ICS 35.020 DB3301 L 72 浙 江 省 杭 州 市 地 方 标 准 DB 3301/T 0322.1—2020 数据资源管理 第 1 部分：政务数据安全监管 2020 - 10 - 31 发布 杭州市市场监督管理局 2020 - 11 - 30 实施 发 布 DB3301/T 0322.1—2020 目  次 前  言............................................................................................................................................................. II 1 范围................................................................................................................................................................. 1 2 规范性引用文件............................................................................................................................................. 1 3 术语和定义..................................................................................................................................................... 1 4 监管目的......................................................................................................................................................... 1 5 监管流程......................................................................................................................................................... 2 5.1 5.2 6 监管内容......................................................................................................................................................... 2 6.1 6.2 6.3 7 监管角色与职责..................................................................................................................................... 2 监管框架................................................................................................................................................. 2 敏感数据监管......................................................................................................................................... 2 特权账号监管......................................................................................................................................... 3 基础设施监管......................................................................................................................................... 3 实现方式......................................................................................................................................................... 4 7.1 7.2 7.3 总则......................................................................................................................................................... 4 人工机制................................................................................................................................................. 4 自动机制................................................................................................................................................. 4 参考文献............................................................................................................................................................... 5 I DB3301/T 0322.1—2020 前  言 本部分按照GB/T 1.1-2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 本次发布DB3301/T 0322《数据资源管理》分为4个部分，以后根据工作需要，再视情增补。 ——第 1 部分：政务数据安全监管； ——第 2 部分：政务数据安全责任； ——第 3 部分：政务数据分类分级； ——第 4 部分：政务数据共享流程。 本部分为DB3301/T 0322的第1部分。 本部分由杭州市数据资源管理局提出并归口。 本部分起草单位：杭州市数据资源管理局、萧山区数据资源管理局、杭州安恒信息技术股份有限公 司、数字扁担（浙江）科技有限公司。 本部分主要起草人：丁熙、郭鹏飞、齐同军、章建平、夏鹏、任子骙、樊兴悦、周俊、孙茂阳、肖 国军、王梦婕。 II DB3301/T 0322.1—2020 数据资源管理 第 1 部分：政务数据安全监管 1 范围 本部分规定了数据资源管理过程中数据安全监管目的、监管流程、监管内容和实现方式。 本部分适用于开展数据安全监管工作。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 25069 信息安全技术 术语 3 术语和定义 GB/T 25069界定的以及下列术语和定义适用于本部分。 3.1 数据活动 指数据的收集、存储、加工、使用、提供、交易、公开等行为。 3.2 安全监管方 为保障数据安全而开展安全监控和审计的组织。 3.3 被监管方 进行数据活动的组织和人员。 3.4 交付件 对监管活动起到佐证作用的任何实体，包括但不限于文档、图片、录音、录像、实物、数据等，并 以纸质、电子等形式有效保存。 3.5 特权账号 特权账号包括但不限于主机操作系统管理账号、数据库管理及运维账号，中间件系统管理账号，网 络设备管理账号，安全系统和设备管理账号及应用系统内嵌账号。 4 监管目的 开展数据安全监管的目的是保障： ——数据安全保护工作持续满足国家及省、市相关法律法规、行政命令、政策和标准要求； 1 DB3301/T 0322.1—2020 ——数据活动安全风险可控； ——安全监管方能够有效、及时掌握基础设施的运行质量和安全状态。 5 监管流程 5.1 监管角色与职责 安全监管包含两个主要角色： ——安全监管方，应对数据运行各阶段开展安全监控和审计，对数据生命周期各阶段可能存在的未 授权访问、数据滥用、数据泄漏等安全风险的防控； ——被监管方，应按照安全监管要求提供相关交付件用于审计分析，收到相关安全风险通报后及时 整改。 5.2 监管框架 被监管方应对数据活动过程中的敏感数据安全、特权人员权限和基础设施运行落实相关管理和技术 措施，并为安全监管方提供可证明的交付件，交付件可通过接口自动获取或人工手动提交。 安全监管方应对交付件进行分析审核和评估验证等监管活动，形成监管结果。发现安全问题时应向 被监管方反馈结果，必要时应根据监管结果给出合理的整改意见和建议。 数据安全监管框架图参见图1。 图1 6 数据安全监管框架 监管内容 6.1 敏感数据监管 6.1.1 敏感数据级别标签监管 结合国家法规标准与数据分类分级要求，判定敏感数据设置合法性与合理性。 6.1.2 敏感数据传输监管 确保敏感数据落实相应等级的传输加密保护，必要时可对安全通道方案、身份鉴别和认证机制、数 据加密算法进行评估审核。 2 DB3301/T 0322.1—2020 6.1.3 敏感数据存储监管 确保敏感数据落实相应等级的存储加密手段，必要时可对数据库配