内容简介
ICS 03.080.01CCS A 20 DB23
黑
龙 江 省 地 方 标 准
DB23/T 3696—2024
大数据安全服务人员能力评价
2024 - 06 - 13 发布
2024 - 07 - 12 实施
黑龙江省市场监督管理局 发 布
DB23/T 3696-2024
前
言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定起
草。
请注意本文件的某些内容可能涉及专利,本文件的发布机构不承担识别专利的责任。
本文件由黑龙江省互联网信息办公室提出并归口。
本文件起草单位:黑龙江省大数据产业协会、黑龙江亿林网络股份有限公司、哈尔滨财富通科技发
展有限公司、哈尔滨伟祺科技开发有限公司、杭州金诚信息安全科技有限公司、工单科技(黑龙江)有
限公司、中国移动通信集团设计院有限公司黑龙江分公司、黑龙江农投大数据科技有限公司、哈尔滨商
业大学广厦学院、哈尔滨市大地勘察测绘有限公司。
本文件主要起草人:孙甲子、李璐昆、杜飞、王唯合、李文才、李清洋、刘婷婷、李祺锋、孙传友、
纪云龙、姜子寒、冯冬鑫、赵欣、张明、吕同胜、陈然、孙微。
I
DB23/T 3696-2024
大数据安全服务人员能力评价
1
范围
本文件规定了大数据安全服务人员能力评价的评价原则、评价要求、岗位分类、能力评级、评价方
法、评价机构及评价程序等要求。
本文件适用于大数据安全服务人员能力的评价。
2
规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,
仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本
文件。
GB/T 35274 信息安全技术 大数据服务安全能力要求
GB/T 35295 信息技术 大数据 术语
GB/T 37973 信息安全技术 大数据安全管理指南
GB/T 38667 信息技术 大数据数据分类指南
GB/T 42446 信息安全技术网络安全从业人员能力基本要求
GB/T 43697 数据安全技术数据分类分级规则
3
术语和定义
GB/T 35274、GB/T 35295、GB/T 37973、GB/T 38667、GB/T 42446、GB/T 43697界定的以及下列术
语和定义适用于本文件。
3.1
大数据安全服务
面向组织或个人的各类大数据安全保障需求,由服务提供方按照服务协议所执行的一个大数据安全
过程或任务。
3.2
人员能力评价
对人员的知识和技能水平进行客观、公正、规范的评价活动。
4
评价原则
评价过程应充分体现公开、公平、公正的基本原则;应当恪守职业道德,坚持客观公正、科学严谨、
实事求是的工作原则。
5
评价要求
1
DB23/T 3696-2024
申报人员应具备以下要求:
a)
良好的职业道德和敬业精神,无不良信用记录;
b)
掌握大数据安全相关领域知识和技术,并具备至少一年的大数据安全服务工作经验;
c)
具备与大数据安全工作要求相适应的观察、分析、判断能力,能在他人指导下完成一定数量的
工作任务;
d)
具备团队协作能力,能够跨部门协同和团队协作。
6
大数据安全服务人员岗位分类
根据大数据安全服务人员岗位能力的不同,将其分为两类:大数据安全服务管理人员和大数据安全
服务技术人员。
7 大数据安全服务管理人员岗位能力评级
7.1 数据采集管理人员岗位能力
7.1.1 数据分级管理能力
7.1.1.1 一级指标
在他人的指导和协助下,能够完成对数据的分类和分级工作。
7.1.1.2
二级指标
包括但不限于:
a)
熟悉并掌握整体数据的安全分类与分级原则;
b)
具备划分数据类别与级别的能力;
c)
