T/SDBDA 16-2021
農業技術拡張情報アプリケーション実証プラットフォームデータセキュリティ仕様書 (英語版)
ホーム
T/SDBDA 16-2021
規格番号
T/SDBDA 16-2021
言語
中国語版,
英語で利用可能
制定年
2021
出版団体
Group Standards of the People's Republic of China
最新版
T/SDBDA 16-2021
範囲
データ ライフ サイクルのさまざまな段階の概要 この文書では、データ ライフ サイクルの 5 つの段階を定義し、データの特性とシナリオについて説明します。 a) データ収集: システム内で新たにデータが生成され、外部システムからデータを収集する段階; b) データ送信: ネットワークを通じてデータが 1 つのエンティティから別のエンティティに流れる段階; c) データ ストレージ: データが物理的にまたはデジタル形式でクラウドに保存される段階; d) データ交換: 組織と組織、および個人 データの共有、公開、交換の段階 e) データの廃棄: 処理されなくなったデータは、アーカイブ、転送、廃棄、情報の破壊、および記憶媒体の破壊を含むデータ廃棄段階に入ります。 特定のデータが通過するライフ サイクルは、実際のビジネス シナリオによって決定され、すべてのデータが 6 つのステージを完全に通過するわけではありません。 データ セキュリティ システム データ セキュリティ システムは、データ ライフ サイクル セキュリティ、一般セキュリティ、セキュリティ監視の 3 つの部分に分かれています。 データ ライフ サイクル セキュリティと一般セキュリティは、データ ライフ サイクルのすべての段階に共通するセキュリティ テクノロジと管理手段を指します。 セキュリティ監視は、データ当局の観点から提案されたセキュリティ監視手段です。 5 一般的なセキュリティ データ セキュリティ ポリシーの計画 組織の全体的なデータ セキュリティ ポリシー計画を確立する データ セキュリティ ポリシー計画の内容は、データのライフ サイクル全体にわたるセキュリティ リスクをカバーする必要があります。 管理機関は、 a) 組織のデータ戦略計画に沿った全体的なデータセキュリティ戦略を明確にし、セキュリティポリシー、セキュリティ目標、セキュリティ原則を明確にする; b) 組織の全体的なデータセキュリティ戦略に基づいて、データを明確にする目的、範囲、立場、責任、経営陣のコミットメント、内部および外部の調整メカニズム、コンプライアンス目標など、データのライフサイクルに関連するビジネス、システム、およびアプリケーションを対象とする、組織レベルおよび手順の中核としてデータを備えたセキュリティ システム。 c)農業技術促進のための情報化アプリケーションの明確化と実施 実証プラットフォームとデータアプリケーションセキュリティ実施規則 d) データセキュリティシステムと手順の配布メカニズムを明確にし、データセキュリティポリシー、システムと手順を組織の関連部門、役職、担当者に配布する。 個人情報保護:個人情報保護に関する遵守事項に基づき、個人情報保護におけるコンプライアンスリスクを防止するための個人情報保護対策を確立します。 管理機関は、a) 組織のすべての個人情報保護コンプライアンス要件を整理してリストを作成し、規制当局のコンプライアンス要件をフォローアップしてリストを定期的に更新できるようにする必要があります; b) 機密性の高い個人情報を送信および保管する場合、暗号化などのセキュリティ対策を講じる c) 個人生体情報を保管する場合は、個人生体情報の元の情報と概要を分けて保管する、または概要情報のみを保管するなど、情報の安全性を確保するための技術的措置を講じてから保管する。 ; d) 個人情報へのアクセスを許可された担当者は、職務に必要な最小限の個人情報のみにアクセスし、職務を完了するために必要な最小限のデータ操作権限のみを有するように、最小限の権限アクセス制御ポリシーを確立する必要があります。 データの分類と格付けは、ポリシー、規制、データ共有、セキュリティ要件に基づいて、組織内のデータの分類と格付け方法を決定し、データを分類して分類します。 