深圳首个公共数据安全领域的地方标准发布 12月1日实施

首页 / 业界 / 政策 /  正文
作者:西西
来源:安全419
发布于:6天前
安全419关注到,由深圳市信息安全管理中心牵头起草,深圳市政务服务数据管理局提出并归口的《公共数据安全要求》(以下简称《要求》)近日正式发布,将于12月1日正式实施,这是深圳首个公共数据安全领域的地方标准。


早在2021年6月,深圳发布了《深圳经济特区数据条例》,其中全面规范了公共数据的开放和使用,并对公共数据安全也提出了明确的要求。各公共管理和服务机构如何在自身的公共数据管理中,有效实现对条例要求的落地,确保公共数据安全,也随着条例正式实施而成为了越发急迫的需求。因此,需要从公共数据安全的专业视角,为公共数据安全管理进行统一的指导,也是本《要求》制定的意义之一。
 
公共数据是指公共管理和服务机构及处理大量个人信息的服务平台在依法履行公共管理职责或者提供公共服务过程中产生、处理的数据。
 
承载公共数据的信息系统应按GB/T 22239—2019描述的基本要求,同步规划、建设、运营信息系统,并对信息系统组织开展定级备案、等级测评、安全整改工作;数据处理过程涉及的密码技术应按GB/T39786—2021描述的密码应用基本要求执行。
 

总体框架

在上述总体安全要求基础上,公共数据安全要求由如下两大类构成:
 
1、数据通用安全要求:明确通用管理安全要求及通用技术安全要求,从管理及技术角度分级阐述公共数据安全要求;
 
应设立数据安全管理机构,明确数据安全责任人,按照相关法律、法规、规章的要求编制公共数据资源目录,落实数据安全保护责任,履行职责包括组织制定数据保护计划并落实;组织开展数据安全影响分析和风险评估,督促整改安全隐患;组织按要求向有关部门报告数据安全保护和事件处置情况;组织受理并处理数据安全投诉和举报事项等。
 
通用技术安全要求方面,应结合数据资产识别技术手段,梳理数据资产,并明确数据资产类型、数据量、存储位置、数据关联系统、数据共享情况、数据出境情况等,并明确数据对象安全等级。在数据分类分级基础上,形成数据资产清单,落实不同数据安全等级差异化防护措施要求。
 
2、数据处理活动安全要求:数据处理活动围绕数据收集、数据存储、数据传输、数据使用、数据加工、数据开放共享、数据交易、数据出境、数据销毁与删除9个过程,分级阐述公共数据安全要求。
 
应对数据收集来源进行鉴别和记录,确保数据收集来源的合法性、正当性,明确数据类型及收集渠道、目的、用途、范围、频度、方式等;应明确如加密、访问控制、数字水印、完整性校验等数据存储相关安全管控措施,并建立数据备份恢复操作规程;应明确数据传输相关安全管控措施,如传输通道加密、数据内容加密、数据接口传输安全等,并对数据传输两端进行身份鉴别;应明确数据使用业务场景的目的、范围、审批流程、人员岗位职责等,鼓励在保障安全的情况下,开展数据利用;公共数据提供部门应与公共数据使用部门签署相关协议,明确数据使用目的、供应方式、保密约定、数据共享范围、数据安全保护要求等内容;应按照相关法律、法规、规章的要求开展数据交易,加强交易过程的数据安全保护;应明确数据出境业务场景,提前开展数据出境安全评估及网络安全审查工作;应建立数据销毁与删除规程,明确数据销毁与删除场景、方式及审批机制,设置相关监督角色,记录数据销毁与删除操作过程。
 
可以看到,本《要求》充分参考了网络安全等级保护的相关要求和各公共管理和服务机构现有的安全管理要求,同时对数据安全最新政策法规要求承接,实现了将公共数据安全和网络安全等级保护体系的有效衔接,在不影响各公共管理和服务机构已有安全要求的基础上,进行公共数据安全层面的扩展,更突出《要求》的落地能力。
 
总而言之,实现公共数据安全要求的落地,一方面要从合规性出发,遵从国家政策法规、标准规范及《深圳经济特区数据条例》中的安全要求,另一方面也要从可操作性出发,在进行安全管理要求分解和细化的同时,提供相应的技术及数据处理活动安全能力要求,为落地提供标准参考和指导。