由深圳市信息安全管理中心牽頭起草，深圳市政務(wù)服務(wù)數(shù)據(jù)管理局提出并歸口的《公共數(shù)據(jù)安全要求》（以下簡(jiǎn)稱《要求》）近日正式發(fā)布，將于12月1日正式實(shí)施，這是深圳首個(gè)公共數(shù)據(jù)安全領(lǐng)域的地方標(biāo)準(zhǔn)。

　　早在2021年6月，深圳發(fā)布了《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》，其中全面規(guī)范了公共數(shù)據(jù)的開(kāi)放和使用，并對(duì)公共數(shù)據(jù)安全也提出了明確的要求。各公共管理和服務(wù)機(jī)構(gòu)如何在自身的公共數(shù)據(jù)管理中，有效實(shí)現(xiàn)對(duì)條例要求的落地，確保公共數(shù)據(jù)安全，也隨著條例正式實(shí)施而成為了越發(fā)急迫的需求。因此，需要從公共數(shù)據(jù)安全的專業(yè)視角，為公共數(shù)據(jù)安全管理進(jìn)行統(tǒng)一的指導(dǎo)，也是本《要求》制定的意義之一。

　　公共數(shù)據(jù)是指公共管理和服務(wù)機(jī)構(gòu)及處理大量個(gè)人信息的服務(wù)平臺(tái)在依法履行公共管理職責(zé)或者提供公共服務(wù)過(guò)程中產(chǎn)生、處理的數(shù)據(jù)。

　　承載公共數(shù)據(jù)的信息系統(tǒng)應(yīng)按GB/T 22239—2019描述的基本要求，同步規(guī)劃、建設(shè)、運(yùn)營(yíng)信息系統(tǒng)，并對(duì)信息系統(tǒng)組織開(kāi)展定級(jí)備案、等級(jí)測(cè)評(píng)、安全整改工作；數(shù)據(jù)處理過(guò)程涉及的密碼技術(shù)應(yīng)按GB/T39786—2021描述的密碼應(yīng)用基本要求執(zhí)行。

　　總體框架

　　在上述總體安全要求基礎(chǔ)上，公共數(shù)據(jù)安全要求由如下兩大類構(gòu)成：

　　01 數(shù)據(jù)通用安全要求：明確通用管理安全要求及通用技術(shù)安全要求，從管理及技術(shù)角度分級(jí)闡述公共數(shù)據(jù)安全要求。

　　應(yīng)設(shè)立數(shù)據(jù)安全管理機(jī)構(gòu)，明確數(shù)據(jù)安全責(zé)任人，按照相關(guān)法律、法規(guī)、規(guī)章的要求編制公共數(shù)據(jù)資源目錄，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任，履行職責(zé)包括組織制定數(shù)據(jù)保護(hù)計(jì)劃并落實(shí)；組織開(kāi)展數(shù)據(jù)安全影響分析和風(fēng)險(xiǎn)評(píng)估，督促整改安全隱患；組織按要求向有關(guān)部門報(bào)告數(shù)據(jù)安全保護(hù)和事件處置情況；組織受理并處理數(shù)據(jù)安全投訴和舉報(bào)事項(xiàng)等。

　　通用技術(shù)安全要求方面，應(yīng)結(jié)合數(shù)據(jù)資產(chǎn)識(shí)別技術(shù)手段，梳理數(shù)據(jù)資產(chǎn)，并明確數(shù)據(jù)資產(chǎn)類型、數(shù)據(jù)量、存儲(chǔ)位置、數(shù)據(jù)關(guān)聯(lián)系統(tǒng)、數(shù)據(jù)共享情況、數(shù)據(jù)出境情況等，并明確數(shù)據(jù)對(duì)象安全等級(jí)。在數(shù)據(jù)分類分級(jí)基礎(chǔ)上，形成數(shù)據(jù)資產(chǎn)清單，落實(shí)不同數(shù)據(jù)安全等級(jí)差異化防護(hù)措施要求。

