存期限应符合法律法规的要求，共享交换过程涉及各方应及时销毁超过数据保存期 的数据，或者进行脱敏保存归档； 数据共享交换的各参与方应保障各阶段数据血缘的完整性，保障数据质量，并可提供数据处 理过程日志供第三方审计。 5.2 数据提供者安全控制措施 5.2.1 数据来源合法 数据提供者应保障数据来源合法，安全控制措施包括： a) 按照法定职责采集数据资源，明确本部门数据采集、发布、维护的规范和程序，确保数据的 正确性、完整性、时效性以及确权范围； b) 除法律、法规另有规定以外，应当遵循“一数一源”的原则，不得重复采集可以通过共享方 式获取的数据资源； c) 按照法律、法规规定的数据范围进行采集，遵循数据采集必要性及最小化原则，不得采集法 定范围之外的数据。 5.2.2 数据共享管理 数据提供者应提供数据共享服务，安全控制措施包括： a) 应明确本部门数据资源的共享范围，及时响应数据使用者的数