美创助力诸暨市大数据发展管理中心数据安全制度建设
制定《诸暨市数据安全管理与保障体系》,共修订11版,终版全册共十一章,16个表单,合计109页。
作为政府数字化转型和公共数据开放的先发之地,浙江省近年来大力推进数据开放工作,建设完善省市两级数据开放平台和开放网站,推动已归集数据实现“能开尽开”,并取得良好成效。
但同时,在数据开放工作上仍存在的一些困难和问题,如:管理体制有待进一步理顺、数据开放范围较小、部分领域数据质量有待提升、数据开放中的个人信息保护有待强化、部门担心数据开放产生风险后被追责等。
此背景下,诸暨市大数据发展管理中心为加强对公共数据开放、利用和安全管理的领导和协调,规范化诸暨市公共数据开放与利用,以《浙江省公共数据开放与安全管理暂行办法》等相关法律、行政法规为依据,参照国家相关网络安全标准,联合美创科技,制定符合本地实际需求的《诸暨市数据安全管理与保障体系》。
《诸暨市数据安全管理与保障体系》建设从广度与深度两个维度作为切入点,广度是参考外界相关法律法规及标准规范;深度是在外界相关标准上,结合诸暨市大数据的安全需求进行点状强化。为了加强数据管理体系可落地性,在对数据资产分类分级后,需要将不同类别、不同级别数据资产的安全要求融入至管理体系中。
此次建设依据2020年4月10日工信部发布的《网络数据安全标准体系建设指南(征求意见稿)》及GB/T37988-2019 《数据安全能力成熟度模型》来设计体系架构:
设计为三层架构,每一层是上一层支撑。第一层为数据安全管理总纲;第二层是以合规为基础,内外部数据安全制度与管理流程规范;第三层是为支撑制度、流程、规范的落地表单,以此留档、审计。
《诸暨市数据安全管理与保障体系》建设充分结合国家、地方等政策规定以及相关行业标准要求,主要依据如下:
1、《中华人民共和国网络安全法》
2、《数据安全法(草案)》(项目建设时《数据安全法》为草案)
3、《国家信息化领导小组关于我国电子政务建设指导意见》中办发〔2002〕17号
4、《国家信息化领导小组关于加强信息安全保障工作的意见》中办发〔2003〕27号
5、《国务院关于印发促进大数据发展行动纲要的通知》国发〔2015〕50号
6、《浙江省人民政府关于印发浙江省“互联网+”行动计划的通知》浙政发〔2016〕2号
7、《浙江省人民政府关于印发浙江省促进大数据发展实施计划的通知》浙政发〔2016〕6号
8、《深化数字浙江建设实施方案》浙政发〔2018〕48号
9、《浙江省数字化转型标准化建设方案(2018—2020年)》浙政办发〔2018〕70号
10、《浙江省促进大数据发展实施计划》浙政发〔2016〕6号
11、《浙江省公共数据和电子政务管理办法》省政府令354号
12、《国务院关于积极推进“互联网+”行动的指导意见》(国发〔2015〕40号)
13、《浙江省人民政府办公厅关于印发浙江省电子政务云计算平台管理办法的通知》(浙政办发〔2015〕8号)
14、《绍兴市大数据局数据安全体系》
根据客户实际需求,美创科技为本数据安全整体制度咨询服务指派了专职的资深数据安全顾问专家,全程参与、投入编制。共修订11版,终版全册共十一章,16个表单,合计109页。
4.1 管理总纲
作为诸暨市大数据发展管理中心的组织内部安全战略,统筹、整体说明了顶层规划,涵盖全局的数据开放与共享;同时界定了数据安全责任划分,规范数据归集、共享、使用。
4.2 管理制度
参照《省公共数据开放与安全管理暂行办法》、《政府数据分级分类指南》、《绍兴市公共数据开放分级分类指南》结合诸暨市现状,对数据的分级分类进行规定,并明确责任划分。2《公共数据采集与传输规范制度》
由数据采集规则、数据采集评估、数据采集质量把控管理三部分组成,对数据源的质量进行把控,定期对数据采集资产进行风险评估。3《公共数据存储与使用规范制度》
由数据脱敏规范、数据加密存储规范、数据访问权限管理规范三部分组成,明确在数据全生命周期中对数据进行脱敏、去标识化,同时加入审计及追踪溯源机制;对存储的数据及相关加密密钥的管理,同时针对第三方开发、运维用户访问核心敏感数据时的运维权限管控。4《公共数据共享与交换规范制度》
明确数源单位、大数据中心、数据使用单位三者的数据共享规范,明确在数据共享交换时需要关注的风险点并需满足相应的安全防护能力。5《公共数据销毁处置规范制度》
由数据销毁场景、数据销毁办法、数据销毁审批流程、数据销毁监督流程、数据销毁指南五部分组成,在数据全生命周期最后一步,将以电子或非电子形式存储的失效数据进行销毁。6《公共数据安全运营规范制度》
由内部员工数据安全管理制度、外来人员数据安全管理制度两部分组成,明确多方运维运营过程中,对运维人员的管控。
主要作为对诸暨全市局委办提供的数据进行风险分析,通过相应的评价机制对数据质量进行评定,并及时对全市范围内风险通报。
2《公共数据与应用风险评估上报制度》
主要说明了发现数据与应用风险后,如何向绍兴市、浙江省等上级直属部门以及公安、网信等监管部门进行上报。
由安全应急响应、数据安全应急预案两部分组成,一方面明确发生安全事件时整个闭环的流程流转,另一方面是如何尽快做应急处置,恢复正常业务生产。
2《灾难备份运维及演练管理制度》
由数据备份、备份介质管理、数据安全运维、切换演练四部分组成,主要围绕着容灾备份、数据库状态健康监控、备份切换模拟演练来做相应的规范。
作为国内领先的数据安全与数字化转型综合服务提供商,美创科技自2005年成立以来便聚焦数据安全,深度参与十余项国家及地方标准的起草和编制工作,对行业数据安全现状有深入理解。
美创目前拥有一支专业的数据安全咨询服务团队,主要由咨询专家、安全专家和数据库专家等人员组成,具备DSMM、CISP/CISSP、CZTP、ITIL等相关认证和丰富的项目实践经验。凭借领先的差距分析和风险评估能力、丰富的数据安全咨询经验、专业化的人才优势及公司后备资源库,目前已为政府、金融、海关等多个行业的客户提供量身定做专业的数据安全咨询服务,并获得广泛认可。
请输入标题
请输入标题
请输入标题
请输入标题