《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > 深圳首個公共數(shù)據(jù)安全領(lǐng)域的地方標準發(fā)布 12月1日實施

深圳首個公共數(shù)據(jù)安全領(lǐng)域的地方標準發(fā)布 12月1日實施

2022-11-25
來源:安全419
關(guān)鍵詞: 數(shù)據(jù)安全 標準 深圳

  由深圳市信息安全管理中心牽頭起草,深圳市政務(wù)服務(wù)數(shù)據(jù)管理局提出并歸口的《公共數(shù)據(jù)安全要求》(以下簡稱《要求》)近日正式發(fā)布,將于12月1日正式實施,這是深圳首個公共數(shù)據(jù)安全領(lǐng)域的地方標準。

  早在2021年6月,深圳發(fā)布了《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》,其中全面規(guī)范了公共數(shù)據(jù)的開放和使用,并對公共數(shù)據(jù)安全也提出了明確的要求。各公共管理和服務(wù)機構(gòu)如何在自身的公共數(shù)據(jù)管理中,有效實現(xiàn)對條例要求的落地,確保公共數(shù)據(jù)安全,也隨著條例正式實施而成為了越發(fā)急迫的需求。因此,需要從公共數(shù)據(jù)安全的專業(yè)視角,為公共數(shù)據(jù)安全管理進行統(tǒng)一的指導,也是本《要求》制定的意義之一。

  公共數(shù)據(jù)是指公共管理和服務(wù)機構(gòu)及處理大量個人信息的服務(wù)平臺在依法履行公共管理職責或者提供公共服務(wù)過程中產(chǎn)生、處理的數(shù)據(jù)。

  承載公共數(shù)據(jù)的信息系統(tǒng)應(yīng)按GB/T 22239—2019描述的基本要求,同步規(guī)劃、建設(shè)、運營信息系統(tǒng),并對信息系統(tǒng)組織開展定級備案、等級測評、安全整改工作;數(shù)據(jù)處理過程涉及的密碼技術(shù)應(yīng)按GB/T39786—2021描述的密碼應(yīng)用基本要求執(zhí)行。

  微信圖片_20221125203729.jpg

  總體框架

  在上述總體安全要求基礎(chǔ)上,公共數(shù)據(jù)安全要求由如下兩大類構(gòu)成:

  01 數(shù)據(jù)通用安全要求:明確通用管理安全要求及通用技術(shù)安全要求,從管理及技術(shù)角度分級闡述公共數(shù)據(jù)安全要求。

  應(yīng)設(shè)立數(shù)據(jù)安全管理機構(gòu),明確數(shù)據(jù)安全責任人,按照相關(guān)法律、法規(guī)、規(guī)章的要求編制公共數(shù)據(jù)資源目錄,落實數(shù)據(jù)安全保護責任,履行職責包括組織制定數(shù)據(jù)保護計劃并落實;組織開展數(shù)據(jù)安全影響分析和風險評估,督促整改安全隱患;組織按要求向有關(guān)部門報告數(shù)據(jù)安全保護和事件處置情況;組織受理并處理數(shù)據(jù)安全投訴和舉報事項等。

  通用技術(shù)安全要求方面,應(yīng)結(jié)合數(shù)據(jù)資產(chǎn)識別技術(shù)手段,梳理數(shù)據(jù)資產(chǎn),并明確數(shù)據(jù)資產(chǎn)類型、數(shù)據(jù)量、存儲位置、數(shù)據(jù)關(guān)聯(lián)系統(tǒng)、數(shù)據(jù)共享情況、數(shù)據(jù)出境情況等,并明確數(shù)據(jù)對象安全等級。在數(shù)據(jù)分類分級基礎(chǔ)上,形成數(shù)據(jù)資產(chǎn)清單,落實不同數(shù)據(jù)安全等級差異化防護措施要求。

  02 數(shù)據(jù)處理活動安全要求:數(shù)據(jù)處理活動圍繞數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)使用、數(shù)據(jù)加工、數(shù)據(jù)開放共享、數(shù)據(jù)交易、數(shù)據(jù)出境、數(shù)據(jù)銷毀與刪除9個過程,分級闡述公共數(shù)據(jù)安全要求。

  應(yīng)對數(shù)據(jù)收集來源進行鑒別和記錄,確保數(shù)據(jù)收集來源的合法性、正當性,明確數(shù)據(jù)類型及收集渠道、目的、用途、范圍、頻度、方式等;應(yīng)明確如加密、訪問控制、數(shù)字水印、完整性校驗等數(shù)據(jù)存儲相關(guān)安全管控措施,并建立數(shù)據(jù)備份恢復操作規(guī)程;應(yīng)明確數(shù)據(jù)傳輸相關(guān)安全管控措施,如傳輸通道加密、數(shù)據(jù)內(nèi)容加密、數(shù)據(jù)接口傳輸安全等,并對數(shù)據(jù)傳輸兩端進行身份鑒別;應(yīng)明確數(shù)據(jù)使用業(yè)務(wù)場景的目的、范圍、審批流程、人員崗位職責等,鼓勵在保障安全的情況下,開展數(shù)據(jù)利用;公共數(shù)據(jù)提供部門應(yīng)與公共數(shù)據(jù)使用部門簽署相關(guān)協(xié)議,明確數(shù)據(jù)使用目的、供應(yīng)方式、保密約定、數(shù)據(jù)共享范圍、數(shù)據(jù)安全保護要求等內(nèi)容;應(yīng)按照相關(guān)法律、法規(guī)、規(guī)章的要求開展數(shù)據(jù)交易,加強交易過程的數(shù)據(jù)安全保護;應(yīng)明確數(shù)據(jù)出境業(yè)務(wù)場景,提前開展數(shù)據(jù)出境安全評估及網(wǎng)絡(luò)安全審查工作;應(yīng)建立數(shù)據(jù)銷毀與刪除規(guī)程,明確數(shù)據(jù)銷毀與刪除場景、方式及審批機制,設(shè)置相關(guān)監(jiān)督角色,記錄數(shù)據(jù)銷毀與刪除操作過程。

  可以看到,本《要求》充分參考了網(wǎng)絡(luò)安全等級保護的相關(guān)要求和各公共管理和服務(wù)機構(gòu)現(xiàn)有的安全管理要求,同時對數(shù)據(jù)安全最新政策法規(guī)要求承接,實現(xiàn)了將公共數(shù)據(jù)安全和網(wǎng)絡(luò)安全等級保護體系的有效銜接,在不影響各公共管理和服務(wù)機構(gòu)已有安全要求的基礎(chǔ)上,進行公共數(shù)據(jù)安全層面的擴展,更突出《要求》的落地能力。

  總而言之,實現(xiàn)公共數(shù)據(jù)安全要求的落地,一方面要從合規(guī)性出發(fā),遵從國家政策法規(guī)、標準規(guī)范及《深圳經(jīng)濟特區(qū)數(shù)據(jù)條例》中的安全要求,另一方面也要從可操作性出發(fā),在進行安全管理要求分解和細化的同時,提供相應(yīng)的技術(shù)及數(shù)據(jù)處理活動安全能力要求,為落地提供標準參考和指導。



更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時通過電子郵件或電話通知我們,以便迅速采取適當措施,避免給雙方造成不必要的經(jīng)濟損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。