腾讯安全：政务大数据安全指南(36页).pdf

《腾讯安全：政务大数据安全指南(36页).pdf》由会员分享，可在线阅读，更多相关《腾讯安全：政务大数据安全指南(36页).pdf（36页珍藏版）》请在三个皮匠报告上搜索。

1、 政务大数据平台 数据安全体系建设指南 (版本：1.0） 腾讯安全 2020 年 9 月 I 目 次 前 言 . 1 引 言 . 2 1 范围 . 3 2 规范性引用文件 . 3 3 术语和定义 . 3 4 政务大数据平台概述 . 3 5 数据安全需求 . 5 5.1 安全合规 . 5 5.2 防泄露 . 5 5.3 防篡改 . 5 5.4 防滥用 . 5 6 数据安全管控基本原则 . 5 6.1 用管分离 . 5 6.2 权限最小化. 6 6.3 全面覆盖 . 6 6.4 可控性 . 6 6.5 可溯性 . 7 7 总体思路 . 7 8 组织建设 . 8 9 制度体系建设 . 9 9.1 制

2、度体系框架设计 . 9 9.2 制度体系架构说明 . 9 10 基础安全保障. 10 10.1 密钥管理体系建设原则 . 11 10.2 密钥管理体系设计要点 . 11 10.3 密钥体系分类 . 12 10.4 密钥管理应用模式 . 12 10.5 密钥管理可遵循的标准 . 13 11 数据安全能力建设 . 14 11.1 数据分级. 14 11.2 数据脱敏. 17 II 11.3 数据加解密能力 . 19 11.4 数据安全审计 . 21 11.5 数据安全态势感知 . 23 12 数据场景安全管控 . 24 12.1 数据采集. 24 12.2 数据处理. 27 12.3 数据应用程序

3、开发与测试. 28 12.4 数据共享. 30 13 数据安全运营. 31 13.1 总则 . 32 13.2 数据安全策略 . 32 13.3 监控预警. 32 13.4 巡检自查. 32 13.5 应急响应. 33 数据安全体系建设指南 第1页 前 言 本指南旨在客观的描述数据安全体系建设的一些建议，仅供参考。 本指南内容可能涉及专利，本指南的发布机构不承担识别这些专利的责任。 本指南由腾讯云计算（北京）有限责任公司提出并归口，主要部门：安全专家咨询中心、 云安全基础产品中心、售前与解决方案中心、标准管理中心、产业安全中心 本指南起草单位： 腾讯云计算（北京）有限责任公司、中安威士（北京）

4、科技有限公司、 闪捷信息科技有限公司、北京三未信安科技发展有限公司、杭州世平信息科技有限公司 本指南主要起草人：刘海洋、武杨、刘鑫、苏振波、王刚、陈龙、王朋群、戴林、陈广 辉、吕喆、高志权、高嵩、刘松、刘雨 联合发布：北京城市大数据研究院有限公司 数据安全体系建设指南 第2页 引 言 在电子政务领域，基于大数据的应用正迅猛发展。通过建设大数据平台，对政务数据进 行汇聚、分析、共享，能够为社会公众带来便捷的政务服务，与此同时，也带来了数据安全 问题。2019 年 12 月 1 日起实施的 GB/T 25070-2019信息安全技术 网络安全等级保护安全 设计技术要求中提出了“一个中心、三重防护”

5、的原则，并提出了具体的要求，可有效解 决大数据平台的安全问题。 为了能够帮助政务大数据平台提升数据安全的管控能力，满足相关法律法规要求，腾讯 安全联合生态合作伙伴，编写了本指南。本指南旨在通过调研国内一些政务大数据平台项目， 研究数据场景，提炼业内最佳实践，从而提出符合政务大数据平台特征的数据安全体系建设 指南。 大数据时代下的数据使用具有使用场景复杂、数据用户多、数据量大、暴露面大的特点， 传统的单品方式很难适应，因此，数据安全是一项体系化的工程。本指南提出数据安全体系 建设可以基于数据场景，以数据生命周期中的各个环节为主要管控点，从制度规范、技术工 具、审计稽核三个维度来加强安全管控，同时

6、，将数据安全工作常态化。 数据安全体系建设指南 第3页 1 范围 本指南描述了政务大数据平台数据安全的核心需求和安全管控的基本原则，提出了一些 具体的方法。 本指南适用于计划建设政务大数据平台的机构进行数据安全规划，适用于正在建设政务 大数据平台的机构开展数据安全体系建设，适用于已经上线的政务大数据平台提升数据安全 管控能力。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适 用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 37932-2019信息安全技术 数据交易服务安全要求 GB/T 22239-2