數(shù)據(jù)管理能力數(shù)據(jù)治理實施規(guī)范

1數(shù)據(jù)管理能力數(shù)據(jù)治理實施規(guī)范GT/T35274—2023數(shù)據(jù)安全技術(shù)大數(shù)據(jù)服務(wù)安全GB/T44109—2024信息技術(shù)大數(shù)據(jù)數(shù)據(jù)治理實施指南GB/T43679—2024數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類GB/T34960.1—2017信息技術(shù)服務(wù)治理第1部分GB/T36073—2018數(shù)據(jù)管理能力成熟度3.1注：這些措施包括但不限于技術(shù)手段（如加密、訪問控制、數(shù)據(jù)備份與恢復(fù)3.23.323.4根據(jù)數(shù)據(jù)的敏感程度、重要性以及對組織的影響程度等因素，將數(shù)據(jù)劃分為不同的級別。注：分級過程需要綜合考慮多方面因素，如數(shù)據(jù)泄露或損壞后對組織的財3.5常分為對稱加密算法（如AES、DES等）和非對稱加密算法（如RSA等）。對稱加密算法使用相同的密鑰3.6敏感信息，使得處理后的數(shù)據(jù)在不泄露隱私的情況下可用于測3.7一種將特定的標識信息嵌入到數(shù)據(jù)中的技術(shù)，這些標識信息可以是不可見的或?qū)?shù)據(jù)的正常使用影響極小。數(shù)據(jù)水印可用于數(shù)據(jù)的版權(quán)保護、溯源追蹤以及驗證數(shù)據(jù)的真實性和完整性。注：如在圖片數(shù)據(jù)中嵌入水印信息，當圖片被非法傳播時，可以通過提取3.8雙因素認證two-factorauth增加身份驗證的安全性。第二種驗證因素可以是基于用戶擁有的物品（如動態(tài)注：雙因素認證通過結(jié)合兩種不同類型的驗證因素，大大降3.933.10數(shù)據(jù)訪問控制dataaccess3.11注：數(shù)據(jù)備份策略包括全量備份（備份所有數(shù)據(jù)）、增量備份），參考GB/T44109-2024中數(shù)據(jù)安全管理要求對組織和機構(gòu)其進行數(shù)據(jù)治理。數(shù)據(jù)安全管理活動包括數(shù)據(jù)安全風(fēng)險評估、數(shù)據(jù)安全策略制定、數(shù)據(jù)安全運營、數(shù)據(jù)安a)數(shù)據(jù)安全風(fēng)險評估:包括數(shù)據(jù)處理活動識別,數(shù)據(jù)安全b)數(shù)據(jù)安全策略制定:依據(jù)國家、行業(yè)等監(jiān)管需求,結(jié)合自身的數(shù)據(jù)c)數(shù)據(jù)安全運營:圍繞數(shù)據(jù)應(yīng)用過程中識別的風(fēng)險,開展數(shù)安全事件分析、數(shù)據(jù)安全事件響應(yīng)和應(yīng)急處置等,并進行數(shù)據(jù)安全平臺運營、數(shù)據(jù)d)數(shù)據(jù)安全審計:包括過程審計、規(guī)范審計、合規(guī)審計、供4.2基本原則a)合法合規(guī)原則。嚴格遵守國家和地方相關(guān)法律法規(guī)，以及行業(yè)標準和數(shù)據(jù)處理活動時，必須獲得必要的授權(quán)和許可，確保數(shù)據(jù)來源合法，使用目的正當，b)最小必要原則。只收集、使用和存儲為實現(xiàn)業(yè)務(wù)目的所必需的數(shù)據(jù)，避免過c)全程可控原則。