熟知业务需求及外部法规要求,对核心业务数据实施科学合理的分类与分级管理。
7.1.1.3
三级指标
包括但不限于:
a)
能够确立数据分类分级的指导原则、方法和实践指南;
b)
具备对数据进行精确分类和定级标记的管理能力;
c)
对于不同类型和敏感度的数据,能够建立相应的访问权限、加密解密机制、数据脱敏手段以及
其他必要的安全管理和控制措施;
d) 能够制定数据分类、分级变更的审批流程与机制。
7.1.2 数据采集管理能力
7.1.2.1 一级指标
在他人指导和协助下,能够有效地完成数据采集的管理工作。
7.1.2.2
二级指标
包括但不限于:
a)
确保所有数据采集活动合理、合法、合规,深入了解核心业务数据采集的原则;
b)
能够确认外部数据源的合法性和安全性,了解数据采集的渠道和外部数据源。
2
DB23/T 3696-2024
7.1.2.3
三级指标
包括但不限于:
a)
熟知数据采集原则的制定,能够熟练掌握业务相关的数据采集流程和方法;
b)
具备制定数据采集风险评估流程的能力,可以对数据源、采集频度、采集渠道、采集方式、数
据范围和类型进行全面风险评估;
c)
深入了解数据采集相关的法律要求、安全要求和业务需求,能够根据组织的实际业务需求提出
针对性的解决方案;
d) 能够合理规划自动化数据采集的范围;
e) 具备制定数据采集安全管理制度的能力,能够为团队提供清晰明确的指导;
f) 能够明确数据采集过程中个人信息源重要数据的知悉范围,并制定相应的管控措施。
7.1.3 数据源鉴别及记录管理能力
7.1.3.1 一级指标
在他人的指导和协助下,能够有效的记录并管理收集的数据。
7.1.3.2
二级指标
包括但不限于:
a)
熟知数据源鉴别与数据采集业务,能够灵活运用并指导实际工作;
b)
具备制定数据源鉴别标准和数据采集流程的能力。
7.1.3.3
三级指标
包括但不限于:
a) 能够制定数据源管理制度,对组织采集的数据源进行鉴别和记录管理;
b) 具备制定数据源鉴别标准的能力;
c) 具备制定数据备份管理制度的能力。
7.1.4 数据质量管理的管理能力
7.1.4.1 一级指标
在他人的指导和协助下,具备完成数据质量管理和监控任务的能力。
7.1.4.2
二级指标
包括但不限于:
a)
能够对数据质量进行管理和监控;
b)
熟知数据清洗、转换和加载操作相关的安全管理规范。
7.1.4.3
三级指标
包括但不限于:
a)
能够建立关于数据质量管理的各项要求;
b)
能够制定在数据采集过程中的质量监控规则,并清晰地界定数据质量监控的范围以及所采用的
监控方式;
c)
能够制定数据采集阶段的关键数据质量控制规范,并具备执行数据质量评估工作的能力;
d)
能够建立与数据清洗、转换和加载操作相关的安全管理规范。
3
DB23/T 3696-2024
7.2 数据传输管理人员岗位能力
7.2.1 数据加密传输管理能力
7.2.1.1 一级指标
在他人的指导和协助之下,能够有效地执行数据加密传输和密钥管理的任务。
7.2.1.2
二级指标
包括但不限于:
a)
熟悉数据传输安全的管理规定与要求;
b)
掌握核心业务中需加密传输的数据范畴及加密算法;
c)
具备制定传输通道两端主体身份鉴别与认证技术方案的能力。
7.2.1.3
三级指标
包括但不限于:
a) 能够制定数据传输安全的管理规范与要求;
b) 具备灵活应对数据传输安全策略变更的管理能力;
c) 熟知并掌握常用的安全通道方案、身份鉴别和认证技术,以及主管部门推荐的数据加密算法;
d) 能够对通道安全配置、密码算法配置、密钥管理进行全面审核及监控管理;
e) 能够根据具体的业务需求,合理选择并实施数据传输安全管理措施。
7.2.2 网络可用性安全管理能力
7.2.2.1 一级指标
