SZSD16 0001—2024公共数据共享开放安全风险评估规范.docx

《SZSD16 0001—2024公共数据共享开放安全风险评估规范.docx》由会员分享，可在线阅读，更多相关《SZSD16 0001—2024公共数据共享开放安全风险评估规范.docx（19页珍藏版）》请在课桌文档上搜索。

1、ICSCCSSZSD数字山东工程标准SZSD1600012024公共数据共享开放安全风险评估规范Securityriskassessmentspecificationtoropensharingofpublicdata2024-04-15发布2024-06-01实施滨州市大数据局发布前aIi引言HII范围42规范性引用文件43术谱和定义44评估原则44.1合法性原则1检杳该技术产出是否具符数据源身份统一冬别、记录的功能.以及刈敢施IX实性，有效性,规范性进行除险的功能.（全部滴足而4分）29适用性I1.核fit该技术产是否有效，（全都满足m2分2.核或该技术产必性能:否满足该批演业务高嶂期需求

2、等.（全却满足得I分）30安全性：核杳该技术产品本身是否存在安仝漏洞、配置锚次、业务逻辑锚识等.（全部汕足得3分）31技术防护子体系（IT2敏感数据以利技术8功能性：依Ef谟技术产&是否R番成感致据识别功能.（全部满足得4）32适川性I1.核杳该技术产足是否“的有败识别出故然数据的功能.（全部满足得2分）2,核置该技术产拈性能是杏满足该坦织业务班峰期需求警。（全部满足得】分）33安生性：核强该技术产品本身是否存在安仝沿河、tat设、业务花较错误等.（全部前足褥3分）3435数据分类分级标识技术8功能性：检代核技术产乩是否具备数据分类分四标以功能.以及只名对外同步枪口等2.核任该技术产品性能是台

3、满足设狙次业务高蟀期需求罪.（全都满足得1分）60安全性：核较该技术产品本身是否存在安全涮洞、M11M谀、业务龙辑错误等.（全部演足得3分）61访问权以笆理技术8功能性：检簧谖技术产晶是否具备公共数第访何权限埃中认证、统一访何入11、细粒度的访日控刎等功能.与数据蜕俄相大技术产品联动.（令i三足得4分）62姑用件：1.核直该技术产品是否有效支撑该阻织和角色职能*求，我现公共数据访问用户的统身份认证和访“控制，（全都满足得2分）2核杳谖技术产品性能是否满足谡组织业务高峰期霜求等，（全部满足孙I分）63安全性：核钱谖技术产品本。是否存在安全涧洞、配置情决、业务逻辑错误等.（全部满足得3分）64数据

4、共享和开放安全技术7功能性.依置核技术产拈是否具每访时控制.i幅脱般.1611突时数州安全监特与异常告警.据追踪济滋等功能.（全部满足却4W65适用性：1.核查该技术产品是否可有效支拉效据共享和开取全.（全部洪足孙2分）核贫该技术产丛性能是否满足该阻根业务商”明箭求等.仝制语足和I分）66安全性核杳谈技术产丛木弁是否存在安全麻涓，ft!HW设、业务运林浦俣等.仝制满足得3分）表A.1公共数据安全体系评估指标定义示例（续）IlA.!公共flt安全体系讦估年螺定义示例（缘）序号WftJK(AIT)褥估子NaS）IK分般Je67技术防护子体系GMT2）安全粒疆与彼警技术7功僮性I检森核技术产出是否m

5、台可配置的M化指标，是否全M推入武要系统H志，并具备支撑或协发现.必别、理解分析.14院预警和提供处置建议等功能,（全用:满足得，1分）68适用性：1.核ft该技术产品是否有效发现以姐却散粼安全W险，支掠数舶安全体系建设规划.（全部满足得2分）2.核宜询技术产品性货是否满足i祖织高稣期业务需求等.金制满足褥1分）69安全性，核套该技术产&本身是否存在安全*|租、配置错误、业务造林错决等.（部满足得3分）70运行管理数据安全团队6完任性：检代是否设置了公共数据安全笆理团队，井明册团队的&方的职我分工.拴会是否役置了机构士要负资人为公共数楙安全管理第一责任人.公共救据安全管理负责人及其工作半依百分

6、类分级工作结果文件和记录.（全部演足得，1分）76数据访问权限管理机制8克鬃性.董发该工作机制是否包括公典数据访问杈小的分配.开通、使用、变更、量置、注炳等的申请审批,实值、定期核ft.济单雄:护警，（全舒满足得3分）77符合性：作5公共数据访问账号权取管理工作过程文件和记录.（全部满足汨3分）78fi效性1检於公共IkJKi问账号权限管理工作结娱文件和记录,（全部满足得，1分）表A.1公共数据安全体系评估指标定义示例（续）序号讦估（AlT）讦估于货（AS）IK分战。79运行我理数据共享和开放安wa7完整性Ifit蛉该工作机IM是否包拈公八数据妖力和开放的申请审批.接口上线前和上战后的安仝校衣

7、、俵然数据实时航测告警处H等，（全部法足汨3分）80符合性：较我公共Bt据共*和开放安全管理1：作过程文件和记泉.（全部洪心得3分）81有效性I依衣公共致对共享和JUft安全管理工作结果文件和记玳.（仝部满足称4分）82安全日志审计机IW7完整性：件发该工作机制是否包括Mi现行为告警的核文、分析、处置和整改等环节.（全都谪足超3分.项不足扣1W83符合性1我网安全H志审计工作过程文件和记录。（至出满足积3分）84疗效性：检者安tfc日志审计工作的结果文件.（全部满足W4分）85安全监督检过机制7完整性：杳货速工作机制是否也括安全监停检套工作实（.X作总结.何监龄改.整改效果如耐节.（全部Si足

8、得3分）.86符合性：杳验安全监行检查工作过程文件和记录.（4满足得3分:，87盯效性1收件安全监督检资工作姑果文件和记录。（全部满足秘4分）88安全事件应急响应机制8完整性：衣物读工作机制是否包括应急演缄规划实施、总结以及应物演练报告城制、应急预案优化等环节。89符合性：直验应急演级规划、实地总结以及应急演练报告编制.应急预案优化等工作过程攵件和记录，90疗效性：检簧应急演嫁规划、实随、总结以及4包演练报衿编8J.应例但案优化等:作结果文件和记液；检会安全M件发生时.应急响应工作记录和结果文件.91安全培训机5完整性我咬该工作机制是否包括培训计划制定、工作实Ife.效果核,计划优化调用等环节.（全部谪足科4分）92符合性.件般培训计划制定、工作次随.效果考核.计划优化调帖等工作过林文件和记录.（全部谪足和3分）93有效性：校长培训计划制定、工作实隹、效!K考核.ilJ优化调整等工作结果文件和记录.（全郃演足l3分）忆OZ100091。SZS