對數(shù)據(jù)的全生命周期進行嚴格控制，從數(shù)據(jù)的在可控范圍內(nèi)。建立數(shù)據(jù)訪問控制機制，對數(shù)據(jù)的訪問、修改、傳輸?shù)炔僮鬟M行嚴格授權(quán)4a)業(yè)務(wù)系統(tǒng)梳理。組織和機構(gòu)應(yīng)對所持有業(yè)務(wù)系統(tǒng)進行全面梳理，詳細記錄稱、功能、所涉及的數(shù)據(jù)類型和存儲方式等信息。業(yè)務(wù)系統(tǒng)可包括：經(jīng)營決策系統(tǒng)；運營b)數(shù)據(jù)處理活動。組織和機構(gòu)應(yīng)分析數(shù)據(jù)在不同業(yè)務(wù)系統(tǒng)中的處理活動，如數(shù)修改、刪除等操作。針對每個業(yè)務(wù)系統(tǒng)，繪制數(shù)據(jù)處理流程圖，清晰展示數(shù)據(jù)在系統(tǒng)內(nèi)的c)數(shù)據(jù)流轉(zhuǎn)整理。組織和機構(gòu)應(yīng)對內(nèi)部以及與外部合作伙伴之包括數(shù)據(jù)從哪個部門或系統(tǒng)流出，流向哪個部門或系統(tǒng)，以及在流轉(zhuǎn)過程中所經(jīng)過的中間d)數(shù)據(jù)流轉(zhuǎn)地圖繪制。根據(jù)數(shù)據(jù)流轉(zhuǎn)整理的結(jié)果，繪制詳細的觀展示數(shù)據(jù)的流轉(zhuǎn)路徑、涉及的部門和系統(tǒng)以及關(guān)鍵的控制節(jié)點（如數(shù)據(jù)審批環(huán)節(jié)、數(shù)據(jù)e)數(shù)據(jù)分級分類規(guī)范建立。組織和機構(gòu)應(yīng)根據(jù)業(yè)務(wù)特點和數(shù)準。數(shù)據(jù)分類應(yīng)從業(yè)務(wù)的視角定義數(shù)據(jù)的分類體系，明確數(shù)據(jù)分類?？蓞⒖夹袠I(yè)通用法，并結(jié)合企業(yè)自身業(yè)務(wù)進行細化。例如，可分為客戶類、財務(wù)類、技術(shù)類、運營類等安全分級應(yīng)在數(shù)據(jù)分級過程中根據(jù)數(shù)據(jù)遭到泄露或者損壞后對組織和機構(gòu)、個人、公國家安全等方面的影響，明確組織及機構(gòu)數(shù)據(jù)安全等級的劃分。例如：可分為公開數(shù)a)敏感數(shù)據(jù)系統(tǒng)調(diào)研。對包含敏感數(shù)據(jù)的系統(tǒng)進行全面調(diào)研，確定敏感置、存儲方式以及訪問控制機制等。例如，對于存儲客戶隱私信息的客戶關(guān)系管理系統(tǒng)，調(diào)研b)數(shù)據(jù)應(yīng)用場景分析。分析敏感數(shù)據(jù)在不同業(yè)務(wù)場景中的應(yīng)用情況，包括內(nèi)部以及與外部合作伙伴的交互使用。例如，客戶以及在與第三方物流企業(yè)合作時的共享情況（用于發(fā)貨通知），c)敏感數(shù)據(jù)識別。根據(jù)數(shù)據(jù)場景分析結(jié)果和制定的數(shù)據(jù)分類分級采用自動化工具和人工審核相結(jié)合的方式，確保敏感數(shù)據(jù)識別的準確性和完整性。例如，數(shù)據(jù)標簽技術(shù)對敏感數(shù)據(jù)進行標記，以便在數(shù)據(jù)處理過程中進行有效的監(jiān)控和管理。5.3數(shù)據(jù)安全風(fēng)險分析a)數(shù)據(jù)安全風(fēng)險評估。