在他人的指导和协助下,能够有效地执行网络可用性的管理工作。
7.2.2.2
二级指标
包括但不限于:
a)
明确网络(安全)设备的可用性管理要求;
b)
具备有效管理网络可用性的能力,制定网络安全管理制度。
7.2.2.3
三级指标
包括但不限于:
a) 具备制定相关设备对网络可用性及数据安全风险规范的能力;
b) 能够确立网络可用性管理的关键指标,制定网络服务的配置计划和应急替代策略;
c) 能够针对不同业务需求,制定个性化的网络性能安全防护方案。
7.3 数据存储管理人员岗位能力
7.3.1 存储介质安全管理能力
7.3.1.1 一级指标
在他人指导和协助下,能够有效地实施对存储媒体的安全管理。
7.3.1.2
二级指标
4
DB23/T 3696-2024
包括但不限于:
a)
对存储媒体安全管理的相关制度有深入了解;
b)
具备有效实施存储媒体安全管理的能力。
7.3.1.3
三级指标
包括但不限于:
a) 深入了解不同存储媒体的访问和使用差异,确保安全管理制度的针对性和有效性;
b) 能够制定并实施存储媒体的安全管理规范,涵盖访问、使用、审批记录等多个方面;
c) 能够制定存储媒体安全管理制度,熟知不同存储媒体访问和使用的差异性;
d) 能够建立完善的存储媒体使用、购买和标记的安全制度,确保信息资产的安全性和可追溯性。
7.3.2 逻辑存储安全管理能力
7.3.2.1 一级指标
在他人指导和协作下,能够完成对数据逻辑存储系统的安全管理。
7.3.2.2
二级指标
包括但不限于:
a)
具备数据逻辑存储系统的安全管理能力;
b)
熟知数据逻辑存储的隔离授权机制与操作流程;
c)
掌握逻辑存储系统的架构管理,并能够准确分析数据存储所面临的安全风险。
7.3.2.3
三级指标
包括但不限于:
a) 具备制定数据逻辑存储管理的安全准则与配置策略的能力;
b) 能够构建一套安全管理制度,为逻辑存储系统提供坚实的保障。
7.3.3 数据备份和恢复管理能力
7.3.3.1 一级指标
在他人指导和协助下,成功执行数据备份与恢复任务的管理能力。
7.3.3.2
二级指标
包括但不限于:
a)
具备深入理解数据备份、恢复与归档流程及其安全准则的能力;
b)
具备制定关于归档数据压缩、加密标准以及安全管控措施的能力;
c)
熟知对过期存储数据及其备份数据进行彻底删除或匿名化的各种方法和机制。
7.3.3.3
三级指标
包括但不限于:
a)
具备建立数据备份恢复管理制度及部署安全措施的能力;
b)
熟知数据备份恢复的定期检查更新流程,数据副本的更新频率及保存期限;
c)
能够制定数据存储时效性管理规程、数据处理流程以及过期存储数据安全管理要求;
d)
能够制定数据生存周期各阶段的归档操作流程;
5
DB23/T 3696-2024
e) 深度了解数据存储时效性的合规性要求,并能根据业务需求解读和实施相关法律、法规的规定。
7.4 数据处理管理人员岗位能力
7.4.1 敏感数据脱敏管理能力
7.4.1.1 一级指标
在他人指导和协助下,具备独立完成数据字段脱敏处理任务的管理能力。
7.4.1.2
二级指标
包括但不限于:
a)
熟知数据脱敏标准流程,清晰掌握数据脱敏的原则、技术方法及应用约束;
b)
具备出色的数据脱敏分析能力,熟知脱敏的流程与操作。
7.4.1.3
三级指标
包括但不限于:
a) 掌握数据脱敏原则与方法的制定能力;
b) 能够根据不同数据类型制定脱敏方案,具备根据场景需求自定义脱敏规则的能力;
c) 熟知数据脱敏技术方案的制定与实施;
d) 具备对数据脱敏处理过程的操作管理能力,以及对脱敏处理安全性的审核能力;
e) 能够分析数据脱敏过程中存在的安全风险,提出相应对策。
7.4.2 数据分析安全管理能力
