1.適用范圍

本文件適用于指導(dǎo)政府部門及其技術(shù)支撐單位規(guī)范政務(wù)數(shù)據(jù)處理活動，也可為監(jiān)管部門、第三方機構(gòu)進行監(jiān)督管理和評估提供參考。

二、規(guī)范性引用文件

GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》

GB/T 25069-2022《信息安全技術(shù)術(shù)語》

GB/T 35273—2020信息安全技術(shù)個人信息安全規(guī)范

GB/T 37964—2019《信息安全技術(shù)個人信息去標(biāo)識化指南》

GB/T 38664.1—2020信息技術(shù)大數(shù)據(jù)政務(wù)數(shù)據(jù)開發(fā)與共享第1部分：總則

GB/T 39477-2020《信息安全技術(shù) 政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》

GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》

三、術(shù)語定義

GB/T 25069-2022、GB/T 38664.1-2020界定的以及下列術(shù)語和定義適用于本文件。

四、縮寫

SFTP：安全文件傳輸協(xié)議

5. 關(guān)鍵詞引用與對比

1.政務(wù)數(shù)據(jù)的定義與GB/T 38664.1-2020不同。刪除了38664.1-2020中的注釋部分“傳播范圍，政務(wù)數(shù)據(jù)包括可共享的政務(wù)數(shù)據(jù)、開放的公共數(shù)據(jù)、不適宜開放共享的政務(wù)數(shù)據(jù)”。沿用GB/T 38664.1-2020其余內(nèi)容，將政務(wù)數(shù)據(jù)定義為“各級政府部門及其技術(shù)支撐單位在履行職責(zé)過程中依法采集、產(chǎn)生、存儲和管理的各類數(shù)據(jù)資源”。

2. 數(shù)據(jù)共享要求

a)數(shù)據(jù)共享的安全技術(shù)措施應(yīng)符合GB/T 39477-2020的規(guī)定：

b) 通過文件共享協(xié)議進行數(shù)據(jù)共享， 應(yīng)使用 SFTP 等安全協(xié)議， 并采取共享數(shù)據(jù)加密、 共享前雙方身份認證、 共享過程日志記錄等安全措施；

c) 通過數(shù)據(jù)共享設(shè)施進行數(shù)據(jù)共享, 數(shù)據(jù)共享設(shè)施應(yīng)提供合理的安全措施, 包括管理人員權(quán)限控制、共享設(shè)施緩存數(shù)據(jù)安全控制、共享設(shè)施日志審計、共享設(shè)施數(shù)據(jù)安全風(fēng)險控制等;

d) 對于通過移動硬盤等介質(zhì)離線復(fù)制方式進行的數(shù)據(jù)共享, 應(yīng)采取安全措施, 包括制定數(shù)據(jù)存儲介質(zhì)安全管理措施、對共享數(shù)據(jù)進行加密、共享完成后銷毀存儲介質(zhì)中的數(shù)據(jù)、記錄共享過程等;

e) 通過第三方私有協(xié)議或定制開發(fā)對接進行數(shù)據(jù)共享，應(yīng)采取安全措施，包括對共享數(shù)據(jù)進行加密、共享前雙方身份認證、對共享過程進行日志記錄等；

f) 應(yīng)根據(jù)數(shù)據(jù)分類分級規(guī)范和數(shù)據(jù)分類分級安全策略,對共享數(shù)據(jù)進行內(nèi)容識別和安全管理。

六、政府?dāng)?shù)據(jù)處理安全要求框架

政府?dāng)?shù)據(jù)處理安全要求框架由五部分組成，如下圖所示，包括政府?dāng)?shù)據(jù)處理安全管理要求、政府?dāng)?shù)據(jù)處理安全技術(shù)要求、政府?dāng)?shù)據(jù)處理中的個人信息保護要求、政府?dāng)?shù)據(jù)處理安全操作要求和政府?dāng)?shù)據(jù)處理安全監(jiān)管要求。

