首页 > 国家标准(GB) > GB/T 39477-2020 信息安全技术 政务信息共享数据安全技术要求
GB/T 39477-2020

基本信息

标准号: GB/T 39477-2020

中文名称:信息安全技术 政务信息共享数据安全技术要求

标准类别:国家标准(GB)

标准状态:现行

出版语种:简体中文

下载格式:.zip .pdf

下载大小:1897843

相关标签: 信息安全 技术 共享 数据安全

标准分类号

关联标准

出版信息

相关单位信息

标准简介

GB/T 39477-2020.Information security technology- Government information sharing-Data security technology requirements.
1范围
GB/T 39477提出了政务信息共享数据安全要求技术框架,规定了政务信息共享过程中共享数据准备共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求。
GB/T 39477适用于指导各级政务信息共享交换平台数据安全体系建设,规范各级政务部门使用政务信息共享交换平台交换非涉及国家秘密数据安全保障工作。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文.件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22239-2019信息安全技术 网络安 全等级保护基本要求
GB/T 25069信息安全技术 术语
GB/T 31168-2014信息安全技术 云计算服务安 全能力要求
GB/T 35273信息安全技术 个人信息安 全规范
GM/T 0054信息系统密码应用基本要求
3术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
数据安全 data security
采用技术和管理措施来保护数据的保密性、完整性和可用性等。
3.2
政务信息共享 government information sharing
因履行职责需要使用其他政务部门政务信息资源和为其他政务部门提供政务信息资源的行为。
3.3
共享数据提供方 shared data provider
在政务信息共享过程中,为其他部门提供政务信息资源并且是资源责任主体的政务部门或组织机构。
3.4
共享数据交换服务方 data sharing service provider
在政务信息共享过程中,为各政务信息共享交换主体提供政务信息共享交换技术支持和服务的组织机构。
3.5
共享数据使用方 shared data consumer
在政务信息共享过程中,根据履行职责需要,使用其他部门共享资源的政务部门或组织机构。

