《電子技術應用》
您所在的位置:首頁 > 通信與網絡 > 業(yè)界動態(tài) > 深圳首個公共數(shù)據(jù)安全領域的地方標準發(fā)布 12月1日實施

深圳首個公共數(shù)據(jù)安全領域的地方標準發(fā)布 12月1日實施

2022-11-25
來源:安全419

  由深圳市信息安全管理中心牽頭起草,深圳市政務服務數(shù)據(jù)管理局提出并歸口的《公共數(shù)據(jù)安全要求》(以下簡稱《要求》)近日正式發(fā)布,,將于12月1日正式實施,,這是深圳首個公共數(shù)據(jù)安全領域的地方標準,。

  早在2021年6月,深圳發(fā)布了《深圳經濟特區(qū)數(shù)據(jù)條例》,其中全面規(guī)范了公共數(shù)據(jù)的開放和使用,并對公共數(shù)據(jù)安全也提出了明確的要求,。各公共管理和服務機構如何在自身的公共數(shù)據(jù)管理中,有效實現(xiàn)對條例要求的落地,,確保公共數(shù)據(jù)安全,,也隨著條例正式實施而成為了越發(fā)急迫的需求。因此,,需要從公共數(shù)據(jù)安全的專業(yè)視角,,為公共數(shù)據(jù)安全管理進行統(tǒng)一的指導,也是本《要求》制定的意義之一,。

  公共數(shù)據(jù)是指公共管理和服務機構及處理大量個人信息的服務平臺在依法履行公共管理職責或者提供公共服務過程中產生,、處理的數(shù)據(jù),。

  承載公共數(shù)據(jù)的信息系統(tǒng)應按GB/T 22239—2019描述的基本要求,,同步規(guī)劃、建設,、運營信息系統(tǒng),,并對信息系統(tǒng)組織開展定級備案、等級測評、安全整改工作,;數(shù)據(jù)處理過程涉及的密碼技術應按GB/T39786—2021描述的密碼應用基本要求執(zhí)行,。

  微信圖片_20221125203729.jpg

  總體框架

  在上述總體安全要求基礎上,公共數(shù)據(jù)安全要求由如下兩大類構成:

  01 數(shù)據(jù)通用安全要求:明確通用管理安全要求及通用技術安全要求,,從管理及技術角度分級闡述公共數(shù)據(jù)安全要求,。

  應設立數(shù)據(jù)安全管理機構,明確數(shù)據(jù)安全責任人,,按照相關法律,、法規(guī)、規(guī)章的要求編制公共數(shù)據(jù)資源目錄,,落實數(shù)據(jù)安全保護責任,,履行職責包括組織制定數(shù)據(jù)保護計劃并落實;組織開展數(shù)據(jù)安全影響分析和風險評估,,督促整改安全隱患,;組織按要求向有關部門報告數(shù)據(jù)安全保護和事件處置情況;組織受理并處理數(shù)據(jù)安全投訴和舉報事項等,。

  通用技術安全要求方面,,應結合數(shù)據(jù)資產識別技術手段,梳理數(shù)據(jù)資產,,并明確數(shù)據(jù)資產類型,、數(shù)據(jù)量、存儲位置,、數(shù)據(jù)關聯(lián)系統(tǒng),、數(shù)據(jù)共享情況、數(shù)據(jù)出境情況等,,并明確數(shù)據(jù)對象安全等級,。在數(shù)據(jù)分類分級基礎上,形成數(shù)據(jù)資產清單,,落實不同數(shù)據(jù)安全等級差異化防護措施要求,。

  02 數(shù)據(jù)處理活動安全要求:數(shù)據(jù)處理活動圍繞數(shù)據(jù)收集、數(shù)據(jù)存儲,、數(shù)據(jù)傳輸,、數(shù)據(jù)使用、數(shù)據(jù)加工,、數(shù)據(jù)開放共享,、數(shù)據(jù)交易、數(shù)據(jù)出境,、數(shù)據(jù)銷毀與刪除9個過程,,分級闡述公共數(shù)據(jù)安全要求,。

  應對數(shù)據(jù)收集來源進行鑒別和記錄,確保數(shù)據(jù)收集來源的合法性,、正當性,,明確數(shù)據(jù)類型及收集渠道、目的,、用途,、范圍、頻度,、方式等,;應明確如加密、訪問控制,、數(shù)字水印,、完整性校驗等數(shù)據(jù)存儲相關安全管控措施,并建立數(shù)據(jù)備份恢復操作規(guī)程,;應明確數(shù)據(jù)傳輸相關安全管控措施,,如傳輸通道加密、數(shù)據(jù)內容加密,、數(shù)據(jù)接口傳輸安全等,,并對數(shù)據(jù)傳輸兩端進行身份鑒別;應明確數(shù)據(jù)使用業(yè)務場景的目的,、范圍,、審批流程、人員崗位職責等,,鼓勵在保障安全的情況下,,開展數(shù)據(jù)利用;公共數(shù)據(jù)提供部門應與公共數(shù)據(jù)使用部門簽署相關協(xié)議,,明確數(shù)據(jù)使用目的,、供應方式、保密約定,、數(shù)據(jù)共享范圍,、數(shù)據(jù)安全保護要求等內容;應按照相關法律,、法規(guī),、規(guī)章的要求開展數(shù)據(jù)交易,加強交易過程的數(shù)據(jù)安全保護,;應明確數(shù)據(jù)出境業(yè)務場景,,提前開展數(shù)據(jù)出境安全評估及網絡安全審查工作;應建立數(shù)據(jù)銷毀與刪除規(guī)程,,明確數(shù)據(jù)銷毀與刪除場景,、方式及審批機制,設置相關監(jiān)督角色,,記錄數(shù)據(jù)銷毀與刪除操作過程,。

  可以看到,本《要求》充分參考了網絡安全等級保護的相關要求和各公共管理和服務機構現(xiàn)有的安全管理要求,,同時對數(shù)據(jù)安全最新政策法規(guī)要求承接,,實現(xiàn)了將公共數(shù)據(jù)安全和網絡安全等級保護體系的有效銜接,在不影響各公共管理和服務機構已有安全要求的基礎上,,進行公共數(shù)據(jù)安全層面的擴展,,更突出《要求》的落地能力。

  總而言之,,實現(xiàn)公共數(shù)據(jù)安全要求的落地,,一方面要從合規(guī)性出發(fā),遵從國家政策法規(guī),、標準規(guī)范及《深圳經濟特區(qū)數(shù)據(jù)條例》中的安全要求,,另一方面也要從可操作性出發(fā),在進行安全管理要求分解和細化的同時,,提供相應的技術及數(shù)據(jù)處理活動安全能力要求,,為落地提供標準參考和指導。



更多信息可以來這里獲取==>>電子技術應用-AET<<

二維碼.png


本站內容除特別聲明的原創(chuàng)文章之外,,轉載內容只為傳遞更多信息,,并不代表本網站贊同其觀點。轉載的所有的文章,、圖片,、音/視頻文件等資料的版權歸版權所有權人所有。本站采用的非本站原創(chuàng)文章及圖片等內容無法一一聯(lián)系確認版權者,。如涉及作品內容,、版權和其它問題,請及時通過電子郵件或電話通知我們,,以便迅速采取適當措施,,避免給雙方造成不必要的經濟損失。聯(lián)系電話:010-82306118,;郵箱:[email protected],。