T/SDBDA 16-2021 农技推广信息化应用示范平台数据安全规范

主要技术内容:4概述数据生命周期的各个阶段本文件定义了数据生命周期的五个阶段，并针对数据特点和场景进行了描述：a)数据采集：系统中新产生数据，以及从外部系统收集数据的阶段；b)数据传输：数据从一个实体通过网络流动到另一个实体的阶段；c)数据存储：数据以任何数字格式进行物理存储或云存储的阶段；d)数据交换：组织机构与组织机构及个人进行数据共享、开放、交换的阶段；e)数据退役：不再进行处理的数据进入数据退役阶段，涉及对信息的归档、转移、丢弃、销毁以及对存储介质的销毁处理等。特定的数据所经历的生命周期由实际的业务场景所决定，并非所有的数据都会完整地经历六个阶段。数据安全体系数据安全体系分成数据生命周期安全、通用安全、安全监管三部分。数据生命周期安全、通用安全是指对数据生命周期各阶段通用的安全技术和管理措施。安全监管则是从数据主管部门角度提出的安全监管类措施。5通用安全数据安全策略规划建立组织机构整体的数据安全策略规划，数据安全策略规划的内容应覆盖数据全生命周期的安全风险。管理机构应：a)明确符合组织数据战略规划的数据安全总体策略，明确安全方针、安全目标和安全原则；b)基于组织的数据安全总体策略，在组织层面明确以数据为核心的数据安全制度和规程，覆盖数据生命周期相关的业务、系统和应用，内容包含目的、范围、岗位、责任、管理层承诺、内外部协调机制及合规目标等；c)明确并实施农技推广信息化应用示范平台和数据应用安全实施细则；d)明确数据安全制度规程分发机制，将数据安全策略、制度和规程分发至组织相关部门、岗位和人员。个人信息保护针对个人信息保护的合规要求，建立个人信息保护措施，防止个人信息保护的合规风险。管理机构应：a)梳理组织机构所有的个人信息保护合规要求并形成清单，能够定期通过跟进监管机构合规要求的动态对该清单进行更新；b)在传输和存储个人敏感信息时，采用加密等安全措施；c)在存储个人生物识别信息时，采用技术措施确保信息安全后再进行存储，例如将个人生物识别信息的原始信息和摘要分开存储，或仅存储摘要信息；d)对被授权访问个人信息的人员，建立最小授权的访问控制策略，使其只能访问职责所需的最少够用的个人信息，且仅具备完成职责所需的最少的数据操作权限。数据分类分级基于政策法规及数据共享和安全需求，确定组织机构内部的数据分类分级方法，对数据进行分类分级标识。服务机构应：a)明确数据分类