　　02 數(shù)據(jù)處理活動(dòng)安全要求：數(shù)據(jù)處理活動(dòng)圍繞數(shù)據(jù)收集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)使用、數(shù)據(jù)加工、數(shù)據(jù)開(kāi)放共享、數(shù)據(jù)交易、數(shù)據(jù)出境、數(shù)據(jù)銷毀與刪除9個(gè)過(guò)程，分級(jí)闡述公共數(shù)據(jù)安全要求。

　　應(yīng)對(duì)數(shù)據(jù)收集來(lái)源進(jìn)行鑒別和記錄，確保數(shù)據(jù)收集來(lái)源的合法性、正當(dāng)性，明確數(shù)據(jù)類型及收集渠道、目的、用途、范圍、頻度、方式等；應(yīng)明確如加密、訪問(wèn)控制、數(shù)字水印、完整性校驗(yàn)等數(shù)據(jù)存儲(chǔ)相關(guān)安全管控措施，并建立數(shù)據(jù)備份恢復(fù)操作規(guī)程；應(yīng)明確數(shù)據(jù)傳輸相關(guān)安全管控措施，如傳輸通道加密、數(shù)據(jù)內(nèi)容加密、數(shù)據(jù)接口傳輸安全等，并對(duì)數(shù)據(jù)傳輸兩端進(jìn)行身份鑒別；應(yīng)明確數(shù)據(jù)使用業(yè)務(wù)場(chǎng)景的目的、范圍、審批流程、人員崗位職責(zé)等，鼓勵(lì)在保障安全的情況下，開(kāi)展數(shù)據(jù)利用；公共數(shù)據(jù)提供部門應(yīng)與公共數(shù)據(jù)使用部門簽署相關(guān)協(xié)議，明確數(shù)據(jù)使用目的、供應(yīng)方式、保密約定、數(shù)據(jù)共享范圍、數(shù)據(jù)安全保護(hù)要求等內(nèi)容；應(yīng)按照相關(guān)法律、法規(guī)、規(guī)章的要求開(kāi)展數(shù)據(jù)交易，加強(qiáng)交易過(guò)程的數(shù)據(jù)安全保護(hù)；應(yīng)明確數(shù)據(jù)出境業(yè)務(wù)場(chǎng)景，提前開(kāi)展數(shù)據(jù)出境安全評(píng)估及網(wǎng)絡(luò)安全審查工作；應(yīng)建立數(shù)據(jù)銷毀與刪除規(guī)程，明確數(shù)據(jù)銷毀與刪除場(chǎng)景、方式及審批機(jī)制，設(shè)置相關(guān)監(jiān)督角色，記錄數(shù)據(jù)銷毀與刪除操作過(guò)程。

　　可以看到，本《要求》充分參考了網(wǎng)絡(luò)安全等級(jí)保護(hù)的相關(guān)要求和各公共管理和服務(wù)機(jī)構(gòu)現(xiàn)有的安全管理要求，同時(shí)對(duì)數(shù)據(jù)安全最新政策法規(guī)要求承接，實(shí)現(xiàn)了將公共數(shù)據(jù)安全和網(wǎng)絡(luò)安全等級(jí)保護(hù)體系的有效銜接，在不影響各公共管理和服務(wù)機(jī)構(gòu)已有安全要求的基礎(chǔ)上，進(jìn)行公共數(shù)據(jù)安全層面的擴(kuò)展，更突出《要求》的落地能力。

　　總而言之，實(shí)現(xiàn)公共數(shù)據(jù)安全要求的落地，一方面要從合規(guī)性出發(fā)，遵從國(guó)家政策法規(guī)、標(biāo)準(zhǔn)規(guī)范及《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》中的安全要求，另一方面也要從可操作性出發(fā)，在進(jìn)行安全管理要求分解和細(xì)化的同時(shí)，提供相應(yīng)的技術(shù)及數(shù)據(jù)處理活動(dòng)安全能力要求，為落地提供標(biāo)準(zhǔn)參考和指導(dǎo)。

更多信息可以來(lái)這里獲取==>>電子技術(shù)應(yīng)用-AET<<