《SZSD16 0001—2024公共数据共享开放安全风险评估规范.docx》由会员分享,可在线阅读,更多相关《SZSD16 0001—2024公共数据共享开放安全风险评估规范.docx(19页珍藏版)》请在课桌文档上搜索。
1、ICSCCSSZSD数字山东工程标准SZSD1600012024公共数据共享开放安全风险评估规范Securityriskassessmentspecificationtoropensharingofpublicdata2024-04-15发布2024-06-01实施滨州市大数据局发布前aIi引言HII范围42规范性引用文件43术谱和定义44评估原则44.1合法性原则1检杳该技术产出是否具符数据源身份统一冬别、记录的功能.以及刈敢施IX实性,有效性,规范性进行除险的功能.(全部滴足而4分)29适用性I1.核fit该技术产是否有效,(全都满足m2分2.核或该技术产必性能:否满足该批演业务高嶂期需求
2、等.(全却满足得I分)30安全性:核杳该技术产品本身是否存在安仝漏洞、配置锚次、业务逻辑锚识等.(全部汕足得3分)31技术防护子体系(IT2敏感数据以利技术8功能性:依Ef谟技术产&是否R番成感致据识别功能.(全部满足得4)32适川性I1.核杳该技术产足是否“的有败识别出故然数据的功能.(全部满足得2分)2,核置该技术产拈性能是杏满足该坦织业务班峰期需求警。(全部满足得】分)33安生性:核强该技术产品本身是否存在安仝沿河、tat设、业务花较错误等.(全部前足褥3分)3435数据分类分级标识技术8功能性:检代核技术产乩是否具备数据分类分四标以功能.以及只名对外同步枪口等2.核任该技术产品性能是台
3、满足设狙次业务高蟀期需求罪.(全都满足得1分)60安全性:核较该技术产品本身是否存在安全涮洞、M11M谀、业务龙辑错误等.(全部演足得3分)61访问权以笆理技术8功能性:检簧谖技术产晶是否具备公共数第访何权限埃中认证、统一访何入11、细粒度的访日控刎等功能.与数据蜕俄相大技术产品联动.(令i三足得4分)62姑用件:1.核直该技术产品是否有效支撑该阻织和角色职能*求,我现公共数据访问用户的统身份认证和访“控制,(全都满足得2分)2核杳谖技术产品性能是否满足谡组织业务高峰期霜求等,(全部满足孙I分)63安全性:核钱谖技术产品本。是否存在安全涧洞、配置情决、业务逻辑错误等.(全部满足得3分)64数据
4、共享和开放安全技术7功能性.依置核技术产拈是否具每访时控制.i幅脱般.1611突时数州安全监特与异常告警.据追踪济滋等功能.(全部满足却4W65适用性:1.核查该技术产品是否可有效支拉效据共享和开取全.(全部洪足孙2分)核贫该技术产丛性能是否满足该阻根业务商”明箭求等.仝制语足和I分)66安全性核杳谈技术产丛木弁是否存在安全麻涓,ft!HW设、业务运林浦俣等.仝制满足得3分)表A.1公共数据安全体系评估指标定义示例(续)IlA.!公共flt安全体系讦估年螺定义示例(缘)序号WftJK(AIT)褥估子NaS)IK分般Je67技术防护子体系GMT2)安全粒疆与彼警技术7功僮性I检森核技术产出是否m
5、台可配置的M化指标,是否全M推入武要系统H志,并具备支撑或协发现.必别、理解分析.14院预警和提供处置建议等功能,(全用:满足得,1分)68适用性:1.核ft该技术产品是否有效发现以姐却散粼安全W险,支掠数舶安全体系建设规划.(全部满足得2分)2.核宜询技术产品性货是否满足i祖织高稣期业务需求等.金制满足褥1分)69安全性,核套该技术产&本身是否存在安全*|租、配置错误、业务造林错决等.(部满足得3分)70运行管理数据安全团队6完任性:检代是否设置了公共数据安全笆理团队,井明册团队的&方的职我分工.拴会是否役置了机构士要负资人为公共数楙安全管理第一责任人.公共救据安全管理负责人及其工作半依百分
6、类分级工作结果文件和记录.(全部演足得,1分)76数据访问权限管理机制8克鬃性.董发该工作机制是否包括公典数据访问杈小的分配.开通、使用、变更、量置、注炳等的申请审批,实值、定期核ft.济单雄:护警,(全舒满足得3分)77符合性:作5公共数据访问账号权取管理工作过程文件和记录.(全部满足汨3分)78fi效性1检於公共IkJKi问账号权限管理工作结娱文件和记录,(全部满足得,1分)表A.1公共数据安全体系评估指标定义示例(续)序号讦估(AlT)讦估于货(AS)IK分战。79运行我理数据共享和开放安wa7完整性Ifit蛉该工作机IM是否包拈公八数据妖力和开放的申请审批.接口上线前和上战后的安仝校衣
7、、俵然数据实时航测告警处H等,(全部法足汨3分)80符合性:较我公共Bt据共*和开放安全管理1:作过程文件和记泉.(全部洪心得3分)81有效性I依衣公共致对共享和JUft安全管理工作结果文件和记玳.(仝部满足称4分)82安全日志审计机IW7完整性:件发该工作机制是否包括Mi现行为告警的核文、分析、处置和整改等环节.(全都谪足超3分.项不足扣1W83符合性1我网安全H志审计工作过程文件和记录。(至出满足积3分)84疗效性:检者安tfc日志审计工作的结果文件.(全部满足W4分)85安全监督检过机制7完整性:杳货速工作机制是否也括安全监停检套工作实(.X作总结.何监龄改.整改效果如耐节.(全部Si足
8、得3分).86符合性:杳验安全监行检查工作过程文件和记录.(4满足得3分:,87盯效性1收件安全监督检资工作姑果文件和记录。(全部满足秘4分)88安全事件应急响应机制8完整性:衣物读工作机制是否包括应急演缄规划实施、总结以及应物演练报告城制、应急预案优化等环节。89符合性:直验应急演级规划、实地总结以及应急演练报告编制.应急预案优化等工作过程攵件和记录,90疗效性:检簧应急演嫁规划、实随、总结以及4包演练报衿编8J.应例但案优化等:作结果文件和记液;检会安全M件发生时.应急响应工作记录和结果文件.91安全培训机5完整性我咬该工作机制是否包括培训计划制定、工作实Ife.效果核,计划优化调用等环节.(全部谪足科4分)92符合性.件般培训计划制定、工作次随.效果考核.计划优化调帖等工作过林文件和记录.(全部谪足和3分)93有效性:校长培训计划制定、工作实隹、效!K考核.ilJ优化调整等工作结果文件和记录.(全郃演足l3分)忆OZ100091。SZS
