湖北人事考试网 1.适用范围
本文件适用于指导政府部门及其技术支撑单位规范政务数据处理活动,也可为监管部门、第三方机构进行监督管理和评估提供参考。
二、规范性引用文件
GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》
GB/T 25069-2022《信息安全技术术语》
GB/T 35273—2020信息安全技术个人信息安全规范
GB/T 37964—2019《信息安全技术个人信息去标识化指南》
GB/T 38664.1—2020信息技术大数据政务数据开发与共享第1部分:总则
GB/T 39477-2020《信息安全技术 政务信息共享数据安全技术要求》
GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》
三、术语定义
GB/T 25069-2022、GB/T 38664.1-2020界定的以及下列术语和定义适用于本文件。
四、缩写
SFTP:安全文件传输协议
5. 关键词引用与对比
1.政务数据的定义与GB/T 38664.1-2020不同。删除了38664.1-2020中的注释部分“传播范围,政务数据包括可共享的政务数据、开放的公共数据、不适宜开放共享的政务数据”。沿用GB/T 38664.1-2020其余内容,将政务数据定义为“各级政府部门及其技术支撑单位在履行职责过程中依法采集、产生、存储和管理的各类数据资源”。
2. 数据共享要求
a)数据共享的安全技术措施应符合GB/T 39477-2020的规定:
b) 通过文件共享协议进行数据共享, 应使用 SFTP 等安全协议, 并采取共享数据加密、 共享前双方身份认证、 共享过程日志记录等安全措施;
c) 通过数据共享设施进行数据共享, 数据共享设施应提供合理的安全措施, 包括管理人员权限控制、共享设施缓存数据安全控制、共享设施日志审计、共享设施数据安全风险控制等;
d) 对于通过移动硬盘等介质离线复制方式进行的数据共享, 应采取安全措施, 包括制定数据存储介质安全管理措施、对共享数据进行加密、共享完成后销毁存储介质中的数据、记录共享过程等;
e) 通过第三方私有协议或定制开发对接进行数据共享,应采取安全措施,包括对共享数据进行加密、共享前双方身份认证、对共享过程进行日志记录等;
f) 应根据数据分类分级规范和数据分类分级安全策略,对共享数据进行内容识别和安全管理。
六、政府数据处理安全要求框架
政府数据处理安全要求框架由五部分组成,如下图所示,包括政府数据处理安全管理要求、政府数据处理安全技术要求、政府数据处理中的个人信息保护要求、政府数据处理安全操作要求和政府数据处理安全监管要求。
在政务数据处理安全管理方面,从组织、体系和第三方服务三个方面提出了安全管理要求。在政务数据处理安全技术方面,对数据收集、存储、使用、处理、传输、提供、披露、销毁等政务数据处理活动提出了安全技术要求。在政务数据中个人信息保护方面,从个人信息主体权利保护、个人信息安全保护等方面提出了相应的安全要求。在政务数据处理安全运行方面,提出了数据安全合规评估与监测、政务数据处理安全评估、预警通报、应急处置、溯源分析、审计管理等安全要求。在政务数据处理安全监管方面,明确了合规性检查、事件上报和投诉举报等安全要求。
七、政务数据处理安全管理要求
政务数据处理活动的组织机构应包括决策层、管理层、执行层和监督层。决策层的主要职责是制定政务数据处理安全的方针政策,提供安全资源;管理层的主要职责是贯彻落实决策层制定的有关政策,制定政务数据处理管理标准和制度,组织推动数据安全管理工作;执行层的主要职责是落实决策层和管理层制定的政策、标准和制度,保障政务数据处理的安全;监督层的主要职责是依据决策层和管理层制定的有关政策、标准和制度,监督执行层落实政务数据处理有关政策、标准和制度的情况,对未落实有关制度和标准的政务数据处理者采取安全管理措施。
此外,还包括政府数据处理的安全体系要求和政府数据处理第三方服务的安全要求。
8.政府数据处理的安全要求
包括数据收集、数据存储、数据使用和处理、数据传输、数据提供、数据披露和数据销毁。
IX. 政府数据的处理
个人信息保护要求
其中,针对第八条第二项“政务数据处理设施个人信息安全保护”,“应采用自动识别技术对个人信息和个人敏感信息进行保护,并采取相应措施保护个人信息和个人敏感信息。相关措施应当符合GB/T 35273-2020的规定。”
10.政府数据处理安全运行要求
其中提到,应评估政府数据处理者在法律法规方面的合规要求,涉及组织、人员、制度、技术等,并检查政府数据处理过程的持续合规工作。
11.政府数据处理安全监管要求
其中提到监督政府数据处理活动并进行定期安全和合规检查。
政府数据处理安全评估指标
政务数据处理安全评估指标涵盖安全管理要求、安全技术要求、个人信息保护要求、安全操作要求、安全监管要求五部分。政务数据处理安全评估指标应根据评估对象和范围进行选择,并选取适用的指标,对不适用的指标应予以说明。其中,针对敏感个人信息和重要数据的处理活动,设置了政务数据处理活动高风险项,此类指标若评估为不符合,将直接导致政务数据处理安全评估结论不合格。(详情请见原文)
下载链接:
来源:国家网络安全标准化委员会
网络研究所
