1、公公共共数数据据安安全全管管理理规规范范ICS 35.020CCS L80DB3704枣庄市地方标准DB3704/T 0040-20242024-03-27 发布2024-04-27 实施枣庄市市场监督管理局发 布DB3704/T 00402024目次前言.1公共数据安全管理规范.21 范围.22 规范性引用文件.23 术语和定义.24 总体原则.25 通用安全能力.35.1 人员管理.35.2 人员职责.45.3 委托处理.45.4 安全评估.45.5 应急响应.55.6 网络安全.56 数据生命周期管理.56.1 数据采集.56.2 数据传输.56.3 数据存储.56.4 数据汇聚.66.
2、5 数据使用.66.6 数据共享.76.7 数据开放.7DB3704/T 004020241前言本文件按照GB/T 1.1-2020标准化工作导则 第1部分:标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由枣庄市大数据局提出、归口并组织实施。本文件起草单位:枣庄市大数据中心、北京安华金和科技有限公司。本文件主要起草人:王辉、陈夫真、赵瑞欣、陈亚楠、郗金鑫、郭腾、王俐、徐娟、雷嘉宾、赵善文。本文件为首次发布。DB3704/T 004020242公共数据安全管理规范1范围本文件规定了公共数据在数据处理活动中的安全管理要求。本文
3、件适用于指导涉及公共数据采集、存储和使用的各单位进行数据安全管理能力建设,规范公共数据的使用。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求GB/T 37964-2019 信息安全技术 个人信息去标识化指南GB/T 39477-2020 信息安全技术 政务信息共享数据安全技术要求3术语和定义下列术语和定义适用于本文件。3.1公共数据国家机关,法律法规授权的具有管理公共事务职
4、能的组织,具有公共服务职能的企业事业单位,人民团体等(以下统称公共数据提供单位)在依法履行公共管理职责、提供公共服务过程中,收集和产生的各类数据。3.2数据安全通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。3.3网络安全通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。3.4数据处理活动包括数据的采集、传输、存储、汇聚、使用、共享、开放等。4总体原则为规范公共数据安全的基本要求,防范和抵御数据可能面临的各类安全风险,公共管理和服务机构在处理数据过程中
5、,应遵循下列原则,具体包括:DB3704/T 004020243a)合法正当原则:公共数据收集采取合法、正当的方式,不应窃取或者以其他非法方式获取数据,数据处理活动过程不应危害国家安全、公共利益,不应损害个人、组织的合法权益。b)权责明确原则:采取技术和其他必要的措施保障数据的安全,对数据处理活动中涉及的组织和个人的合法权益负责。c)目的明确原则:数据处理活动具有明确、清晰、具体的目的。d)最小必要原则:数据处理活动仅处理可满足特定公共服务为目的所需的最少数据类型和数量。e)公开透明原则:以明确、易懂和合理的方式公开个人信息处理的范围、目的、规则等,并接受外部监督,法律、行政法规另有规定的例外
6、情况,从其规定。f)动态调整原则:数据安全等级随着数据对客体侵害程度的变化进行动态调整,数据重要程度、数据处理活动过程、数据安全管控措施等的变更可能引起数据对客体侵害程度的变化。g)全程可控原则:采取必要管控措施确保数据处理活动各环节的可控性,防止未授权访问及处理公共数据,记录数据处理活动各环节过程,记录内容清晰可追溯。5通用安全能力5.1人员管理图1数据安全管理人员架构图a)应设立数据安全管理机构,明确数据安全责任人,落实数据安全保护责任,负责公共数据的安全管理工作,应当加强人员管理,明确在人员培训、人员考核、保密协议、离岗离职、外部人员管理等方面的管理规定并严格落实。DB3704/T 004020244b)数据安全管理机构应明确数据管理员、数据安全管理员、数据安全审计员等岗位职责,落实岗位人员,保障数据安全管理与审计工作开展。5.2人员职责数数据据安安全全责责任任人人:负责组织制定数据保护计划并落实。负责组织开展数据安全影响分析和风险评估,督促整改安全隐患。负责组织按要求向有关部门报告数据安全保护和事件处置情况。负责组织受理并处理数据安全投诉和举报事项等。数数据据管管理理员员:负责
安全达人 