ICS 35.240.01 CCS L 67 33 浙 江 省 地 方 标 准 DB33/T 2487—2022 公共数据安全体系建设指南 Guidelines for the construction of public data security systems 2022-04-26 发布 2022-05-26 实施 浙江省市场监督管理局 发 布 DB33/T 2487—2022 目 次 前言 ................................................................................ III 引言 ................................................................................. IV 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 总体原则及架构 ..................................................................... 2 4.1 总体原则 ....................................................................... 2 4.2 体系架构 ....................................................................... 2 5 制度规范子体系 ..................................................................... 3 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 5.9 5.10 制度规范子体系架构 ............................................................. 数据分类分级管理制度 ........................................................... 数据访问权限管理制度 ........................................................... 数据脱敏管理制度 ............................................................... 数据共享和开放安全管理制度 ..................................................... 数据安全销毁管理制度 ........................................................... 供应方安全管理制度 ............................................................. 安全监督检查制度 ............................................................... 安全日志审计制度 ............................................................... 安全事件管理与应急响应制度 .................................................... 3 3 3 4 4 4 4 4 5 5 6 技术防护子体系 ..................................................................... 5 6.1 6.2 6.3 6.4 6.5 技术防护子体系架构 ............................................................. 全生命周期安全管理技术 ......................................................... 访问权限管理技术 ............................................................... 数据共享和开放安全技术 ......................................................... 安全监测与预警技术 ............................................................. 5 5 6 6 6 7 运行管理子体系 ..................................................................... 6 7.1 7.2 7.3 7.4 7.5 7.6 7.7 7.8 7.9 运行管理子体系架构 ............................................................. 安全管理团队 ................................................................... 数据分类分级运行管理机制 ....................................................... 数据访问权限运行管理机制 ....................................................... 数据共享和开放安全运行管理机制 ................................................. 安全日志审计机制 ............................................................... 安全监督检查机制 ............................................................... 安全事件应急响应机制 ........................................................... 安全培训机制 ................................................................... 6 7 7 7 7 8 8 8 8 8 安全体系评估机制 ................................................................... 8 I DB33/T 2487—2022 8.1 8.2 8.3 8.4 评估概述 ........................................................................ 8 评估时机 ........................................................................ 9 评估实施 ........................................................................ 9 评估结果应用 .................................................................... 9 附录 A（资料性） 公共数据安全体系建设案例............................................. 10 A.1 现状分析 ....................................................................... 10 A.2 建设内容 ....................................................................... 10 A.3 建设成效 ....................................................................... 11 附录 B（资料性） 分类分级管理规范优化示例............................................. 12 附录 C（资料性） 数据脱敏内容示例 .................................................... 13 附录 D（资料性） 访问权限运行管理机制示例............................................. 14 附录 E（资料性） 数据安全事件应急响应 ................................................ 15 参考文献 .............................................................................. 16 II DB33/T 2487—2022 前 言 本标准按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别专利的责任。 本标准由浙江省大数据发展管理局提出、归口并组织实施。 本标准起草单位：浙江省大数据发展中心、数字浙江技术运营有限公司、联通数字科技有限公司、 浙江省标准化研究院、浙江省数据安全服务有限公司、杭州市数据资源管理局、宁波市大数据发展管理 局、温州市大数据发展管理局、湖州市大数据发展管理局、嘉兴市政务服务和数据资源管理办公室、绍 兴市大数据发展管理局、金华市大数据发展管理局、衢州市大数据发展管理局、舟山市大数据发展管理 局、台州市大数据发展管理局、丽水市大数据发展管理局