サービス組織は以下を行う必要があります: a) データの分類と分類の原則、方法、運用ガイドラインを明確にする; b) 組織のデータを分類して管理する; c) 対応するアクセス制御、データの暗号化と復号化、データの暗号化と復号化、およびデータ管理を確立する異なるカテゴリおよびレベルのデータに対する非感作化などのセキュリティ管理および制御手段、 d) データの分類と格付けの変更に対する承認プロセスとメカニズムを明確にし、このプロセスを通じてデータの分類と格付けの変更とその結果が基準を満たしていることを確認します。 組織の要件。 メタデータ管理では、組織のメタデータ管理システムを確立して、組織内のメタデータの効果的な一元管理を実現します。 サービス組織は次のことを行う必要があります: a) データ形式、データドメイン、フィールドタイプ、テーブル構造、論理ストレージと物理ストレージの構造および管理方法などのメタデータのセマンティック統一フォーマットと管理ルールを明確にする; b) メタデータのセキュリティ管理要件を明確にするパスワードとして ポリシー、権限リスト、認可ポリシー。 機密データの保護 データ当局は、機密データの漏洩や悪用を防ぐために、機密データの保護メカニズムを確立する必要があります。 データ管理部門は、a) 機密データの範囲を決定し、機密データのセキュリティ保護要件を明確にする、b) 機密データのセキュリティ保護要件を提示し、機密データの非感作や許可制御などの必要なセキュリティ保護を実行する必要があります。 データが悪用されたり外部に流出したりしないようにするため。 監視と監査: データ ライフ サイクルの各段階でセキュリティの監視と監査を実行し、データへのアクセスと操作が効果的に監視および監査されていることを確認し、各段階に存在する可能性のある不正アクセス、データ悪用、データ破損を防止します。 データライフサイクルの段階 漏洩などの安全リスクの予防と制御。 サービス組織は次のことを行う必要があります: a) データ ライフ サイクルの各段階でデータ アクセスと運用のセキュリティ リスクを監視および監査する責任を負う役職と人員を確立します。 この役職と人員は組織のリスク管理構造の一部であり、全体的なリスク管理に従います。 原則、機能の設定、b) 組織内のさまざまなデータアクセスおよび操作に対するロギング要件、セキュリティ監視要件、監査要件を明確にする; c) 異常なデータアクセスおよび操作に対するアラームを実現するために、データアクセスおよび操作のログ監視技術ツールを確立する。 機密性の高いデータと、特権アカウントによるデータ アクセスと操作を主要な監視範囲に組み込みます。 識別とアクセス制御: 組織のデータ セキュリティ ニーズとコンプライアンス要件に基づいて、ID 認証とデータ アクセス制御メカニズムを確立し、データへの不正アクセスのリスクを防ぎます。 サービス組織は次のことを行う必要があります: a) 組織の ID 識別、アクセス制御および権限管理の要件を明確にし、ID 識別と識別、アクセス制御および権限の割り当て、変更、取り消しなどの権限管理の要件を明確にする; b)最小限の十分性、権限 分離などの原則に基づき、異なるアカウントにそれぞれのタスクを完了するために必要な最小限の権限を付与し、相互に制限的な関係を形成する; c) データ権限の認可と承認プロセスを明確にし、データ権限の申請と承認をレビューする。 変化します。 6 データ収集のセキュリティ データ収集のセキュリティ管理 データ収集の過程では、データ収集の目的と用途を明確にし、データソースの信頼性、有効性および最低限の妥当性を確保し、データ収集のチャネルと形式を標準化する必要があります。 データ収集のコンプライアンス、正当性、実行の一貫性を確保するための、データおよび関連するプロセスと方法。 サービス機関は次のことを行う必要があります: a) 合法性、必要性、適切性の原則に従い、法的範囲と手順に従ってデータを収集する; b) ビジネスシステムを通じてデータリソースを生成する過程で、モニタリング、測定、音声記録、ビデオ録画等、国家機密の保護、営業秘密及び個人のプライバシーに関する関連規定 c) データ収集過程における個人情報及び重要データの知り得る範囲と取るべき管理措置を明確にし、データ収集プロセス中に個人情報および重要なデータが漏洩しないことを保証するための技術的手段を採用します。 データ ソースの識別と記録: データの偽造やデータ偽造を防ぐために、データ ソースを識別して記録します。 サービス組織は、a) データ ソース管理システムを明確にし、収集されたデータ ソースを特定して記録する、b) 外部から収集されたデータとデータ ソースを特定して記録するための技術的手段を採用する、c) 主要なトレーサビリティ データをバックアップする、および技術的手段を採用する必要があります。 