6.5　數據交換

6.5　數據交換

6.5.1　數據導入安全

6.5.1.1　一般要求

大數據服務提供者應：
a) 綜合數據量、增長速度、業務需求、導入有效性等因素制定數據導入策略與規程。
b) 建立符合業務規則的數據導入安全相關的授權策略、不一致處理策略和流程控制策略。
c) 依據數據導入策略與規程、授權策略等，建立數據導入安全評估機制和授權審批流程。
d) 對導入終端、用戶或服務組件等執行身份鑒別，驗證其身份的真實性和合法性。
e) 制定數據導入審計策略和審計日志管理規范，并保存導入過程中的出錯數據處理記錄。
f) 采取數據傳輸加密等技術措施，保證遠程數據安全導入。

6.5.1.2　增強要求

大數據服務提供者應：
a) 采取多因素鑒別技術對數據導入操作員進行身份鑒別。
b) 為數據導入通道提供冗余備份能力，確保數據安全可靠導入要求。

6.5.2　數據導出安全

6.5.2.1　一般要求

大數據服務提供者應：
a) 依據數據分類分級要求建立符合業務規范的導出數據管理策略、管控措施和處理機制。
b) 建立數據導出安全評估機制和授權審批流程。
c) 建立存放導出數據介質的標識規范，包括命名規則、標識屬性等重要信息。
d) 定期驗證導出數據的完整性和可用性。
e) 采取適當的措施對請求導出數據用戶進行身份鑒別，驗證導出操作員身份的真實性。
f) 制定數據導出審計策略和審計日志管理規范，并保存導出過程中的出錯處理記錄。
g) 采用加密機制、訪問控制等技術手段保障導出數據在傳輸中的保密性、完整性和可用性。

6.5.2.2　增強要求

大數據服務提供者應：

6.5.3　數據共享安全

6.5.3.1　一般要求

大數據服務提供者應：
a) 明確數據共享內容范圍和數據共享的管控措施。
b) 明確大數據服務提供者與共享數據使用者的數據保護責任，確保共享數據使用者具備與大數據服務提供者足夠或相當的安全防護能力。
c) 明確數據共享涉及機構或部門相關用戶職責和權限，保證數據共享安全策略有效性。
d) 審核共享數據應用場景，確保沒有超出大數據服務提供者的數據所有權和授權使用范圍。
e) 審核共享數據的數據內容，確認屬于滿足大數據共享業務場景需求范圍。
f) 采用數據加密、安全通道等措施保護數據共享過程中的個人信息、重要數據等敏感信息。
g) 制定數據共享審計策略和審計日志管理規范，審計記錄詳細完整，為數據共享安全事件的處置、應急響應和事后調查提供幫助。
h) 對共享數據及數據共享服務過程進行監控，確保共享的數據未超出授權范圍。

6.5.3.2　增強要求

大數據服務提供者應：
a) 定期評估數據共享工具、服務組件和共享通道的安全性。

6.5.4　數據發布安全

6.5.4.1.1　一般要求

大數據服務提供者應：
a) 建立數據資源公開發布的審核制度，嚴格審核數據發布業務符合相關法律法規要求。
b) 明確數據資源公開內容、適用范圍及規范，發布者與使用者權利和義務。
c) 依法公開大數據服務相關數據資源公告、資格審查、成交信息、履約信息等數據發布信息。
d) 建立數據資源公開事件應急處理流程，包括保障處理流程快速有效的必要措施。
e) 建立數據資源公開數據庫，通過大數據發布平臺服務實現公開數據資源登記、用戶注冊等共享數據和共享組件的驗證互認機制。
f) 指定專人負責數據發布信息的披露，并且對數據披露人員進行安全培訓。

6.5.4.2　增強要求

大數據服務提供者應：

6.5.5　數據交換監控

6.5.5.1　一般要求

大數據服務提供者應：
a) 采用自動和人工審計相結合的方法或手段對高風險數據交換操作進行監控。
b) 記錄數據交換操作事件，并制定數據交換風險行為識別和評估規則。
c) 部署必要的數據防泄漏實時監控工具，監控及報告個人信息、重要數據等的外發行為。

6.5.5.2　增強要求

大數據服務提供者應：
a) 記錄數據交換服務接口調用事件信息，監控是否存在惡意數據獲取、數據盜用等風險。