ICS 35.240.01 CCS L67 15 内 蒙 古 自 治 区 地 方 标 准 DB15/T 2200—2021 智慧城市 数据及服务管理安全要求 Smart city — Data and service management security requirements 2021-05-25 发布 2021-06-25 实施 内蒙古自治区市场监督管理局 发 布 DB15/T 2200—2021 目 次 前言 ................................................................................. II 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语和定义 ......................................................................... 1 4 缩略语 ............................................................................. 2 5 管理原则 ........................................................................... 2 5.1 5.2 5.3 5.4 5.5 5.6 5.7 5.8 6 职责明确原则 ................................................................... 质量保障原则 ................................................................... 意图合规原则 ................................................................... 可审计原则 ..................................................................... 安全防护原则 ................................................................... 资源共享安全原则 ............................................................... 敏感信息保护原则 ............................................................... 目标明确原则 ................................................................... 2 2 2 2 2 2 3 3 管理角色与责任 ..................................................................... 3 6.1 概述 ........................................................................... 3 6.2 管理角色 ....................................................................... 3 6.3 管理责任 ....................................................................... 3 7 数据管理安全要求 ................................................................... 4 7.1 数据管理 ....................................................................... 4 7.2 主要活动安全管理要求 ........................................................... 4 8 服务管理安全要求 ................................................................... 6 8.1 服务管理 ....................................................................... 6 8.2 主要活动安全管理要求 ........................................................... 7 9 风险管理要求 ....................................................................... 8 9.1 风险识别 ....................................................................... 8 9.2 风险分析 ....................................................................... 9 9.3 风险处理 ....................................................................... 9 附录 A（资料性） 数据及服务管理敏感信息特征 .......................................... 10 附录 B（资料性） 数据及服务管理存在的安全风险 ........................................ 12 参考文献 ............................................................................. 13 I DB15/T 2200—2021 前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由内蒙古自治区大数据中心提出并归口。 本文件起草单位：内蒙古自治区大数据中心、杭州安恒信息技术股份有限公司、内蒙古工业大学网 络空间安全研究所、华信咨询设计研究院有限公司。 本文件主要起草人：包瑞林、孙卫、戚志军、周俊、丁熙、王钢、周烜义、李欢、崔连伟。 II DB15/T 2200—2021 智慧城市 数据及服务管理安全要求 1 范围 本文件规定了智慧城市中数据及服务的管理角色与责任、数据和服务管理的安全要求以及风险管理 要求。 本文件适用于各类组织在智慧城市建设中对数据及服务的安全管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 34678—2017 智慧城市 技术参考模型 GB/T 36622.1—2018 智慧城市 公共信息与服务支撑平台 第1部分：总体要求 GB/T 37043—2018 智慧城市 术语 3 术语和定义 GB/T 37043—2018界定的以及下列术语和定义适用于本文件。 3.1 组织 organization 由作用不同的个体为实施共同的业务目标而建立的结构，组织可以是一个企业、事业单位、政府部 门等。 3.2 大数据平台 big data platform 采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件集 合。 3.3 数据管理安全 data management security 针对数据目录管理、数据建模、元数据管理、数据整合、数据关联等方面进行安全风险管理。 3.4 服务管理安全 service management security 针对服务聚集、服务使用、服务整合、服务评价、服务生命周期等方面进行安全风险管理。 1 DB15/T 2200—2021 4 缩略语 下列缩略语适用于本文件。 API：应用程序编程接口（Application Programming Interface）。 5 管理原则 5.1 职责明确原则 组织应明确以下职责原则： a) 组织安全管理的第一责任人； b) 根据数据及服务规模、重要性、组织规模等因素，组织可成立安全管理团队，安全管理团队 为组织数据及服务的使用安全负责； c) 组织内部不同角色的数据及服务安全管理职责； d) 数据及服务的生命周期各活动实施主体及安全责任。 5.2 质量保障原则 组织应明确以下质量保障原则： a) 实施适当的措施确保数据及服务的准确性、相关性、完整性、时效性和可用性； b) 建立控制机制定期检查收集和存储的数据及服务的质量。 5.3 意图合规原则 对数据及服务的使用应基于法律依据。组织应制定相关流程确保数据的来源、数据的收集和服务的 使用方式没有违反任何法律义务，包括法律法规、合同条款等。 5.4 可审计原则 组织应记录数据及服务活动中各项操作的相关信息,且保证记录不可伪造和篡改，并采取有效技术 措施保证对数据及服务活动的所有操作可追溯。 5.5 安全防护原则 组织应明确以下安全防护原则： a) 对数据进行分类分级，对不同安全级别的数据实施恰当的安全防护措施； b) 确保处理数据平台、服务、用户的安全控制措施和策略有效，保护数据及服务的完整性、保 密性和可用性，确保在整个生命周期里，免遭诸如未授权访问、破坏、篡改、泄露或丢失等 风险； c) 确保数据及服务运营过程中的安全监测、安全预警和安全事件处置，做到事前发现、事中通 告、事后响应； d) 解决风险评估和安全检查中所发现的风险和脆弱性，并对数据及服务安全防护措施不当所造 成的安全事件承担责任； e) 定期对数据及服务涉及的相关人员进行安全意识教育、安全技术培训。 5.6 资源共享安全原则 组织应明确以下资源共享安全原则： 2 DB1