ICS35.240.01 CCSL70DB61 陕西省地方标准 DB61/T1635—2022 新型智慧城市数据安全管理体系建设规范 New-typesmartcity—Constructionstandardsofdatasecuritymanagementsystem 2022-12-07发布 2023-01-07实施 陕西省市场监督管理局 发布 DB61/T1635—2022 I目  次 前言......................................................................................................................................................................II 1范围.................................................................................................................................................................1 2规范性引用文件............................................................................................................................................1 3术语和定义....................................................................................................................................................1 4建设框架........................................................................................................................................................2 5建设规划........................................................................................................................................................3 6运行实施........................................................................................................................................................4 7绩效评价........................................................................................................................................................9 8持续改进........................................................................................................................................................9 参考文献.............................................................................................................................................................10 DB61/T1635—2022 II前  言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规则 起草。 本文件由陕西省工业和信息化厅提出并归口。 本文件起草单位：陕西省网络与信息安全测评中心、西安电子科技大学、陕西正观政务信息技术研 究院有限公司、陕西省信息化工程研究院、西北大学、陕西中认信安技术服务有限公司。 本文件主要起草人：杨帆、杨向东、赵首花、裴庆祺、张勇、刘景伟、孙骞、马立川、马卓元、靳 倩、李丹、李严、牛创军、王玉婷。 本文件由陕西省网络与信息安全测评中心负责解释。 本文件首次发布。 联系信息如下： 单位：陕西省网络与信息安全测评中心 电话：029-88319550 地址：西安市雁塔区茶张路1号陕西省信息化中心19层 邮编：710065 DB61/T1635—2022 1新型智慧城市数据安全管理体系建设规范 1范围 本文件规定了新型智慧城市数据安全管理体系术语和定义、体系框架、建设规划、运行实施、绩效 评价和持续改进的要求。 本文件适用于新型智慧城市数据安全管理体系建设相关工作。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T35273信息安全技术个人信息安全规范 GB/T39335信息安全技术个人信息安全影响评估指南 GB/T41817信息安全技术个人信息安全工程指南 3术语和定义 下列术语和定义适用于本文件。 3.1 新型智慧城市new-typesmartcity 利用新一代信息技术创新城市管理和公共服务方式，向居民提供便捷丰富的信息服务、透明高效的 在线政府、精细精准的城市治理、融合创新的信息经济和自主可控的安全体系，有利于提升城市治理体 系和治理能力现代化水平。 3.2 数据安全datasecurity 通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 3.3 数据安全管理体系datasecuritymanagementsystems 基于数据安全保护原则和目标，通过规划建设、运行实施、绩效评价、持续改进等环节，建立的管 理体系。 注：数据安全管理体系是一个组织整个管理体系的组成部分。 3.4 数据活动dataactivity DB61/T1635—2022 2组织、机构针对数据开展的一组特定任务的集合，数据活动主要包括采集、传输、存储、处理、交 换、销毁等。 4建设框架 4.1概述 新型智慧城市数据安全管理体系建设框架由建设规划、运行实施、绩效评价和持续改进四个方面组 成，见图1。 4.2建设框架 4.2.1新型智慧城市数据安全管理体系建设框架见图1。 图1新型智慧城市数据安全管理体系建设框架 4.2.2建设规划是组织依据建设需求和管理目标制定的基本建设长远规划，主要包括识别组织环境、 建立管理机制、规划体系建设和获取建设支持； 4.2.3运行实施是组织依据建设规划制定的安全管理、技术防护和运营保障措施，用于实现建设需求 和管理目标； 4.2.4绩效评价是组织评价安全保障措施有效性的过程，主要包括运行监督、有效性测量和绩效评价； 4.2.5持续改进是组织纠正不符合，持续改进管理体系的过程。 DB61/T1635—2022 35建设规划 5.1识别组织环境 包括但不限于： a)识别与数据安全管理目标相关，且影响目标实现的内部和外部因素，主要包含： 1)内部因素包括，但不局限于：组织结构、方针、目标、战略等； 2)外部因素包括，但不局限于：法律法规、利益关系、技术方法等。 b)识别与数据安全管理体系有利益或责任关系的相关方，并了解相关方数据安全管理要求； c)识别组织业务场景和新型智慧城市典型应用[1]，梳理数据活动过程的管理要素； d)识别组织的数据资源，包括分级分类、使用范围、重要程度等数据资源属性； e)识别数据安全管理体系边界和适用范围。 注：例如智慧交通、智慧医疗、智慧电力、智慧水务、智慧物流等数字化应用及相关支撑业务系统。 5.2建立管理机制 包括但不限于： a)明确管理要求并做出承诺，至少应包括： 1)决策层应达成共识并全程参与，整合体系建设要求并落实到组织管理过程中，确保数据安 全管理目标和策略与战略方向保持一致，确保管理资源充沛可用； 2)确保数据安全管理体系建设所需资源可用； 3)确保数据安全管理实现预期目标； 4)传递管理意图，告知全员数据安全管理体系建设重要性，确保相关人员做出有效性贡献； 5)监督和促进持续改进。 b)制定数据安全方针，至少应包括： 1)组织决策层商定数据安全管理目标，形成体系文件，并方便相关人员获取和知悉； 2)数据安全管理目标应可拆解，覆盖组织各个部门，各个层级和各个成员； 3)决策层对数据安全相关要求及持续改进负主要责任； 4)根据数据安全管理目标决定责任范围。 c)分配数据安全相关角色和权限； d)定义各权限对应管理职责。 5.3规划体系建设 包括但不限于： a)分析并定义数据安全管理需求； b)明确建设内容，确定需要应对的风险，制定管控措施； c)定义并应用数据安全风险评估，通过风险识别、风险分析