DB3704_T 0040-2024 公共数据安全管理规范.docxVIP

ICS35.020CCSL80

DB3704

枣庄市地方标准

DB3704/T0040-2024

公共数据安全管理规范

2024-03-27发布2024-04-27实施

枣庄市市场监督管理局发布

DB3704/T0040—2024

目次

前言 1

公共数据安全管理规范 2

1范围 2

2规范性引用文件 2

3术语和定义 2

4总体原则 2

5通用安全能力 3

5.1人员管理 3

5.2人员职责 4

5.3委托处理 4

5.4安全评估 4

5.5应急响应 5

5.6网络安全 5

6数据生命周期管理 5

6.1数据采集 5

6.2数据传输 5

6.3数据存储 5

6.4数据汇聚 6

6.5数据使用 6

6.6数据共享 7

6.7数据开放 7

DB3704/T0040—2024

1

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由枣庄市大数据局提出、归口并组织实施。

本文件起草单位：枣庄市大数据中心、北京安华金和科技有限公司。

本文件主要起草人：王辉、陈夫真、赵瑞欣、陈亚楠、郗金鑫、郭腾、王俐、徐娟、雷嘉宾、赵善文。

本文件为首次发布。

DB3704/T0040—2024

2

公共数据安全管理规范

1范围

本文件规定了公共数据在数据处理活动中的安全管理要求。

本文件适用于指导涉及公共数据采集、存储和使用的各单位进行数据安全管理能力建设，规范公共数据的使用。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件:不注日期的引用文件，其最新版本(包括所有的修改单)适用于本文件。

GB/T22239-2019信息安全技术网络安全等级保护基本要求

GB/T37964-2019信息安全技术个人信息去标识化指南

GB/T39477-2020信息安全技术政务信息共享数据安全技术要求

3术语和定义

下列术语和定义适用于本文件。

3.1

公共数据

国家机关，法律法规授权的具有管理公共事务职能的组织，具有公共服务职能的企业事业单位，人民团体等（以下统称公共数据提供单位）在依法履行公共管理职责、提供公共服务过程中，收集和产生的各类数据。

3.2

数据安全

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

3.3

网络安全

通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。

3.4

数据处理活动

包括数据的采集、传输、存储、汇聚、使用、共享、开放等。

4总体原则

为规范公共数据安全的基本要求，防范和抵御数据可能面临的各类安全风险，公共管理和服务机构在处理数据过程中，应遵循下列原则，具体包括：

DB3704/T0040—2024

3

a)合法正当原则：公共数据收集采取合法、正当的方式，不应窃取或者以其他非法方式获取数据，数据处理活动过程不应危害国家安全、公共利益，不应损害个人、组织的合法权益。

b)权责明确原则：采取技术和其他必要的措施保障数据的安全，对数据处理活动中涉及的组织和个人的合法权益负责。

c)目的明确原则：数据处理活动具有明确、清晰、具体的目的。

d)最小必要原则：数据处理活动仅处理可满足特定公共服务为目的所需的最少数据类型和数量。

e)公开透明原则：以明确、易懂和合理的方式公开个人信息处理的范围、目的、规则等，并接受外部监督，法律、行政法规另有规定的例外情况，从其规定。

f)动态调整原则：数据安全等级随着数据对客体侵害程度的变化进行动态调整，数据重要程度、数据处理活动过程、数据安全管控措施等的变更可能引起数据对客体侵害程度的变化。

g)全程可控原则：采取必要管控措施确保数据处理活动各环节的可控性，防止未授权访问及处理公共数据，记录数据处理活动各环节过程，记录内容清晰可追溯。

5通用安全能力

5.1人员管理

图1数据安全管理人员架构图

a)应设立数据安全管理机构，明确数据安全责任人，