标准图片预览






标准内容

ICS35.040
中华人民共和国国家标准
GB/T39477—2020
信息安全技术
政务信息共享
数据安全技术要求
Information security technologyGovernment information sharingDatasecuritytechnologyrequirements2020-11-19发布
国家市场监督管理总局
国家标准化管理委员会
2021-06-01实施
GB/T39477—2020
规范性引用文件
术语和定义
缩略语
政务信息共享安全框架
政务信息共享交换业务模型
5.2政务信息共享数据安全技术要求框架6数据安全技术要求
共享数据准备安全要求
共享数据交换安全要求
共享数据使用安全要求
基础设施安全技术要求.
通用要求
基础网络
政务信息共享交换云平台
前置交换子系统
资源共享网站,
附录A(资料性附录)政务信息共享交换平台一般框架附录B(资料性附录)
政务信息共享交换模式
参考文献
本标准按照GB/T1.1一2009给出的规则起草GB/T39477—2020
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:国家信息中心、深圳奥联信息安全技术有限公司、中国电子技术标准化研究院、公安部信息安全等级保护评估中心、国家保密科技测评中心、中国信息安全测评中心、国家信息技术安全研究中心、上海市大数据中心、清华大学、四川大学、中国电子科技网络信息安全有限公司、中国申子科技集团公司申子科学研究院、成都卫十通信息产业股份有限公司、全知科技(杭州)有限责任公司、亚信科技(成都)有限公司、北京安华金和科技有限公司、杭州数梦工场科技有限公司、陕西省信息化工程研究院、广东京信软件科技有限公司、北京信息安全测评中心、杭州美创科技有限公司。本标准主要起草人:程朝辉、徐春学、罗海宁、焦迪、刘增益、曹虎、张岱、刘朝苹、于东升、裘薇、刘迎风、梁满、都婧、苗春卫、胡影、金涛、望娅露、颜亮、唐鸣、王晓航、王蒙蒙、李东访、宣涂淼、张冰烨、李伟明、任飞、梁孟、张勇、李媛、胡国华、周健雄、杨苗苗、蔡毅、王振东、朱通、张琳、干晨、王平、陈哲、杨晶、蔡先勇、孙晖。
GB/T39477—2020
为解决政务信息共享交换工作开展过程中数据泄露、数据滥用等问题,本标准制定政务信息共享交换过程的数据安全技术要求,指导政务信息共享交换数据安全体系建设,增强政务信息共享交换的数据安全保障能力。
1范围
信息安全技术政务信息共享
数据安全技术要求
GB/T39477—2020
本标准提出了政务信息共享数据安全要求技术框架,规定了政务信息共享过程中共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求本标准适用于指导各级政务信息共享交换平台数据安全体系建设,规范各级政务部门使用政务信息共享交换平台交换非涉及国家秘密数据安全保障工作。规范性引用文件
下列文件对干本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用干本文件。GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语
GB/T31168一2014信息安全技术云计算服务安全能力要求GB/T35273信息安全技术个人信息安全规范GM/T0054信息系统密码应用基本要求3术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件。3.1
数据安全data security
采用技术和管理措施来保护数据的保密性、完整性和可用性等。3.2
政务信息共享
government information sharing因履行职责需要使用其他政务部门政务信息资源和为其他政务部门提供政务信息资源的行为。3.3
共享数据提供方shareddataprovider在政务信息共享过程中,为其他部门提供政务信息资源并目是资源责任主体的政务部门或组织机构。
共享数据交换服务方datasharingserviceprovider在政务信息共享过程中,为各政务信息共享交换主体提供政务信息共享交换技术支持和服务的组织机构。
共享数据使用方shareddataconsumer在政务信息共享过程中,根据履行职责需要,使用其他部门共享资源的政务部门或组织机构。GB/T39477—2020
resourcecatalog
资源目录
通过对政务信息资源依据规范的元数据描述,按照一定的分类方法进行排序和编码的一组信息。注:资源目录是用来描述各个政务信息资源的特征,以便于对政务信息资源的检索、定位与获取。3.7
sensitivedata
敏感数据
由权威机构确定的受保护的信息数据。注:敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害,3.8
数据召回datarecall
因安全等原因对特定数据进行回收处理,数据使用方对标记为召回的数据进行销毁,并停止对数据使用的过程。
数据血缘关系datalineageWww.bzxZ.net
数据在产生、处理、流转到消亡过程中,数据之间形成的可回溯的关联关系。3.10
溯源信息
provenance information
数据处理过程中记录的可实现追踪数据来源的信息。4缩略语
下列缩略语适用于本文件。
APT:高级持续性威胁(AdvancedPersistentThreat)IP:
因特网协议(InternetProtocol)SSH:
安全外壳协议(SecureShell)
5政务信息共享安全框架
5.1政务信息共享交换业务模型
政务信息共享由共享数据提供方、共享数据交换服务方与共享数据使用方三方参与,由共享数据准备、共享交换和共享数据使用三个阶段组成。政务信息共享交换业务模型如图1所示共享数据提供方是共享数据权益主体,共享数据交换服务方是政务信息共享交换平台的建设和运维主体,共享数据使用方是共享数据使用的责任主体。政务信息共享交换平台的一般框架参见附录A。在共享数据准备阶段,共享数据提供方根据共享业务需求完成共享数据归集、数据分级分类后,形成资源目录并管理数据共享方式,持续进行共享数据维护,准备好以批量交换数据、提供数据查询服务、提供核验、统计、分析类综合数据服务等方式对外提供共享数据,构建共享数据更新和失效召回机制,对已失效的数据及时召回。共享数据提供方采用数据源鉴别、数据分级分类、资源目录管理和共享数据维护等技术手段完成共享数据准备,保证共享数据准确、完整、可用和来源真实,在共享数据交换阶段,共享数据使用方利用政务信息共享交换平台进行共享数据查询,提出共享数据访问申请和登记。在共享数据交换服务方对资源访问申请进行审核并完成授权或者根据需要由共享数据提供方进行审批、共享数据交换服务方审核并完成授权后,共享数据提供方对准备好的共享数据进行数据导出,根据需要共享数据交换服务方提供数据交换服务,共享数据使用方获取并导人数据。共享数据交换服务方采用身份鉴别、访问控制、安全传输、过程追溯等技术手段,保证政务信息共享交换过程2