トレーサビリティデータを安全に保護します。 7 データ伝送のセキュリティ データ伝送の暗号化: 組織の内部および外部のデータ伝送要件に従って、伝送チャネル、伝送ノード、および伝送データのセキュリティを確保し、伝送プロセス中のデータ漏洩を防ぐために、適切な暗号化保護手段が採用されます。 。 サービス組織は以下を行う必要があります。 a) データ伝送セキュリティ管理仕様と伝送セキュリティ要件 (伝送チャネルの暗号化、データ内容の暗号化、署名検証、身元認証、データ伝送インターフェースのセキュリティなど) を明確にし、データ伝送の暗号化が適用されるシナリオを決定します。 b) 鍵管理のセキュリティ仕様を確立し、鍵の生成、配布、アクセス、更新、バックアップ、破棄のプロセスと要件を明確にする; c) 送信されたデータの完全性を検出し、データのフォールトトレランスまたは回復のための技術的手段を備える。 ネットワーク可用性管理では、ネットワークインフラやネットワーク層の情報漏洩防止装置のバックアップ構築により、高いネットワーク可用性を実現し、データ伝送プロセスの安定性を確保します。 サービス組織は次のことを行う必要があります: a) 可用性の確率値、障害時間/頻度/統計事業単位などを含む組織のネットワーク可用性管理指標を開発する; b) 可用性管理指標に基づいて、ネットワーク サービス構成計画とダウンタイムの代替案などを確立する; c) ネットワークの可用性とデータ漏洩のリスクを防ぐために、負荷分散、侵入攻撃防止、データ漏洩の検出および保護装置などの関連装置を導入します。 8 データ ストレージ セキュリティ ストレージ メディア セキュリティは、不適切な使用によって引き起こされる可能性のあるデータ漏洩のリスクを防ぐために、組織内でデータ ストレージ メディアにアクセスして使用する必要があるシナリオに効果的なテクノロジーと管理手段を提供します。 記憶媒体には端末機器やネットワークストレージなどが含まれます。 サービス組織は次のことを行う必要があります: a) 記憶メディアへのアクセスと使用に関する安全管理規定を明確にし、記憶メディアの使用の承認と記録プロセスを確立する; b) 記憶メディア資産の識別を確立し、ストレージ メディアに保存されているデータを明確にする記憶メディア; c) 記憶メディアへのアクセスと使用 行動が記録され、監査されます。 論理ストレージのセキュリティは、データ ビジネスの特性とデータ ストレージのセキュリティ要件に基づいており、データベースと論理ストレージ アーキテクチャに対する効果的なセキュリティ制御を確立します。 サービス組織は、 a) データ論理ストレージシステムおよびストレージ機器のセキュリティ管理と運用保守を担当するセキュリティ管理者をデータ論理ストレージシステムごとに設置する; b) データ論理ストレージのセキュリティ仕様と構成ルールを明確にするストレージシステムのアカウント権限管理、アクセス制御、ログ管理、暗号化管理、バージョンアップ等の要件 c) マルチユーザーデータストレージのセキュリティを確保するためのデータ論理ストレージ分離認可と運用要件の明確化隔離機能。 データのバックアップとリカバリでは、保存されたデータの冗長管理が実装され、定期的なデータのバックアップとリカバリを通じてデータの可用性が保護されます。 サービス組織は次のことを行う必要があります: a) データ サービスの信頼性や可用性などのセキュリティ目標を満たすために、データのバックアップとリカバリの管理システムを明確にする; b) データのバックアップとリカバリの運用手順を明確にし、範囲、頻度、ツールを明確に定義するデータのバックアップとリカバリ、プロセス、ログ記録、データ保存期間など; c) 組織に適用されるコンプライアンス要件を特定し、規制当局の要件に従って関連データを記録および保存する; d) 統一された技術ツールを確立する関連作業の安全性を確保するためのデータのバックアップとリカバリのため、自動的に実行されます。 9 データ交換セキュリティ データ共有セキュリティは、データ共有および交換プロセスのセキュリティ制御を通じて、データ共有および交換シナリオにおけるセキュリティ リスクを軽減します。 サービスおよび管理機関は、a) データ共有の原則とセキュリティ仕様を明確にし、内容、範囲、管理手段、関連するユーザーの責任と関係する機関または部門の許可を明確にし、b) データプロバイダーと共有されるデータを明確にする必要があります。 