DB15/T 2200-2021 智慧城市 数据及服务管理安全要求

ICS35.240.01

CCSL67

15

内蒙古自治区地方标准

DB15/T2200—2021

智慧城市数据及服务管理安全要求

Smartcity—Dataandservicemanagementsecurityrequirements

2021-05-25发布2021-06-25实施

内蒙古自治区市场监督管理局发布

DB15/T2200—2021

目次

前言.................................................................................II

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4缩略语.............................................................................2

5管理原则...........................................................................2

5.1职责明确原则...................................................................2

5.2质量保障原则...................................................................2

5.3意图合规原则...................................................................2

5.4可审计原则.....................................................................2

5.5安全防护原则...................................................................2

5.6资源共享安全原则...............................................................2

5.7敏感信息保护原则...............................................................3

5.8目标明确原则...................................................................3

6管理角色与责任.....................................................................3

6.1概述...........................................................................3

6.2管理角色.......................................................................3

6.3管理责任.......................................................................3

7数据管理安全要求...................................................................4

7.1数据管理.......................................................................4

7.2主要活动安全管理要求...........................................................4

8服务管理安全要求...................................................................6

8.1服务管理.......................................................................6

8.2主要活动安全管理要求...........................................................7

9风险管理要求.......................................................................8

9.1风险识别.......................................................................8

9.2风险分析.......................................................................9

9.3风险处理.......................................................................9

附录A（资料性）数据及服务管理敏感信息特征..........................................10

附录B（资料性）数据及服务管理存在的安全风险........................................12

参考文献.............................................................................13

I

DB15/T2200—2021

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件由内蒙古自治区大数据中心提出并归口。

本文件起草单位：内蒙古自治区大数据中心、杭州安恒信息技术股份有限公司、内蒙古工业大学网

络空间安全研究所、华信咨询设计研究院有限公司。

本文件主要起草人：包瑞林、孙卫、戚志军、周俊、丁熙、王钢、周烜义、李欢、崔连伟。

II

DB15/T2200—2021

智慧城市数据及服务管理安全要求

1范围

本文件规定了智慧城市中数据及服务的管理角色与责任、数据和服务管理的安全要求以及风险管理

要求。

本文件适用于各类组织在智慧城市建设中对数据及服务的安全管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T34678—2017智慧城市技术参考模型

GB/T36622.1—2018智慧城市公共信息与服务支撑平台第1部分：总体要求

GB/T37043—2018智慧城市术语

3术语和定义

GB/T37043—2018界定的以及下列术语和定义适用于本文件。

3.1

组织organization

由作用不同的个体为实施共同的业务目标而建立的结构，组织可以是一个企业、事业单位、政府部

门等。

3.2

大数据平台bigdataplatform

采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件集

合。

3.3

数据管理安全datamanagementsecurity

针对数据目录管理、数据建模、元数据管理、数据整合、数据关联等方面进行安全风险管理。

3.4

服务管理安全servicemanagementsecurity

针对服务聚集、服务使用、服务整合、服务评价、服务生命周期等方面进行安全风险管理。

1

DB15/T2200—2021

4缩略语

下列缩略语适用于本文件。

API：应用程序编程接口（ApplicationProgrammingInterface）。

5管理原则

5.1职责明确原则

组织应明确以下职责原则：

a)组织安全管理的第一责任人；

b)根据数据及服务规模、重要性、组织规模等因素，组织可成立安全管理团队，安全管理团队

为组织数据及服务的使用安全负责；

c)组织内部不同角色的数据及服务安全管理职责；

d)数据及服务的生命周期各活动实施主体及安全责任。

5.2质量保障原则

组织应明确以下质量保障原则：

a)实施适当的措施确保数据及服务的准确性、相关性、完整性、时效性和可用性；

b)建立控制机制定期检查收集和存储的数据及服务的质量。

5.3意图合规原则

对数据及服务的使用应基于法律依据。组织应制定相关流程确保数据的来源、数据的收集和服务的

使用方式没有违反任何法律义务，包括法律法规、合同条款等。

5.4可审计原则

组织应记录数据及服务活动中各项操作的相关信息,且保证记录不可伪造和篡改，并采取有效技术

措施保证对数据及服务活动的所有操作可追溯。

5.5安全防护原则

组织应明确以下安全防护原则：

a)对数据进行分类分级，对不同安全级别的数据实施恰当的安全防护措施；

b)确保处理数据平台、服务、用户的安全控制措施和策略有效，保护数据及服务的完整性、保

密性和可用性，确保在整个生命周期里，免遭诸如未授权访问、破坏、篡改、泄露或丢失等

风险；

c)确保数据及服务运营过程中的安全监测、安全预警和安全事件处置，做到事前发现、事中通

告、事后响应；

d)解决风险评估和安全检查中所发现的风险和脆弱性，并对数据及服务安全防护措施不当所造

成的安全事件承担责任；

e)定期对数据及服务涉及的相关人员进行安全意识教育、安全技术培训。

5.6资源共享安全原则

组织应明确以下资源共享安全原则：

2

DB15/T2200—2021

a)确保数据及服务资源共享体系标准，确保有效提升资源共享过程中的采集、获取及交换的效

率；

b)确保数据及服务资源的所有权、使用权和管理权，防止数据开放利用过程中的非法使用；

c)确保数据及服务资源共享过程的最小化授权，确保非法用户或异常操作所造成的损失最小。

5.7敏感信息保护原则

组织应确保数据及服务中的敏感信息得到重点保护，有效保障敏感信息不被泄露，避免敏感信息泄

露问题带来的负面影响和不利后果。敏感信息的特征详见附录A。

5.8目标明确原则

组织应明确拟使用智慧城市中数据及服务需要达成的管理目标，确定实现目标采用的战略，并制定

计划实施的策略。

6管理角色与责任

6.1概述

组织在进行智慧城市数据及服务管理过程中，应健全责任管理体系，明确管理角色和责任。

6.2管理角色

根据数据及服务管理的目标、战略和策略，管理角色应包括业务职能部门、安全管理团队、服务提

供商等相关角色。

6.3管理责任

6.3.1业务职能部门的职责

业务职能部门在履行其职能时会生成、收集不同数据，持久保存数据并进行分析，提供服务使用和

支持。职能部门可能涉及一个或多个数据及服务的主要阶段，应根据涉及的阶段履行相应安全职责。

业务职能部门的主要职责应包括但不限于：

a)确定本部门数据的分类分级；

b)根据本部门涉及的数据及服务主要阶段，明确和细化本部门管理具体安全要求，并进行有效

实施；

c)配合安全管理团队处置安全事件；