DB54T 0422-2024 公共数据 数据安全管理规范.docx

ICS35.240

54CCSL78

54

西 藏 自 治 区 地 方 标 准

DB54/T0422—2024

公共数据 数据安全管理规范

2024-11-18发布 2024-12-18实施

西藏自治区市场监督管理局??发布

DB54/T0422—2024

DB54/T0422—2024

PAGE\*ROMAN

PAGE\*ROMANII

目 次

前言 II

范围 1

规范性引用文件 1

术语和定义 1

数据安全管理原则 2

数据安全管理框架 3

数据安全职责 3

数据安全策略 4

数据安全分级 4

分级要素 4

分级规则 5

分级要求 5

数据权限管理 5

数据操作 5

数据安全监测与审计 6

数据安全风险评估 6

数据安全应急 6

数据生存周期安全管控 6

数据采集安全 6

数据存储安全 6

数据使用与加工安全 7

数据传输安全 7

数据共享和开放安全 7

数据销毁安全 7

附录A（资料性）4类影响对象的不同影响程度描述 8

参考文献 9

前 言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由西藏自治区经济和信息化厅（自治区数据管理局）提出并归口。

本文件起草单位：西藏自治区经济和信息化厅（自治区数据管理局）、西藏高驰信息技术服务有限责任公司、国家工业信息安全发展研究中心。

本文件主要起草人：郭翔、旺堆、扎西尼玛、刘勇、宋雪述、兰劭晖、罗宇舟、周文华、曹亮、赵青、贺赟、杜洪涛、李云志、栾燕、陶炜、蔡长亮。

DB54/T0422

DB54/T0422—2024

PAGE

PAGE10

公共数据数据安全管理规范

范围

本文件规定了数据主体单位及相关方开展公共数据安全管理工作的要求，包括数据安全管理的原则、管理框架、安全策略以及数据生存周期安全管控等。

本文件适用于西藏自治区各级机构的公共数据安全管理。

规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239 信息安全技术网络安全等级保护基本要求GB/T37988 信息安全技术数据安全能力成熟度模型GB/T43697 数据安全技术数据分类分级规则

术语和定义

GB/T37988界定的以及下列术语和定义适用于本文件。

3.1

数据安全datasecurity

通过管理和技术措施，确保数据有效保护和合规使用的状态。

[来源：GB/T37988-2019，3.1]

3.2

合规compliance

对数据安全所适用的法律法规的符合程度。

[来源：GB/T37988-2019，3.16]

3.3

核心数据coredata

即国家核心数据，是指关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据。

3.4

重要数据importantdata

一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。

注1：重要数据不包括国家秘密。

注2：重要数据一般不包括个人信息和企业内部管理信息，但达到一定规模的个人信息或者基于海量个人信息加工形成的衍生数据，如其一旦遭到篡改、破坏、泄露或者非法获取、非法利用可能危害国家安全、公共利益，也应满足重要数据保护要求。

3.5

一般数据normaldata

一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能对个人、组织合法权益造成危害，但不会危害国家安全、公共利益的数据。

3.6

保密性confidentiality

使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。

[来源：GB/T25069-2010，2.1.1]

3.7

完整性integrity

准确和完备的特性。

[来源：GB/T29246-2017，2.40]

3.8

可用性usability

已授权实体一旦需要就可访问和使用的数据和资源的特性。

[来源：GB/T25069-2010，2.1.20]

3.9

数据脱敏datamasking

通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。

[来源：GB/T37988-2019，3.12]

3.10

数据生存周期datalifecycle

将原始数据转化为可用于行动的知识的一组过程。

[来源：GB/T36073-2018，3.14]

数据安全管理原则

实施公共数