01建設目標
《諸暨市數據安全管理與保障體系》建設從廣度與深度兩個維度作為切入點,廣度是參考外界相關法律法規及標準規范;深度是在外界相關標準上,結合諸暨市大數據的安全需求進行點狀強化。為了加強數據管理體系可落地性,在對數據資產分類分級后,需要將不同類別、不同級別數據資產的安全要求融入至管理體系中。
此次建設依據2020年4月10日工信部發布的《網絡數據安全標準體系建設指南(征求意見稿)》及GB/T37988-2019 《數據安全能力成熟度模型》來設計體系架構:
設計為三層架構,每一層是上一層支撐。第一層為數據安全管理總綱;第二層是以合規為基礎,內外部數據安全制度與管理流程規范;第三層是為支撐制度、流程、規范的落地表單,以此留檔、審計。
《諸暨市數據安全管理與保障體系》建設充分結合國家、地方等政策規定以及相關行業標準要求,主要依據如下:
1、《中華人民共和國網絡安全法》
2、《數據安全法(草案)》(項目建設時《數據安全法》為草案)
3、《國家信息化領導小組關于我國電子政務建設指導意見》中辦發〔2002〕17號
4、《國家信息化領導小組關于加強信息安全保障工作的意見》中辦發〔2003〕27號
5、《國務院關于印發促進大數據發展行動綱要的通知》國發〔2015〕50號
6、《浙江省人民政府關于印發浙江省“互聯網+”行動計劃的通知》浙政發〔2016〕2號
7、《浙江省人民政府關于印發浙江省促進大數據發展實施計劃的通知》浙政發〔2016〕6號
8、《深化數字浙江建設實施方案》浙政發〔2018〕48號
9、《浙江省數字化轉型標準化建設方案(2018—2020年)》浙政辦發〔2018〕70號
10、《浙江省促進大數據發展實施計劃》浙政發〔2016〕6號
11、《浙江省公共數據和電子政務管理辦法》省政府令354號
12、《國務院關于積極推進“互聯網+”行動的指導意見》(國發〔2015〕40號)
13、《浙江省人民政府辦公廳關于印發浙江省電子政務云計算平臺管理辦法的通知》(浙政辦發〔2015〕8號)
14、《紹興市大數據局數據安全體系》
根據客戶實際需求,美創科技為本數據安全整體制度咨詢服務指派了專職的資深數據安全顧問專家,全程參與、投入編制。共修訂11版,終版全冊共十一章,16個表單,合計109頁。
4.1 管理總綱
作為諸暨市大數據發展管理中心的組織內部安全戰略,統籌、整體說明了頂層規劃,涵蓋全局的數據開放與共享;同時界定了數據安全責任劃分,規范數據歸集、共享、使用。
4.2 管理制度
管理制度分為三個維度,分別是《數據安全規范》、《監測預警與處置》、《應急響應與災難備份》,概述如下:參照《省公共數據開放與安全管理暫行辦法》、《政府數據分級分類指南》、《紹興市公共數據開放分級分類指南》結合諸暨市現狀,對數據的分級分類進行規定,并明確責任劃分。由數據采集規則、數據采集評估、數據采集質量把控管理三部分組成,對數據源的質量進行把控,定期對數據采集資產進行風險評估。由數據脫敏規范、數據加密存儲規范、數據訪問權限管理規范三部分組成,明確在數據全生命周期中對數據進行脫敏、去標識化,同時加入審計及追蹤溯源機制;對存儲的數據及相關加密密鑰的管理,同時針對第三方開發、運維用戶訪問核心敏感數據時的運維權限管控。明確數源單位、大數據中心、數據使用單位三者的數據共享規范,明確在數據共享交換時需要關注的風險點并需滿足相應的安全防護能力。由數據銷毀場景、數據銷毀辦法、數據銷毀審批流程、數據銷毀監督流程、數據銷毀指南五部分組成,在數據全生命周期最后一步,將以電子或非電子形式存儲的失效數據進行銷毀。由內部員工數據安全管理制度、外來人員數據安全管理制度兩部分組成,明確多方運維運營過程中,對運維人員的管控。
主要作為對諸暨全市局委辦提供的數據進行風險分析,通過相應的評價機制對數據質量進行評定,并及時對全市范圍內風險通報。
主要說明了發現數據與應用風險后,如何向紹興市、浙江省等上級直屬部門以及公安、網信等監管部門進行上報。
由安全應急響應、數據安全應急預案兩部分組成,一方面明確發生安全事件時整個閉環的流程流轉,另一方面是如何盡快做應急處置,恢復正常業務生產。
由數據備份、備份介質管理、數據安全運維、切換演練四部分組成,主要圍繞著容災備份、數據庫狀態健康監控、備份切換模擬演練來做相應的規范。
浙公網安備 33010502006954號 
