1、 ICS 35.020 CCS L01 1310 廊坊市地方标准 DB 1310/T 3412024 数字乡村 县域网络数据安全管理规范 2024-06-28 发布 2024-07-28 实施 廊坊市市场监督管理局 发 布 DB 1310/T 3412024 I 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。本文件由中共廊坊市委网络安全和信息化委员会办公室提出。本文件起草单位:河北兰科网络工程集团有限公司、润泽科技发展有限公司、中共廊坊市广阳区委网络安全和信息化委员会办公室、中国移动通信集团河北有限公司廊坊分公司、中国电信集团有限公司廊
2、坊分公司、中国联合网络通信有限公司廊坊分公司、中国广电河北网络股份有限公司廊坊市分公司、快页信息技术有限公司。本文件主要起草人:刘顺海、马天午、樊英雷、刘欣羽、提文英、马群、赵志滨、郭睿、白金雪、张海付、徐斌、张建平、李时、李晓英、康亚祥、高继伟。DB 1310/T 3412024 1 数字乡村 县域网络数据安全管理规范 1 范围 本文件规定了县域网络数据安全管理的总体框架、管理要求、数据活动和安全运营。本文件适用于县域网络数据安全工作的管理。2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引
3、用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069 信息安全技术 术语 GB/T 31167 信息安全技术 云计算服务安全指南 GB/T 31168 信息安全技术 云计算服务安全能力要求 GB/T 35273 信息安全技术 个人信息安全规范 GB/T 37988 信息安全技术 数据安全能力成熟度模型 GB/T 43697 数据安全技术 数据分类分级规则 3 术语和定义 GB/T 25069、GB/T 35273、GB/T 37988和GB/T 43697界定的以及下列术语和定义适用于本文件。数据 任何以电子或者其他方式对信息的记录。网络数据 网络空间中产生、存储、传输和处
4、理的数据。核心数据 对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的,一旦被非法使用或共享,可能直接影响政治安全的重要数据,主要包括关系国家安全重点领域的数据,关系国民经济命脉、重要民生、重大公共利益的数据,经国家有关部门评估确定的其他数据。重要数据 特定领域、特定群体、特定区域或达到一定精度和规模的,一旦被泄露或算改、损毁,可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。仅影响组织自身或公民个体的数据一般不作为重要数据。DB 1310/T 3412024 2 一般数据 核心数据、重要数据之外的其他数据。数据活动 组织、机构针对数据开展的一组特定任务的集合,
5、数据活动主要包括收集、处理、分析、存储、使用、加工、传输、提供、公开、销毁等。网络数据处理者 在数据处理活动中自主决定处理目的、处理方式的组织、个人。数据安全 通过采取必要的措施,确保数据的保密性、完整性和可用性,防止数据被非法访问、篡改或破坏,以及确保合法利用数据的能力。4 总体框架 县域网络数据安全处理者,应基于统筹规划、统一策略和分级建设的基本原则,制定网络数据安全管理总体框架。该框架应确保数据安全能力涵盖数据管理的全方位和全过程,实现对数据的全面监控、风险的清晰可视化、安全的严密控制以及问题的可追溯性。5 管理要求 机构管理 5.1.1 应设立数据安全管理机构,明确数据安全责任人,落实
6、数据安全保护责任。5.1.2 数据安全管理机构应明确数据安全管理人员岗位职责,落实岗位人员,保障数据安全管理与审计工作开展。5.1.3 处理个人信息达到规定数量的,应指定个人信息保护负责人,负责对个人信息处理活动以及采取的保护措施等进行监督,并公开个人信息保护负责人联系方式,将个人信息保护负责人的姓名、联系方式等报送履行个人信息保护职责部门。5.1.4 应针对数据类别级别变更、数据权限变更、重要数据操作及外部系统接入等事项建立审批程序,按照审批程序执行审批过程。5.1.5 涉及合作方的,应与其签订合作协议及数据安全保密协议,明确双方数据安全保密责任与义务,每年不低于一次审核数据合作方资质背景、数据安全保障能力等,并组织动态合规评估。制度管理 5.2.1 应指定专门的部门或授权数据安全管理机构负责数据安全管理制度的制定。5.2.2 应建立健全数据安全保护制度体系,明确机构对数据的态度、保护数据的责任以及处理数据的安全措施,确保数据的合规性、隐私性、完整性和可用性。5.2.3 应至少包含数据安全管理、数据分类分级保护、数据安全风险评估、数据安全应急处置、数据安全培训 5 个部分。DB 13
安全达人 