根據(jù)數(shù)據(jù)場景分析結(jié)果，通過系統(tǒng)化的方法對賦值。在評估的過程中可采用定性和定量相結(jié)合的方法：定性評估可根據(jù)風(fēng)險的可能性和程度進行分類，如高風(fēng)險、中風(fēng)險、低風(fēng)險；定量評估如，對于數(shù)據(jù)泄露風(fēng)險，如果泄露可能性高且影響程度大，則評估為高風(fēng)險；如5b)敏感數(shù)據(jù)流轉(zhuǎn)風(fēng)險分析。根據(jù)敏感數(shù)據(jù)分析結(jié)果，對所識別的敏感數(shù)據(jù)在流轉(zhuǎn)過行分析，可包括數(shù)據(jù)泄露風(fēng)險、數(shù)據(jù)篡改風(fēng)險、數(shù)據(jù)丟失風(fēng)險等。針對每種風(fēng)險的原因（如網(wǎng)絡(luò)攻擊、內(nèi)部人員違規(guī)操作等）和可能造成的后果（如企業(yè)聲譽受），合作伙伴時，可能存在被網(wǎng)絡(luò)攻擊竊取的風(fēng)險，一旦泄露，可能導(dǎo)致客戶隱私泄露，企6.2識別數(shù)據(jù)安全管理及需求患者隱私信息在各個業(yè)務(wù)環(huán)節(jié)的處理情況，明確對其保6），6.3建立數(shù)據(jù)安全組織體系安全管理進行審計，檢查各項安全制度和措施2)鼓勵專業(yè)認證：鼓勵員工參加相關(guān)的6.4建立數(shù)據(jù)安全管理體系術(shù)以及數(shù)據(jù)備份制度來確保數(shù)據(jù)的完整性；如何通過建立高可用的系統(tǒng)架構(gòu)和故障恢復(fù)定量評估方面，介紹風(fēng)險矩陣方法的具體應(yīng)用，如確定風(fēng)險值的計76.5建立數(shù)據(jù)安全技術(shù)體系傳統(tǒng)的用戶名和密碼組合，增強數(shù)據(jù)源身份認證的安全性和準確性；權(quán)限，確保數(shù)據(jù)采集的合法性和安全性，同時提高數(shù)據(jù)采集的效限范圍限制，數(shù)據(jù)源在進行數(shù)據(jù)采集操作時需攜采用數(shù)據(jù)插值法或基于模型的預(yù)測值來填充缺8無需解密數(shù)據(jù)即可得到正確的結(jié)果，最大限度地保護數(shù)據(jù)在采集和傳輸過程中的隱私安?詳細規(guī)定不同類型數(shù)據(jù)源的認證方式選擇標準，例如對于高風(fēng)險數(shù)據(jù)源應(yīng)優(yōu)先采用生物?定期對數(shù)據(jù)質(zhì)量監(jiān)控和清洗工作進行評估和優(yōu)化，根據(jù)業(yè)務(wù)需求和數(shù)據(jù)特點調(diào)整評估指性和相關(guān)法律法規(guī)要求，增強員工的隱私保9數(shù)據(jù)采用高強度的加密算法進行深層次加密，而對于一般敏感數(shù)據(jù)則采用相對較弱但效生數(shù)據(jù)丟失或損壞時能夠快速、準確地恢復(fù)數(shù)據(jù)，滿足業(yè)務(wù)連續(xù)?建立加密密鑰管理系統(tǒng)，采用硬件安全模塊（HSM）等安全設(shè)備來存儲和管理主密鑰，提?制定增量備份和差異備份的計劃和操作規(guī)程，根據(jù)數(shù)據(jù)變化規(guī)律合理安排備份時間和頻保傳輸過程的絕對安全性，抵御未來可能出現(xiàn)的量子計和終端設(shè)備劃分到不同的微隔離區(qū)域，限制區(qū)域之間的不必?