DB15/T 1874-2020 公共大数据安全管理指南

ICS35.040

L80

DB15

内蒙古自治区地方标准

DB15/T1874—2020

公共大数据安全管理指南

Publicbigdatasecuritymanagementguide

2020-04-03发布2020-05-03实施

内蒙古自治区市场监督管理局发布

DB15/T1874—2020

目次

前言...............................................................................III

1范围..............................................................................1

2规范性引用文件....................................................................1

3术语和定义........................................................................1

4概述..............................................................................3

4.1数据生命周期的各个阶段........................................................3

4.2数据安全体系..................................................................3

5通用安全..........................................................................4

5.1数据安全策略规划..............................................................4

5.2组织和人员管理................................................................5

5.3个人信息保护..................................................................5

5.4数据资源目录..................................................................6

5.5数据分类分级..................................................................7

5.6元数据管理....................................................................7

5.7敏感数据保护..................................................................7

5.8终端数据安全..................................................................8

5.9监控与审计....................................................................8

5.10鉴别与访问控制...............................................................8

5.11需求分析.....................................................................9

5.12数据供应链安全...............................................................9

5.13安全事件应急................................................................10

6安全监管.........................................................................10

7数据采集安全.....................................................................11

7.1数据采集安全管理.............................................................11

7.2数据源鉴别及记录.............................................................11

7.3数据质量管理.................................................................12

8数据传输安全.....................................................................12

8.1数据传输加密.................................................................12

8.2网络可用性管理...............................................................13

9数据存储安全.....................................................................13

9.1存储媒介安全.................................................................13

9.2逻辑存储安全.................................................................13

9.3数据备份和恢复...............................................................14

10数据使用安全....................................................................15

I

DB15/T1874—2020

10.1数据脱敏.....................................................................15

10.2数据分析安全.................................................................15

10.3数据正当使用.................................................................16

10.4数据处理环境安全.............................................................16

10.5数据导入导出安全.............................................................17

11数据交换安全.....................................................................17

11.1数据共享安全.................................................................17

11.2数据开放安全.................................................................18

11.3数据接口安全.................................................................18

12数据退役安全.....................................................................19

12.1数据退役处置.................................................................19

12.2存储介质销毁处置.............................................................19

参考文献.............................................................................21

II

DB15/T1874—2020

前言

本标准按照GB/T1.1-2009给出的规则起草。

“请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。”

本标准由内蒙古自治区大数据发展管理局提出并归口。

本标准起草单位：内蒙古自治区大数据发展管理局、内蒙古自治区党委网信办、中国电子技术标准

化研究院。

本标准主要起草人：孙卫、全鑫、包瑞林、刘贤刚、胡影、张宇光、刘朝苹、南丁、朱寰、应智强、

董建敏、崔连伟。

III

DB15/T1874—2020

公共大数据安全管理指南

1范围

本标准从通用安全、安全监管、数据采集安全、数据传输安全、数据存储安全、数据使用安全、数

据交换安全、数据退役安全等方面，规定了内蒙古自治区公共大数据安全管理指南。

本标准适用于规范公共管理和服务机构开展公共数据采集、存储、传输、使用、共享、开放、退役

等数据活动，也可为内蒙古自治区有关部门对数据活动进行监督管理提供参考。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069信息安全技术术语

