ICS03.080.99 CCSM19 DB5206 铜仁市地方标准 DB5206/T175-2024 公共数据全生命周期安全管理规范 Publicdatalifecyclesecuritymanagementspecification 2024-06-28发布 2024-09-28实施 铜仁市市场监督管理局发布DB5206/T175—2024 、I目次 前言...............................................................................Ⅱ 1范围..............................................................................1 2规范性引用文件.....................................................................1 3术语和定义.........................................................................1 4原则和要求.........................................................................2 5通用安全要求.......................................................................2 6数据采集安全.......................................................................3 7数据传输安全.......................................................................3 8数据存储安全.......................................................................4 9数据使用安全.......................................................................4 10数据销毁安全......................................................................5DB5206/T175—2024 、II前  言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 本文件由铜仁市大数据发展管理局提出并归口。 本文件起草单位：铜仁市大数据发展管理局、贵州梵云大数据集团有限公司、中国电信股份有 限公司铜仁分公司、铜仁学院大数据学院。 本文件主要起草人：赵将、李宗亮、余柔、陈丹、陈进军、李正隆、田波、鲁泓颍、 万嘉华、李蔹育、杨胜明、杨芬、万勇、李涛、邓明易。DB5206/T175—2024 1 公共数据全生命周期安全管理规范 1范围 本文件规定了公共数据安全管理规范的术语和定义、原则和要求、通用安全要求、数据采集安 全、数据传输安全、数据存储安全、数据使用安全、数据销毁安全。 本文件适用于铜仁市公共管理和服务机构对公共数据全生命周期的安全管理，其他数据的安全 管理也可参照执行。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用 文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单） 适用于本文件。 GB/T22239信息安全技术网络安全等级保护基本要求 GB/T25069信息安全技术术语 GB/T35273信息安全技术个人信息安全规范 GB/T39786信息安全技术信息系统密码应用基本要求 3术语和定义 GB/T25069、GB/T35273界定的以及下列术语和定义适用于本文件。 3.1 公共数据publicdata 公共管理和服务机构在依法履职或提供公共服务过程中生产的，以一定形式记录或保存的文件、 资料、图表、数据等各类数据资源，包括公共管理和服务机构直接或通过第三方依法采集的、依法 授权管理的和因履行职责需要依托政务信息系统形成的数据资源。 3.2 数据安全datasecurity 通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的 能力。 3.3 数据合作方datacoperatorDB5206/T175—2024 2与公共管理和服务机构进行业务合作、提供技术支撑和数据服务等，并可能接触到公共数据的 外部单位。 3.4 公共管理和服务机构publicmanagementandserviceorganization 铜仁市各级行政机关以及履行公共管理和服务职能的企事业单位和社会组织。 3.5 生命周期lifecycle 数据从采集到销毁的整个过程，指数据的采集、存储、传输、使用、销毁五个阶段。 4原则和要求 4.1安全原则 4.1.1合法正当原则：公共数据采集应合法，不应窃取或者以其他非法方式获取，数据处理活动过 程不应危害国家安全、公共利益，不应损害个人、组织的合法权益； 4.1.2权责明确原则：采取技术和其他必要的措施保障数据的安全，对数据处理活动中涉及的组织 和个人的合法权益负责； 4.1.3明示同意原则：数据相关主体拥有对其个人信息的处理目的、方式、范围等规则的知情权， 在进行数据处理活动前应向数据相关主体明示，并获得授权同意，法律、行政法规另有规定的从其 规定； 4.1.4最小必要原则：数据处理活动仅处理可满足特定公共服务为目的所需的最少数据类型和数 量； 4.1.5公开透明原则：以明确、易懂和合理的方式公开公共数据处理的范围、目的、规则等，并接 受外部监督，法律、行政法规另有规定的除外； 4.1.6全程可控原则：采取必要管控措施确保公共数据全生命周期的可控性，记录数据处理各环节， 防止未授权访问及处理公共数据。 4.2安全要求 承载公共数据的信息系统应按GB/T22239规定执行，数据处理过程涉及的密码技术应按GB/T 39786描述的密码应用基本要求执行。 5通用安全要求 5.1机构管理要求 5.1.1建立组织层面的数据安全领导小组，由单位主要领导担任组长，分管领导担任副组长，中层 干部为成员，并明确责任和义务； 5.1.2明确组织内部的数据安全管理和监督部门，负责对组织内部的数据进行安全管理和监督；DB5206/T175—2024 3 5.1.3建立数据安全管理制度，根据数据安全相关要求定期对制度的合理性和适用性进行论证和审 定，并修订完善； 5.1.4针对数据变更、重大数据操作及外部系统接入等重大事项建立审批程序，经数据安全管理和 监督部门审核后，报数据安全领导小组组长审批； 5.1.5建立数据安全追责问责机制，建立数据安全投诉、举报受理、处置制度。 5.2人员管理要求 5.2.1应加强人员管理，签订保密协议和竞业协议，明确数据访问范围、操作权限、违约责任等； 5.2.2在选用重要岗位人员前应对其进行背景调查，符合相关的法律、法规要求； 5.2.3明确重要岗位人员的数据安全培训计划，并在重要岗位变动环节对相关人员开展培训。 6数据采集安全 6.1数据采集的基本要求 6.1.1按照一数一源、一源多用的要求，实现公共数据的一次采集、共享使用，可通过共享方式获 得公共数据的，应避免通过其他方式采集数据； 6.1.2明确数据采集过程重要数据的知悉范围和需要采取的控制措施，采取技术手段保证数据采集 过程中重要数据不被泄漏； 6.1.3依据统一的数据采集流程建设数据采集相关的工具，保证相关系统具备详细的日志记录功 能，确保数据采集授权过程的完整记录。 6.2数据采集的质量要求 6.2.1规范数据采集的渠道、格式和方式，从而保证数据采集的合规性、完整性、实时性和一致性； 6.2.2利用技术工具实现对关键数据进行数据质量管理和监控，对异常数据及时告警或更正； 6.2.3对关键溯源数据进行备份，并采取技术手段对溯源数据进行安全保护； 6.2.4建立疑义、错误信息快速校核机制，公共数据使用部门对获取的共享数据资源有疑义或发现 有明显错误的，应及时反馈公共数据提供部门予以校核，错误的，应予以更正。 7数据传输安全 7.1数据传输基本安全要求 7.1.1明确数据传输相关安全管控措施，如传输通道加密、数据内容加密等； 7.1.2对数据传输两端进行身份鉴别，确保数据传输双方可信任； 7.1.3采用校验技术保证数据在传输过程中的完整性。 7.2网络安全性管理 7.2.1制定网络安全性管理指标，包括安全性的概率数值、故障时间、统计业务单元等，建立基于 安全性管理指标网络服务配置方案；DB5206/T175—2024 47.2.2对关键的网络传输链路、网络设备节点实行冗余建设； 7.2.3对网络安全性及数据泄漏风险进行防范，如负载均衡、防入侵攻击、数据防泄漏检测等设备 和技术。 8数据存储安全 8.1数据存储基本安全要求 8.1.1提供数据备份与恢复功能，同时考虑数据存储的保密性、完整性和多副本一致性； 8.1.2归档数据建立安全保护机制； 8.1.3建立数据逻辑存储隔离授权机制，具备多租户存储的安全隔离能力； 8.2存储介质要求 8.2.1明确存储媒介访问和使用的安全管理规范，建立存储媒介使用的审批和记录流程； 8.2.2明确购买或获取存储媒介的流程，要求通过可信渠