在政務(wù)數(shù)據(jù)處理安全管理方面，從組織、體系和第三方服務(wù)三個方面提出了安全管理要求。在政務(wù)數(shù)據(jù)處理安全技術(shù)方面，對數(shù)據(jù)收集、存儲、使用、處理、傳輸、提供、披露、銷毀等政務(wù)數(shù)據(jù)處理活動提出了安全技術(shù)要求。在政務(wù)數(shù)據(jù)中個人信息保護方面，從個人信息主體權(quán)利保護、個人信息安全保護等方面提出了相應(yīng)的安全要求。在政務(wù)數(shù)據(jù)處理安全運行方面，提出了數(shù)據(jù)安全合規(guī)評估與監(jiān)測、政務(wù)數(shù)據(jù)處理安全評估、預(yù)警通報、應(yīng)急處置、溯源分析、審計管理等安全要求。在政務(wù)數(shù)據(jù)處理安全監(jiān)管方面，明確了合規(guī)性檢查、事件上報和投訴舉報等安全要求。

七、政務(wù)數(shù)據(jù)處理安全管理要求

政務(wù)數(shù)據(jù)處理活動的組織機構(gòu)應(yīng)包括決策層、管理層、執(zhí)行層和監(jiān)督層。決策層的主要職責(zé)是制定政務(wù)數(shù)據(jù)處理安全的方針政策，提供安全資源；管理層的主要職責(zé)是貫徹落實決策層制定的有關(guān)政策，制定政務(wù)數(shù)據(jù)處理管理標(biāo)準(zhǔn)和制度，組織推動數(shù)據(jù)安全管理工作；執(zhí)行層的主要職責(zé)是落實決策層和管理層制定的政策、標(biāo)準(zhǔn)和制度，保障政務(wù)數(shù)據(jù)處理的安全；監(jiān)督層的主要職責(zé)是依據(jù)決策層和管理層制定的有關(guān)政策、標(biāo)準(zhǔn)和制度，監(jiān)督執(zhí)行層落實政務(wù)數(shù)據(jù)處理有關(guān)政策、標(biāo)準(zhǔn)和制度的情況，對未落實有關(guān)制度和標(biāo)準(zhǔn)的政務(wù)數(shù)據(jù)處理者采取安全管理措施。

此外，還包括政府?dāng)?shù)據(jù)處理的安全體系要求和政府?dāng)?shù)據(jù)處理第三方服務(wù)的安全要求。

8.政府?dāng)?shù)據(jù)處理的安全要求

包括數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)使用和處理、數(shù)據(jù)傳輸、數(shù)據(jù)提供、數(shù)據(jù)披露和數(shù)據(jù)銷毀。

IX. 政府?dāng)?shù)據(jù)的處理

個人信息保護要求

其中，針對第八條第二項“政務(wù)數(shù)據(jù)處理設(shè)施個人信息安全保護”，“應(yīng)采用自動識別技術(shù)對個人信息和個人敏感信息進行保護，并采取相應(yīng)措施保護個人信息和個人敏感信息。相關(guān)措施應(yīng)當(dāng)符合GB/T 35273-2020的規(guī)定。”

10.政府?dāng)?shù)據(jù)處理安全運行要求

其中提到，應(yīng)評估政府?dāng)?shù)據(jù)處理者在法律法規(guī)方面的合規(guī)要求，涉及組織、人員、制度、技術(shù)等，并檢查政府?dāng)?shù)據(jù)處理過程的持續(xù)合規(guī)工作。

11.政府?dāng)?shù)據(jù)處理安全監(jiān)管要求

其中提到監(jiān)督政府?dāng)?shù)據(jù)處理活動并進行定期安全和合規(guī)檢查。

政府?dāng)?shù)據(jù)處理安全評估指標(biāo)

政務(wù)數(shù)據(jù)處理安全評估指標(biāo)涵蓋安全管理要求、安全技術(shù)要求、個人信息保護要求、安全操作要求、安全監(jiān)管要求五部分。政務(wù)數(shù)據(jù)處理安全評估指標(biāo)應(yīng)根據(jù)評估對象和范圍進行選擇，并選取適用的指標(biāo)，對不適用的指標(biāo)應(yīng)予以說明。其中，針對敏感個人信息和重要數(shù)據(jù)的處理活動，設(shè)置了政務(wù)數(shù)據(jù)處理活動高風(fēng)險項，此類指標(biāo)若評估為不符合，將直接導(dǎo)致政務(wù)數(shù)據(jù)處理安全評估結(jié)論不合格。（詳情請見原文）

下載鏈接：

來源：國家網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化委員會

網(wǎng)絡(luò)研究所