7.4.2.1 一级指标
在他人指导和协助下,完成对数据分析的管理工作。
7.4.2.2
二级指标
包括但不限于:
a)
了解数据分析安全的原则和要求,对个人明细数据、业务明细数据进行聚合分析过程中应考虑
其关键安全风险;
b)
具备对数据安全风险控制的管理能力;
c)
了解数据分析安全审核流程;
d)
能够制定涉及个人信息的数据分析的审核流程,并针对具体的数据分析场景制定相应的隐私保
护方案。
7.4.2.3
三级指标
包括但不限于:
a)
能够制定数据分析安全制度;
b)
能够建立数据处理与分析安全规范;
c)
能够制定监控审计措施,确保数据分析过程受到有效的监控和审计,并且数据分析活动不会超
过相关分析团队对数据的权限范围;
d)
能够基于合规性要求和相关法律、法规要求,对数据安全分析中所可能引发的数据聚合的安全
风险进行有效的评估;
e)
针对不同分析场景,能够建立有效的解决方案。
6
DB23/T 3696-2024
7.4.3 数据正当使用管理能力
7.4.3.1 一级指标
在他人指导和协助下,具备建立数据合规评估机制的能力。
7.4.3.2
二级指标
包括但不限于:
a)
具备对数据正当使用的风险分析和跟进能力;
b)
具备对业务团队人员数据使用的合规性评估能力。
7.4.3.3
三级指标
包括但不限于:
a) 具备对数据正当使用管理、评估和风险控制的能力;
b) 能够制定数据使用正当性管理制度;
c) 能够制定数据使用评估制度。
7.4.4 数据处理环境安全管理能力
7.4.4.1 一级指标
能够在他人指导和协助下完成对数据处理环境的安全管理。
7.4.4.2
二级指标
包括但不限于:
a)
了解数据处理环境、身份识别、访问控制和安全配置的核心业务;
b)
掌握数据管理系统存在的安全风险;
c)
能够制定并执行数据处理环境在系统设计、开发和运维阶段的安全控制措施。
7.4.4.3
三级指标
包括但不限于:
a)
具备制定数据处理环境的安全管理制度的能力;
b)
能够确立分布式处理的安全标准,并对外部服务组件的注册与使用进行严格审核,监控数据副
本节点的更新情况,并采取有效措施防止数据泄露;
c) 具备建立数据加解密处理规范和密钥管理制度的能力。
7.5 数据交换管理人员岗位能力
7.5.1 数据导入导出安全管理能力
7.5.1.1 一级指标
在他人指导和协助下,能够有效的对数据导入导出任务进行风险管理和控制。
7.5.1.2
二级指标
包括但不限于:
a)
了解核心业务数据导入导出安全制度或审批流程;
b)
熟知数据导入导出业务的流程、技术和安全要求等;
7
DB23/T 3696-2024
c)
能够针对具体场景提出有效的数据导入导出解决方案。
7.5.1.3
三级指标
包括但不限于:
a)
能够建立符合业务规则的数据导入导出安全策略;
b)
能够建立数据导入导出存储媒体的标识规范,并定期验证导入导出数据的完整性和可用性;
c)
能够建立数据导入导出的审计策略和日志管理规程,并保存导入导出过程中的出错数据处理记
录;
d) 能够根据数据导入导出的业务特点,制定相应的风险评估解决方案。
7.5.2 数据共享安全管理能力
7.5.2.1 一级指标
在他人指导和协助下,具备对数据共享场景进行安全管控的能力。
7.5.2.2
二级指标
包括但不限于:
a)
了解并掌握核心业务数据共享的安全评估机制,具备从共享目的、数据范围、合规性、安全性
以及管理责任和约束措施等角度进行全面评估的能力;
b)
能够对共享数据和整个数据共享过程实施有效的监控和审核。
7.5.2.3
三级指标
包括但不限于:
a)
能够建立共享数据格式规范,确保数据的一致性和互操作性;
b)