交换实体可信、数据传输安全、交换行为记录可追查GB/T39477—2020
在共享数据使用阶段,共享数据使用方在完成数据获取后,可进一步通过数据处理、数据存储、数据备份等数据服务机制构建政务信息资源,可在审核允许的使用方式和范围内,为其他部门提供综合数据共享服务,并根据管理要求对过期和召回的共享数据进行数据销毁,根据共享数据提供方的要求,对数据使用过程进行数据使用监测和反馈。共享数据使用方根据共享数据的安全要求,采用访问控制、数据加密、安全存储、安全销毁等技术手段保障数据使用安全。共享数据交换服务方对经过政务信息共享交换平台开展的数据共享业务,针对系统、业务、安全、数据使用监测反馈等内容进行监管统计,保证共享交换服务持续、稳定、可靠运行。政务信息共享交换平台除了在共享数据提供方与使用方间提供数据共享交换服务外,也可经授权后,基于归集处理后的政务信息数据提供二次共享服务。政务信息共享交换模式以及政务信息共享交换平台多种业务模型的对应关系参见附录B共享数据提供方
共享数据归集
数据分级分类
资源目录管理
共享数据维护
授权管理
数据导出
资源目录
资源申请
批量交换数据。
数据查询结果。
综合数据服务
共享数据交换服务方
用户管理
授权管理
数据交换
监管统计
资源目录
资源申请
批量交换数据
数据查询结果
综合数据服务
监管反馈
图1政务信共享交换业务模型
5.2政务信息共享数据安全技术要求框架共享数据使用方
资源查询/
申请/登记
数据导入
数据处理
数据存储
数据备份
数据销毁
数据使用监管
政务信息共享数据安全技术要求框架由数据安全技术要求和基础设施安全技术要求两部分组成。政务信息共享数据安全技术要求框架如图2所示。3
GB/T39477—2020
共享数据准备
数据源鉴别
分级分类
资源目录安全
数据质量控制
数据存储加密
数据存储隔离
数据更新和召回
政务信息共享数据安全技术要求框架共享数据交换
用户管理安全
授权管理安全
数据脱缴
数据加密
权限标记
安全策略检查
事务标记
身份鉴别
访间控制
安全传输
操作抗抵赖
过程追溯
基础设施安全技术要求
共享数据使用
身份鉴别
访问控制
授权管理安全
数据脱敏
数据加密
数据防泄露
分布式处理安全
数据处理溯源
数据分析安全
安全审计
存储安全
数据防护
图2政务信息共享数据安全技术要求框架数据安全技术要求体系涵盖共享数据准备、共享数据交换和共享数据使用三个阶段中各功能集合所需的安全技术要求。
共享数据准备阶段的功能集合和对应的数据安全技术要求项目如下,以保证共享数据准备和维护过程中数据安全可控:
a)共享数据归集:数据源鉴别;数据分级分类:分级分类;
资源目录管理:资源目录安全;c)
d)共享数据维护:数据质量控制、数据存储加密、数据存储隔离、数据更新和召回。共享数据交换阶段的功能集合和对应的数据安全技术要求项目如下,以保证共享数据在交换过程中的保密性、完整性以及操作的不可否认性和可追溯性:a)
用户管理:用户管理安全;
授权管理:授权管理安全;
数据导出:数据脱敏、数据加密、权限标记、安全策略检查;数据交换:事务标记、身份鉴别、访问控制、安全传输、操作抗抵赖、过程追溯、级联接口安全;数据导人:故障恢复、数据质量控制、数据分责。共享数据使用阶段的功能集合和对应的数据安全技术要求项目如下,以实现共享数据使用过程的4
安全保护:
GB/T39477—2020
a)数据处理:身份鉴别、访问控制、授权管理安全、数据脱敏、数据加密、数据防泄露、分布式处理安全、数据处理溯源、数据分析安全、安全审计;数据存储:存储安全、数据防护、数据加密、安全审计;b)
数据备份:备份安全、保存与恢复;d)数据销毁:数据销毁安全;
e)数据使用监管:使用监管安全。基础设施安全技术要求明确了政务信息共享交换业务的基础网络、云平台、前置交换子系统和资源共享网站等方面的安全防护要求,为政务信息共享交换业务提供基础的安全保障支撑6数据安全技术要求
共享数据准备安全要求
6.1.1共享数据归集
共享数据归集功能应满足数据源鉴别安全技术要求。共享数据提供方在归集共享数据过程中应采用身份鉴别、数据源认证等安全机制保障共享数据来源的真实性。6.1.2数据分级分类
数据分级分类功能应满足分级分类安全技术要求。共享数据提供方对数据进行分级分类的安全要求包括:
应按照政务信息资源分级分类相关要求对共享数据分级分类并进行标记,根据标记可对数据a
安全等级进行识别,并保留标记记录;应按照数据级别确定并实施所必要的安全管理策略和保障措施;b)
应对共享数据分级分类的变更进行记录,并通知相关数据使用方;d)应按照数据级别明确使用方对共享数据的使用权限。6.1.3资源目录管理
资源目录管理功能应满足资源目录安全技术要求。共享数据准备阶段对资源目录管理的安全要求包括:
共享数据提供方使用共享数据交换服务方提供的服务对资源目录进行管理,安全要求包括:应按照数据类别或主题形成数据资源目录;1)
应定义资源目录对应数据资源的内容、安全分级与共享方式;2)
应对资源目录发布进行审核,检查资源目录的规范性、准确性;3)
应对目录对应的共享资源建立相应的安全管理策略,保障敏感数据在共享过程中的保密4)
性和完整性;
应对资源目录共享类型变更、目录迁移等操作进行授权审计。5)
b)共享数据交换服务方提供的资源目录管理服务的安全要求包括:应构建资源目录发布的审核机制,明确发布审核流程;1)
在资源目录发布过程中,应对共享数据提供方进行身份鉴别;2)
3)店
应对资源目录发布过程进行详细记录,包括发布日期和时间、发布人、审批人、发布资源详细内容等;
4)应保证资源目录在传输过程中信息的保密性和完整性。5
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。