信息安全技术 政务数据处理安全要求 征求意见稿.docx

GB/TXXXXX—XXXX

1

数据安全技术政务数据处理安全要求

1范围

本文件规定了政务数据处理的安全要求，明确了政务数据处理安全管理要求、政务数据处理安全技术要求、政务数据处理中的个人信息保护要求、政务数据处理安全运营要求和政务数据处理安全监督要求。

本文件适用于指导政务部门及其技术支撑单位规范政务数据处理活动，也可为监管部门、第三方机构进行监督管理和评估提供参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239—2019

信息安全技术

网络安全等级保护基本要求

GB/T25069—2022

信息安全技术

术语

GB/T35273—2020

信息安全技术

个人信息安全规范

GB/T37964—2019

信息安全技术

个人信息去标识化指南

GB/T38664.1—2020信息技术大数据政务数据开发共享第1部分：总则GB/T39477—2020信息安全技术政务信息共享数据安全技术要求

GB/T39786—2021信息安全技术信息系统密码应用基本要求

3术语和定义

GB/T25069—2022、GB/T38664.1—2020界定的以及下列术语和定义适用于本文件。

3.1

政务数据governmentdata

各级政务部门及其技术支撑单位在履行职责过程中依法采集、生成、存储、管理的各类数据资源。[来源：GB/T38664.1—2020，定义3.1，有修改]

3.2

政务数据处理governmentdataprocessing

政务数据的收集、存储、使用、加工、传输、提供、公开、销毁等活动。

3.3

政务数据处理者governmentdataprocessor

对政务数据进行收集、存储、使用、加工、传输、提供、公开、销毁等活动的个人或组织。

4缩略语

下列缩略语适用于本文件。

SFTP：安全文件传输协议（SecuredFileTransferProtocol）

GB/TXXXXX—XXXX

2

5政务数据处理安全要求框架

政务数据处理安全监督要求合规检查事件上报投诉举报政务数据处理安全管理要求组织要求

政务数据处理安全监督要求

合规检查

事件上报

投诉举报

政务数据处理安全管理要求

组织要求

制度要求

第三方服务

预警通报溯源分析应急处置审计管理政务数据处理安全运营要求

预警通报

溯源分析

应急处置

审计管理

数据安全合规评估及监测

政务数据处理安全评估

数据收集数据存储数据使用数据传输数据提供数据公开政务数据处理安全技术要求

数据收集

数据存储

数据使用

数据传输

数据提供

数据公开

数据加工

数据销毁

政务数据处理中的个人信息保护要求

政务数据处理中的个人信息主体权利保障

政务数据处理平台个人信息安全保护

图1政务数据处理安全要求框架

在政务数据处理安全管理方面，从组织、制度和第三方服务等三个方面提出安全管理要求。在政务数据处理安全技术方面，针对数据收集、存储、使用、加工、传输、提供、公开、销毁等政务数据处理活动提出安全技术要求。在政务数据中的个人信息保护方面，从个人信息主体权利保障和个人信息安全保护方面提出相应的安全要求。在政务数据处理安全运营方面，提出数据安全合规评估与监测、政务数据处理安全评估、预警通报、应急处置、溯源分析和审计管理等安全要求。在政务数据处理安全监督方面，明确了合规检查、事件上报及投诉举报等安全要求。

6政务数据处理安全管理要求

6.1政务数据处理安全组织要求

6.1.1概述

政务数据处理活动的组织应包含决策层、管理层、执行层和监督层。决策层主要职责是对政务数据处理安全制定指导方针和政策，并提供安全保障资源；管理层主要职责是落实决策层所制定的相关政策，制定政务数据处理管理规范和制度，并组织推进数据安全管理工作；执行层主要职责是执行决策层和管理层所制定的政策、规范和制度，保障政务数据处理安全；监督层主要职责是依据决策层和管理层所制定的相关政策、规范和制度，监督执行层针对政务数据处理相关政策、规范和制度的落实情况，对于未能落实相关制度和规范的政务数据处理者采取安全管理措施。

6.1.2决策层

决策层由政务数据处理者所在单位数据安全领导小组的成员组成，具体职责应包括：

a)制定政务数据处理的整体安全目标和安全发展规划；

GB/TXXXXX—XXXX

3

b)发布政务数据处理的安全管理制度及规范；

c)为政务数据处理的安全规划