由深圳市信息安全管理中心牽頭起草,，深圳市政務(wù)服務(wù)數(shù)據(jù)管理局提出并歸口的《公共數(shù)據(jù)安全要求》（以下簡(jiǎn)稱《要求》）近日正式發(fā)布，將于12月1日正式實(shí)施,，這是深圳首個(gè)公共數(shù)據(jù)安全領(lǐng)域的地方標(biāo)準(zhǔn),。

　　早在2021年6月，深圳發(fā)布了《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》,，其中全面規(guī)范了公共數(shù)據(jù)的開放和使用,，并對(duì)公共數(shù)據(jù)安全也提出了明確的要求。各公共管理和服務(wù)機(jī)構(gòu)如何在自身的公共數(shù)據(jù)管理中,，有效實(shí)現(xiàn)對(duì)條例要求的落地,，確保公共數(shù)據(jù)安全，也隨著條例正式實(shí)施而成為了越發(fā)急迫的需求,。因此,，需要從公共數(shù)據(jù)安全的專業(yè)視角,，為公共數(shù)據(jù)安全管理進(jìn)行統(tǒng)一的指導(dǎo),，也是本《要求》制定的意義之一。

　　公共數(shù)據(jù)是指公共管理和服務(wù)機(jī)構(gòu)及處理大量個(gè)人信息的服務(wù)平臺(tái)在依法履行公共管理職責(zé)或者提供公共服務(wù)過程中產(chǎn)生,、處理的數(shù)據(jù),。

　　承載公共數(shù)據(jù)的信息系統(tǒng)應(yīng)按GB/T 22239—2019描述的基本要求，同步規(guī)劃,、建設(shè),、運(yùn)營信息系統(tǒng),，并對(duì)信息系統(tǒng)組織開展定級(jí)備案、等級(jí)測(cè)評(píng),、安全整改工作,；數(shù)據(jù)處理過程涉及的密碼技術(shù)應(yīng)按GB/T39786—2021描述的密碼應(yīng)用基本要求執(zhí)行。

　　總體框架

　　在上述總體安全要求基礎(chǔ)上,，公共數(shù)據(jù)安全要求由如下兩大類構(gòu)成：

　　01 數(shù)據(jù)通用安全要求：明確通用管理安全要求及通用技術(shù)安全要求,，從管理及技術(shù)角度分級(jí)闡述公共數(shù)據(jù)安全要求。

　　應(yīng)設(shè)立數(shù)據(jù)安全管理機(jī)構(gòu),，明確數(shù)據(jù)安全責(zé)任人,，按照相關(guān)法律、法規(guī),、規(guī)章的要求編制公共數(shù)據(jù)資源目錄,，落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任，履行職責(zé)包括組織制定數(shù)據(jù)保護(hù)計(jì)劃并落實(shí),；組織開展數(shù)據(jù)安全影響分析和風(fēng)險(xiǎn)評(píng)估,，督促整改安全隱患；組織按要求向有關(guān)部門報(bào)告數(shù)據(jù)安全保護(hù)和事件處置情況,；組織受理并處理數(shù)據(jù)安全投訴和舉報(bào)事項(xiàng)等,。

　　通用技術(shù)安全要求方面，應(yīng)結(jié)合數(shù)據(jù)資產(chǎn)識(shí)別技術(shù)手段,，梳理數(shù)據(jù)資產(chǎn),，并明確數(shù)據(jù)資產(chǎn)類型、數(shù)據(jù)量,、存儲(chǔ)位置,、數(shù)據(jù)關(guān)聯(lián)系統(tǒng)、數(shù)據(jù)共享情況,、數(shù)據(jù)出境情況等,，并明確數(shù)據(jù)對(duì)象安全等級(jí)。在數(shù)據(jù)分類分級(jí)基礎(chǔ)上,，形成數(shù)據(jù)資產(chǎn)清單,，落實(shí)不同數(shù)據(jù)安全等級(jí)差異化防護(hù)措施要求。