能够建立数据共享原则和安全规范,明确数据共享内容范围、管控措施,以及涉及机构或部门
的相关用户职责和权限,保障数据的安全性和合规性;
c) 能够根据数据共享的业务执行相应的风险评估,并建立相应的解决方案;
d) 能够制定数据共享审计规程和审计日志管理制度。
7.5.3 数据发布安全管理能力
7.5.3.1 一级指标
在他人指导和协助下,能够有效地执行数据发布的安全管理工作。
7.5.3.2
二级指标
包括但不限于:
a)
熟悉核心业务数据公开发布的安全制度和审核流程;
b)
能够定期审查公开发布的数据,确保不含有非公开信息,并采取相应措施以确保数据发布的合
规性。
7.5.3.3
三级指标
包括但不限于:
a)
能够建立数据安全发布的制度和流程,并根据实际发布要求建立相应的应急方案;
b)
能够建立数据公开发布审核制度,并严格审核数据发布合规性;
8
DB23/T 3696-2024
c) 能够建立数据公开事件应急处理流程。
7.5.4 数据接口安全管理能力
7.5.4.1 一级指标
在他人指导和协助下,能够有效地执行对数据接口的安全管理任务。
7.5.4.2
二级指标
包括但不限于:
a)
具备审核数据接口访问的能力;
b)
拥有对数据接口调用的身份识别和访问监控能力。
7.5.4.3
三级指标
包括但不限于:
a)
具备制定数据接口安全控制策略的能力(包括:身份鉴别、访问控制、授权策略、签名、时间
戳、安全协议等);
b)
具备制定数据接口合作协议的能力,能够清晰地界定数据的使用目的、供应方式、保密约定,
以及数据安全责任。
7.6 数据销毁管理人员岗位能力
7.6.1 数据销毁安全管理能力
7.6.1.1 一级指标
在他人指导和协助下,能够有效的管理数据销毁处置的任务。
7.6.1.2
二级指标
包括但不限于:
a)
了解数据销毁的场景、销毁对象、销毁方式和销毁要求;
b)
能够设计符合企业数据治理要求的存储媒体销毁方案。
7.6.1.3
三级指标
包括但不限于:
a) 能够建立规范的数据销毁流程和审批流程,确保数据销毁工作的透明性和可追溯性;
b) 能够制定硬销毁和软销毁的数据销毁方案;
c) 能够建立数据分类分级销毁策略和管理制度;
d) 能够制定数据分布式存储的销毁策略与机制。
8 大数据安全服务技术人员岗位能力评级
8.1 数据采集技术人员岗位能力
8.1.1 数据采集技术能力
8.1.1.1 一级指标
9
DB23/T 3696-2024
在他人指导和协助下,具备完成数据采集技术操作的能力。
8.1.1.2
二级指标
包括但不限于:
a)
了解数据采集的合法性、正当性要求,保证业务数据采集行为符合相关法律、法规的规定;
b)
明确个人信息采集的目的、方式和范围,并取得信息主体的明确同意;
c)
严格遵守数据采集安全管理制度,确保数据采集过程的安全可控,并为业务或项目风险评估提
供技术支持。
8.1.1.3
三级指标
包括但不限于:
a) 熟知数据采集范围、数量和频度;
b) 熟知数据采集的渠道及外部数据源;
c) 熟知数据采集原则及流程;
d) 能够根据数据采集过程中个人信息源重要数据的知悉范围,执行有效的控制措施。
8.1.2 数据源鉴别及记录技术能力
8.1.2.1 一级指标
在他人指导和协助下,能够有效鉴别并记录不同的数据源。
8.1.2.2
二级指标
包括但不限于:
a)
了解数据源鉴别标准和数据采集的业务;
b)
具备在核心业务系统的数据采集和外部第三方采集过程中,对数据源进行鉴别和记录的能力。
8.1.2.3
三级指标
包括但不限于:
a) 具备辨识和记录外部收集的数据及其来源的能力;
b) 能够实施追溯数据的备份工作,并运用技术手段确保追溯数据的安全性。
8.1.3 数据质量管理的技术能力
8.1.3.1 一级指标