利用軟件定義網(wǎng)絡(luò)（SDN）技術(shù)實現(xiàn)動態(tài)網(wǎng)絡(luò)隔離，根據(jù)業(yè)務(wù)需求和安全策略實時調(diào)整網(wǎng)絡(luò)拓撲和訪問控制規(guī)則，提高網(wǎng)絡(luò)隔離的靈活性和?利用大數(shù)據(jù)分析技術(shù)對傳輸監(jiān)控數(shù)據(jù)進行深度分析，挖掘潛在的安全威脅和異常行為模和風(fēng)險級別進行分類告警，并及時通知相關(guān)人員進?研究和探索量子加密技術(shù)在實際數(shù)據(jù)傳輸中的應(yīng)用場景和可行性，與相關(guān)科研機構(gòu)和企?選擇支持自適應(yīng)加密算法的傳輸協(xié)議和工具，對網(wǎng)絡(luò)環(huán)境和數(shù)據(jù)傳輸情況進行實時監(jiān)方式和響應(yīng)時間要求，確保相關(guān)人員能夠及時收到告警信息并采取相超出其權(quán)限范圍時，及時進行預(yù)警和阻止，防止權(quán)限濫?應(yīng)用數(shù)據(jù)脫敏算法的組合策略，針對不同類型的敏感數(shù)據(jù)選擇合適的脫敏算法進行組合?利用人工智能技術(shù)進行數(shù)據(jù)防泄漏，通過機器學(xué)習(xí)算法對大量的正常數(shù)據(jù)使用行為和異險。例如，當用戶的操作行為與已建立的正常行為模型不符時，系統(tǒng)自和標準。銷毀后，對銷毀結(jié)果進行審計和驗證，出具銷毀報告，并存快速的定位，為數(shù)據(jù)治理和安全保障提供基1)選用先進的標識符生成算法，如符合國際標準或協(xié)議字段中攜帶標識符，實現(xiàn)數(shù)據(jù)傳輸?shù)目勺粉櫺院蜏手七^程中，依據(jù)數(shù)據(jù)標識對數(shù)據(jù)進行分類梳理，方便用戶快速定位所制定差異化的安全保護策略和管理措施，實現(xiàn)數(shù)據(jù)的精細化管理和安或循環(huán)神經(jīng)網(wǎng)絡(luò)（RNN對文本、圖像、音頻等不同類型的數(shù)據(jù)進行特征提取和學(xué)習(xí)。可能引發(fā)的經(jīng)濟損失、社會影響等風(fēng)險因素，最終確定數(shù)據(jù)對于低級別數(shù)據(jù)，可以選擇成本較低的存儲介質(zhì)，但仍需確保基本的數(shù)據(jù)安全防護；可采用對稱加密算法，如高級加密標準（AES）。AES算法具加密算法如RSA更為適用。RSA算法基于公鑰和私鑰的配對機用戶手中。同時，定期對密鑰進行更新和輪換，降低密鑰被破解過加密傳輸，確保數(shù)據(jù)在網(wǎng)絡(luò)中傳輸?shù)陌踩裕乐箶?shù)據(jù)被黑客竊取1)運用可靠的數(shù)據(jù)簽名算法，如橢圓曲線數(shù)字簽名的軟件才能被安裝和運行。這有效地防止了惡意軟件通過偽裝成合法軟件進行傳播和安性。通過規(guī)則庫的管理，確保脫敏過程的標準化和規(guī)范化。的屬性、用戶的屬性以及環(huán)境屬性等多維度因素進行動態(tài)授權(quán)。基于風(fēng)險的訪問控制應(yīng)為每個租戶和用戶提供細粒度的訪問控制服務(wù)。通過虛擬私有據(jù)資源，防止非法用戶冒充合法用戶獲取數(shù)據(jù)訪問虛擬專用網(wǎng)絡(luò)（VPN）連接到企業(yè)內(nèi)部網(wǎng)絡(luò)時，除了輸入常規(guī)生物特征識別等，進一步增強用戶身份認證的安全性，有效1)選擇安全可靠的雙因素認證服務(wù)提供商或技術(shù)平臺，確保其提供的認證技術(shù)符合行業(yè)標機短信驗證碼或動態(tài)令牌進行二次認證。