3术语和定义

GB/T25069界定的以及下列术语和定义适用于本文件。

3.1

公共数据publicdata

公共管理和服务机构在依法履行职责过程中制作或获取的，以一定形式记录、保存的文件、资料、

图表和数据等各类数据资源，包括公共管理和服务机构直接或通过第三方依法采集的、依法授权管理的

和因履行职责需要依托政务信息系统形成的数据资源等。

3.2

公共管理和服务机构publicmanagementandserviceorganization

内蒙古自治区各级行政机关以及履行公共管理和服务职能的企事业单位和社会组织，涉及公共数据

开发的产业机构。

3.3

大数据bigdata

具有数量巨大、种类多样、流动速度快、特征多变等特性，并且难以用传统数据体系结构和数据处

理技术进行有效组织、存储、计算、分析和管理的数据集。

1

DB15/T1874—2020

3.4

重要数据importantdata

不涉及国家秘密，但如果泄露、毁损、丢失或被窃取、篡改和非法使用可能危害国家安全、国计民

生、公共利益的未公开数据。

3.5

个人信息personalinformation

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然

人活动情况的各种信息。

注：关于个人信息的范围和类型可参见GB/T35273《信息安全技术个人信息安全规范》附录A。

3.6

数据脱敏datadesensitization

通过一系列数据处理方法对原始数据进行处理以屏蔽敏感信息的一种数据保护方法。

3.7

大数据平台bigdataplatform

采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件集

合，包括监视大数据的存储、输入/输出、操作控制等大数据服务软硬件基础设施。

3.8

数据活动dataactivity

组织机构针对数据开展的一组特定任务的集合，数据活动主要包括采集、存储、传输、使用、共享、

删除等。

3.9

数据供应链datasupplychain

为满足数据供应关系，通过资源和过程将需方、供方相互连接的网链结构，可用于供方将数据及其

产品与服务提供给需方。

3.10

组织机构organization

由作用不同的个体为实施共同的业务目标而建立的结构。组织可以是一个企业、事业单位、政府部

门等。

注：本标准的组织机构，通常是指公共管理和服务机构。

2

DB15/T1874—2020

3.11

合规compliance

对数据安全所适用的法律法规的遵循。

4概述

4.1数据生命周期的各个阶段

本标准定义了数据生命周期的六个阶段，并针对公共数据特点和场景进行了描述：

——数据采集：组织机构内部系统中新产生数据，以及从外部系统收集数据的阶段。在公共数据方

面，通常是指公共管理和服务机构因履职需要，采用直接采集、委托第三方机构采集、协商等

方式向公民、法人和其他组织获取有关数据，以及通过业务系统、监测、测量、录音、录像等

方式产生有关数据；

——数据传输：数据从一个实体通过网络流动到另一个实体的阶段。在公共数据方面，通常是公共

管理和服务机构将数据传输归集到云平台、数据资源共享交换平台、大数据中心等，下一级部

门将公共数据传输汇聚到上一级部门等；

——数据存储：数据以任何数字格式进行物理存储或云存储的阶段。在公共数据方面，数据存储可

能涉及采集数据存储、归集汇聚后的数据存储、数据共享交换后的数据存储等；

——数据使用：组织机构针对数据进行计算、分析、可视化等操作的阶段。在公共数据方面，通常

是对公共数据进行整合，形成基础数据库和主题数据库，并进行大数据分析利用转化成公共大

数据产品或服务；

——数据交换：组织机构与组织机构及个人进行数据共享、开放、交换的阶段。公共数据共享通常

是公共管理和服务机构因履行职责需要使用其他公共管理和服务机构公共数据，并为其他公共

管理和服务机构提供公共数据。公共数据开放通常是公共管理和服务机构通过数据开放平台向

社会开放公共数据。公共数据交换通常是公共管理和服务机构间或公共管理和服务机构与个人

进行数据交互；

——数据退役：不再进行处理的公共数据进入数据退役阶段，涉及对信息的归档、转移、丢弃、销

毁以及对存储介质的销毁处理等。

特定的数据所经历的生命周期由实际的业务场景所决定，并非所有的数据都会完整地经历六个阶

段。

4.2数据安全体系

公共数据安全体系由30类安全技术和管理控制措施组成，分成数据生命周期安全、通用安全、安全

监管三部分，如图1所示。其中数据生命周期安全包含数据采集、数据传输、数据存储、数据使用、数

据交换、数据退役六个阶段的安全措施。安全通用安全是指对数据生命周期各阶段通用的安全技术和管

理措施。安全监管则是从公共数据主管部门角度提出的安全监管类措施。其中，安全监管是数据生命周

期安全建设中必须被满足的基线要求，通用安全是数据生命周期安全建设的中具有共性的安全建设内

容，一般贯穿于数据全生命周期建设，三者共同构建了公共数据安全体系。

3

DB15/T1874—2020

数据生命周期安全

数据采集安全数据传输安全数据存储安全数据使用安全数据交换安全数据退役安全

数据采集安全管理存储媒介安全数据脱敏数据共享安全

数据传输加密数据分析安全数据退役处置

数据源鉴别及记录逻辑存储安全数据正当使用数据开放安全

网络可用性管理数据处理环境安全存储介质销毁处置

数据质量管理数据备份和恢复数据导入导出安全数据接口安全

通用安全

数据安全策略与

组织和人员管理个人信息保护数据资源目录数据分类分级元数据管理敏感数据保护

规划

终端数据安全监控与审计鉴别与访问控制需求分析数据供应链安全安全事件应急

安全监管

图1数据安全体系

5通用安全

5.1数据安全策略规划

建立组织机构整体的数据安全策略规划，数据安全策略规划的内容应覆盖数据全生命周期的安全风

险。

公共服务和管理机构应：

a)设立负责组织机构数据安全制度流程和战略规划的建设的岗位和人员；

b)明确符合组织数据战略规划的数据安全总体策略，明确安全方针、安全目标和安全原则；

c)基于组织的数据安全总体策略，在组织层面明确以数据为核心的数据安全制度和规程，覆盖数

据生命周期相关的业务、系统和应用，内容包含目的、范围、岗位、责任、管理层承诺、内外

部协调机制及合规目标等；

d)明确并实施大数据系统和数据应用安全实施细则；

e)明确数据安全制度规程分发机制，将数据安全策略、制度和规程分发至组织相关部门、岗位和

人员；

f)明确数据安全制度及规程的评审、发布流程，并确定适当的频率和时机对制度和规程进行审核

和更新；

g)明确组织层面的数据安全战略规划，包括各阶段目标、任务、工作重点，并保障其与业务规划

相适应；

h)确保负责制定数据安全总体策略和战略规划的人员了解组织的业务发展目标，能够将数据安全

工作的目标和业务发展的目标进行有机结合；

i)确保负责制定数据安全制度和规程的人员具备信息安全管理体系建设的知识，并具备良好的规

范撰写能力；

j)确保负责推广数据安全策略规划的人员能够以员工和相关方易理解的方式，通过培训等宣导形

式对数据安全管理的方针、策略和制度进行有效传达。

4