由深圳市信息安全管理中心牽頭起草，深圳市政務服務數據管理局提出并歸口的《公共數據安全要求》（以下簡稱《要求》）近日正式發布，將于12月1日正式實施，這是深圳首個公共數據安全領域的地方標準。

　　早在2021年6月，深圳發布了《深圳經濟特區數據條例》，其中全面規范了公共數據的開放和使用，并對公共數據安全也提出了明確的要求。各公共管理和服務機構如何在自身的公共數據管理中，有效實現對條例要求的落地，確保公共數據安全，也隨著條例正式實施而成為了越發急迫的需求。因此，需要從公共數據安全的專業視角，為公共數據安全管理進行統一的指導，也是本《要求》制定的意義之一。

　　公共數據是指公共管理和服務機構及處理大量個人信息的服務平臺在依法履行公共管理職責或者提供公共服務過程中產生、處理的數據。

　　承載公共數據的信息系統應按GB/T 22239—2019描述的基本要求，同步規劃、建設、運營信息系統，并對信息系統組織開展定級備案、等級測評、安全整改工作；數據處理過程涉及的密碼技術應按GB/T39786—2021描述的密碼應用基本要求執行。

　　總體框架

　　在上述總體安全要求基礎上，公共數據安全要求由如下兩大類構成：

　　01 數據通用安全要求：明確通用管理安全要求及通用技術安全要求，從管理及技術角度分級闡述公共數據安全要求。

　　應設立數據安全管理機構，明確數據安全責任人，按照相關法律、法規、規章的要求編制公共數據資源目錄，落實數據安全保護責任，履行職責包括組織制定數據保護計劃并落實；組織開展數據安全影響分析和風險評估，督促整改安全隱患；組織按要求向有關部門報告數據安全保護和事件處置情況；組織受理并處理數據安全投訴和舉報事項等。

　　通用技術安全要求方面，應結合數據資產識別技術手段，梳理數據資產，并明確數據資產類型、數據量、存儲位置、數據關聯系統、數據共享情況、數據出境情況等，并明確數據對象安全等級。在數據分類分級基礎上，形成數據資產清單，落實不同數據安全等級差異化防護措施要求。

　　02 數據處理活動安全要求：數據處理活動圍繞數據收集、數據存儲、數據傳輸、數據使用、數據加工、數據開放共享、數據交易、數據出境、數據銷毀與刪除9個過程，分級闡述公共數據安全要求。

　　應對數據收集來源進行鑒別和記錄，確保數據收集來源的合法性、正當性，明確數據類型及收集渠道、目的、用途、范圍、頻度、方式等；應明確如加密、訪問控制、數字水印、完整性校驗等數據存儲相關安全管控措施，并建立數據備份恢復操作規程；應明確數據傳輸相關安全管控措施，如傳輸通道加密、數據內容加密、數據接口傳輸安全等，并對數據傳輸兩端進行身份鑒別；應明確數據使用業務場景的目的、范圍、審批流程、人員崗位職責等，鼓勵在保障安全的情況下，開展數據利用；公共數據提供部門應與公共數據使用部門簽署相關協議，明確數據使用目的、供應方式、保密約定、數據共享范圍、數據安全保護要求等內容；應按照相關法律、法規、規章的要求開展數據交易，加強交易過程的數據安全保護；應明確數據出境業務場景，提前開展數據出境安全評估及網絡安全審查工作；應建立數據銷毀與刪除規程，明確數據銷毀與刪除場景、方式及審批機制，設置相關監督角色，記錄數據銷毀與刪除操作過程。

　　可以看到，本《要求》充分參考了網絡安全等級保護的相關要求和各公共管理和服務機構現有的安全管理要求，同時對數據安全最新政策法規要求承接，實現了將公共數據安全和網絡安全等級保護體系的有效銜接，在不影響各公共管理和服務機構已有安全要求的基礎上，進行公共數據安全層面的擴展，更突出《要求》的落地能力。

　　總而言之，實現公共數據安全要求的落地，一方面要從合規性出發，遵從國家政策法規、標準規范及《深圳經濟特區數據條例》中的安全要求，另一方面也要從可操作性出發，在進行安全管理要求分解和細化的同時，提供相應的技術及數據處理活動安全能力要求，為落地提供標準參考和指導。

更多信息可以來這里獲取==>>電子技術應用-AET<<