　　02 數(shù)據(jù)處理活動(dòng)安全要求：數(shù)據(jù)處理活動(dòng)圍繞數(shù)據(jù)收集,、數(shù)據(jù)存儲(chǔ),、數(shù)據(jù)傳輸、數(shù)據(jù)使用,、數(shù)據(jù)加工,、數(shù)據(jù)開放共享、數(shù)據(jù)交易、數(shù)據(jù)出境,、數(shù)據(jù)銷毀與刪除9個(gè)過程,，分級(jí)闡述公共數(shù)據(jù)安全要求。

　　應(yīng)對(duì)數(shù)據(jù)收集來源進(jìn)行鑒別和記錄,，確保數(shù)據(jù)收集來源的合法性,、正當(dāng)性，明確數(shù)據(jù)類型及收集渠道,、目的,、用途、范圍,、頻度,、方式等；應(yīng)明確如加密,、訪問控制,、數(shù)字水印、完整性校驗(yàn)等數(shù)據(jù)存儲(chǔ)相關(guān)安全管控措施,，并建立數(shù)據(jù)備份恢復(fù)操作規(guī)程,；應(yīng)明確數(shù)據(jù)傳輸相關(guān)安全管控措施，如傳輸通道加密,、數(shù)據(jù)內(nèi)容加密,、數(shù)據(jù)接口傳輸安全等，并對(duì)數(shù)據(jù)傳輸兩端進(jìn)行身份鑒別,；應(yīng)明確數(shù)據(jù)使用業(yè)務(wù)場(chǎng)景的目的,、范圍、審批流程,、人員崗位職責(zé)等,，鼓勵(lì)在保障安全的情況下，開展數(shù)據(jù)利用,；公共數(shù)據(jù)提供部門應(yīng)與公共數(shù)據(jù)使用部門簽署相關(guān)協(xié)議,，明確數(shù)據(jù)使用目的、供應(yīng)方式,、保密約定,、數(shù)據(jù)共享范圍、數(shù)據(jù)安全保護(hù)要求等內(nèi)容,；應(yīng)按照相關(guān)法律,、法規(guī)、規(guī)章的要求開展數(shù)據(jù)交易,，加強(qiáng)交易過程的數(shù)據(jù)安全保護(hù),；應(yīng)明確數(shù)據(jù)出境業(yè)務(wù)場(chǎng)景，提前開展數(shù)據(jù)出境安全評(píng)估及網(wǎng)絡(luò)安全審查工作,；應(yīng)建立數(shù)據(jù)銷毀與刪除規(guī)程,，明確數(shù)據(jù)銷毀與刪除場(chǎng)景、方式及審批機(jī)制,，設(shè)置相關(guān)監(jiān)督角色,，記錄數(shù)據(jù)銷毀與刪除操作過程。

　　可以看到,，本《要求》充分參考了網(wǎng)絡(luò)安全等級(jí)保護(hù)的相關(guān)要求和各公共管理和服務(wù)機(jī)構(gòu)現(xiàn)有的安全管理要求,，同時(shí)對(duì)數(shù)據(jù)安全最新政策法規(guī)要求承接，實(shí)現(xiàn)了將公共數(shù)據(jù)安全和網(wǎng)絡(luò)安全等級(jí)保護(hù)體系的有效銜接,，在不影響各公共管理和服務(wù)機(jī)構(gòu)已有安全要求的基礎(chǔ)上,，進(jìn)行公共數(shù)據(jù)安全層面的擴(kuò)展，更突出《要求》的落地能力,。

　　總而言之,，實(shí)現(xiàn)公共數(shù)據(jù)安全要求的落地，一方面要從合規(guī)性出發(fā),，遵從國家政策法規(guī),、標(biāo)準(zhǔn)規(guī)范及《深圳經(jīng)濟(jì)特區(qū)數(shù)據(jù)條例》中的安全要求，另一方面也要從可操作性出發(fā),，在進(jìn)行安全管理要求分解和細(xì)化的同時(shí),，提供相應(yīng)的技術(shù)及數(shù)據(jù)處理活動(dòng)安全能力要求，為落地提供標(biāo)準(zhǔn)參考和指導(dǎo),。

更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<