這樣可以有效防止黑客通過竊取密碼進行非法統(tǒng)會自動發(fā)送短信驗證碼到用戶綁定的手機上，用戶輸入正確的驗證碼后才能完成轉(zhuǎn)賬2)在企業(yè)內(nèi)部敏感信息系統(tǒng)和關(guān)鍵業(yè)務(wù)應(yīng)用的訪問中，啟用雙因素認證可以增強數(shù)據(jù)的安1)部署專業(yè)的數(shù)據(jù)防泄漏（DLP）系統(tǒng)，該系統(tǒng)利用先進的內(nèi)容識別技術(shù)和行為分析技術(shù)，2)對網(wǎng)絡(luò)邊界和終端設(shè)備進行全面的安全防護。在網(wǎng)絡(luò)邊界處設(shè)置防火墻、入侵檢測系統(tǒng)6.7建立數(shù)據(jù)安全運營體系a)建立數(shù)據(jù)安全風(fēng)險與事件監(jiān)測機制等；重點對象可能包括涉及大量敏感數(shù)據(jù)的業(yè)務(wù)流程、具有高級權(quán)限的用戶賬b)制定完善的數(shù)據(jù)安全事件應(yīng)急處置預(yù)案是部分重要業(yè)務(wù)功能受影響且有一定量敏感數(shù)據(jù)泄露的情況；一般事件可能是個別業(yè)務(wù)c)建立有效的數(shù)據(jù)安全事件溝通協(xié)作機制相關(guān)人員在規(guī)定時間內(nèi)回復(fù)信息，確保信息傳遞的及時性和準接到求助后多長時間內(nèi)提供解決方案，監(jiān)管部門有權(quán)對組織的數(shù)據(jù)安全管理進行監(jiān)督和d)建立嚴格的數(shù)據(jù)安全事件責任追究制度是否符合行業(yè)標準中關(guān)于數(shù)據(jù)使用的要求；最后檢查數(shù)據(jù)存儲位置和共享對象是否符合不符合規(guī)定的情況詳細描述以及針對不符合規(guī)定情況的改進建議等b)數(shù)據(jù)安全風(fēng)險監(jiān)測7.2數(shù)據(jù)安全事故響應(yīng)和處置a)建立快速的數(shù)據(jù)安全事故響應(yīng)機制b)制定詳細的數(shù)據(jù)安全事故處置流程事故，那么采取系統(tǒng)修復(fù)措施，如更新系統(tǒng)補丁、加強訪問控7.3數(shù)據(jù)安全平臺運營全管理部門等）進行技術(shù)選型的研討，確定最佳的技術(shù)架構(gòu)和工具內(nèi)容進行測試，確保備份不會對平臺的正常運7,4數(shù)據(jù)安全事件分析與處理b)采取有效措施處理事件如果是因為人員操作不當導(dǎo)致事件發(fā)生，那么采取培訓(xùn)人員、規(guī)范操作流程等措施；部門負責人應(yīng)承擔相應(yīng)責任，給予降職、辭退等處罰措a)建立健全的數(shù)據(jù)安全監(jiān)督機制不符合規(guī)定的情況詳細描述以及針對不符合規(guī)定情況的改進建議相關(guān)法律法規(guī)以及行業(yè)標準進行檢查。企業(yè)應(yīng)積極配合監(jiān)管部門或第三方審計機構(gòu)的檢b)持續(xù)優(yōu)化和改進數(shù)據(jù)安全體系a)檢查制度建設(shè)情況查閱相關(guān)文檔，確認制度是否存在，制度的內(nèi)容是標準等。查看相關(guān)文檔，確認標準是否存在，標準的內(nèi)容是b)分析制度存在問題2)制度合理性分析：分析制度的規(guī)定是否合理，是否符合實際情況和行業(yè)標準；8.2過程審計a)分析制度落實執(zhí)行情況有達到制度要求，例如數(shù)據(jù)分類分級不準確可能是因為業(yè)務(wù)人員對分類分級標準理解不8