データユーザーのセキュリティ責任とセキュリティ保護能力 c) データ共有セキュリティインシデントの処理、緊急対応、事後調査を支援するためのデータ共有監査手順、監査ログ管理要件、および監査記録要件を明確にする; d) 明確にする提供された機械可読形式仕様などの共有データ形式仕様。 外部組織へのデータ公開のプロセスでは、データの公開性とセキュリティにより、データ公開プロセスにおけるデータのセキュリティ、制御可能性、コンプライアンスを実現するために、形式、適用範囲、発行者とユーザーの権利と義務に関して必要な制御が実装されます。 サービスおよび管理機関は、a) データオープン性の審査システムを明確にし、データオープン性のコンプライアンス要件を厳格にレビューする; b) データ開示の内容、範囲および仕様を明確にし、発行者とユーザーの権利と義務を明確にする; c) ) データに非公開情報が含まれているかどうかを定期的にレビューし、データオープン性の遵守に適合するための関連措置を講じます; d) パブリックデータの登録、ユーザー登録、およびその他の検証および相互認識メカニズムを実装するデータオープンプラットフォームを確立します。 データ インターフェイスのセキュリティは、サービス データ インターフェイスのセキュリティ管理メカニズムを確立することにより、組織がデータ インターフェイスを呼び出すプロセスでのセキュリティ リスクを防ぎます。 サービス機関と管理機関は、次のことを行う必要があります。 a) データ インターフェイスのセキュリティ管理戦略を明確にし、ID 認証、アクセス制御、認可ポリシー、署名、タイムスタンプ、セキュリティ プロトコル、異常なトラフィックなどのデータ インターフェイスの使用に対するセキュリティ制限とセキュリティ管理措置を指定するコントロールおよびサーキット ブレーカー コントロールなど; b) インターフェイス名、インターフェイス パラメーターなどを含む、データ インターフェイスのセキュリティ要件を明確にする; c) セキュリティ全体にわたるデータ インターフェイス呼び出しの安全なチャネル、暗号化された送信、およびタイムスタンプなどのセキュリティ対策を使用するドメイン。 10 データ廃棄のセキュリティ データ廃棄は、データのアーカイブ、転送、削除、純化の仕組みを確立することでデータの廃棄を実現し、記憶媒体のデータ復旧によるデータ漏洩のリスクを防ぎます。 サービスおよび管理機関は、次のことを行う必要があります: a) 組織のデータ アーカイブ プロセスを確立し、アーカイブのセキュリティ要件を明確にし、アーカイブ データを承認および記録し、すべてのアーカイブ プロセスが制御可能、追跡可能、監査可能であることを確認する; b) 明確なデータ転送プロセスを確立し、明確にするデータ転送のセキュリティ要件 組織内または組織間でデータが転送される場合、データ転送のセキュリティ リスク評価を実行する必要があります; c) データの安全性、信頼性、および可用性を確保するために、転送プロセスおよび転送されたデータを記録します。 一貫性と完全性、d) アーカイブ データに対するセキュリティ ポリシーと管理手段を確立し、権限のないユーザーがアーカイブ データにアクセスできないようにする。 ストレージ メディアの破壊と廃棄: 損傷または廃棄されたストレージ メディアについては、メディアの紛失、盗難、または不正な物理的アクセスによってメディア内のデータがセキュリティ リスクにさらされるのを防ぐために、メディアを安全に破壊するための管理および技術的手段を確立します。 サービスおよび管理機関は、a) 記憶媒体の破壊処理戦略、管理システムおよびメカニズムを明確にし、破壊の対象およびプロセスを明確にする; b) 物理的破壊、消磁装置およびその他のツールを含むがこれらに限定されない、統合された記憶媒体破壊ツールを提供する。 さまざまな種類のメディアの効果的な破壊を実現できる; c) フラッシュ ディスク、ハードディスク、テープ、光ディスク、およびその他のストレージ メディア データのハード破壊およびソフト破壊のためのデータ廃棄方法および技術を確立します。
T/SDBDA 16-2021 発売履歴
2021
T/SDBDA 16-2021
農業技術拡張情報アプリケーション実証プラットフォームデータセキュリティ仕様書
© 著作権 2024