ICS35.240 CCSL 7854 西 藏 自 治 区 地 方 标 准 DB54/T 0422—2024 公共数据 数据安全管理规范 2024-11-18发布 2024-12-18实施 西藏自治区市场监督管理局  发 布 DB54/T 0422—2024 I目 次 前言...................................................................................II 1　范围.................................................................................1 2　规范性引用文件.......................................................................1 3　术语和定义...........................................................................1 4　数据安全管理原则.....................................................................2 5　数据安全管理框架.....................................................................3 6　数据安全职责.........................................................................3 7　数据安全策略.........................................................................4 7.1　数据安全分级...................................................................4 7.1.1　分级要素...................................................................4 7.1.2　分级规则...................................................................5 7.1.3　分级要求...................................................................5 7.2　数据权限管理...................................................................5 7.3　数据操作.......................................................................5 7.4　数据安全监测与审计.............................................................6 7.5　数据安全风险评估...............................................................6 7.6　数据安全应急...................................................................6 8　数据生存周期安全管控.................................................................6 8.1　数据采集安全...................................................................6 8.2　数据存储安全...................................................................6 8.3　数据使用与加工安全.............................................................7 8.4　数据传输安全...................................................................7 8.5　数据共享和开放安全.............................................................7 8.6　数据销毁安全...................................................................7 附录A（资料性）4类影响对象的不同影响程度描述...........................................8 参考文献................................................................................9DB54/T 0422—2024 II前 言 本文件按照GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由西藏自治区经济和信息化厅（自治区数据管理局）提出并归口。 本文件起草单位：西藏自治区经济和信息化厅（自治区数据管理局）、西藏高驰信息技术服务有限 责任公司、国家工业信息安全发展研究中心。 本文件主要起草人：郭翔、旺堆、扎西尼玛、刘勇、宋雪述、兰劭晖、罗宇舟、周文华、曹亮、赵 青、贺赟、杜洪涛、李云志、栾燕、陶炜、蔡长亮。DB54/T 0422—2024 3公共数据 数据安全管理规范 1　范围 本文件规定了数据主体单位及相关方开展公共数据安全管理工作的要求， 包括数据安全管理的原则、 管理框架、安全策略以及数据生存周期安全管控等。 本文件适用于西藏自治区各级机构的公共数据安全管理。 2　规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 37988 信息安全技术 数据安全能力成熟度模型 GB/T 43697 数据安全技术 数据分类分级规则 3　术语和定义 GB/T 37988 界定的以及下列术语和定义适用于本文件。 3.1　 数据安全 data security 通过管理和技术措施，确保数据有效保护和合规使用的状态。 [来源：GB/T 37988-2019，3.1] 3.2　 合规 compliance 对数据安全所适用的法律法规的符合程度。 [来源：GB/T 37988-2019，3.16] 3.3　 核心数据 core data 即国家核心数据，是指关系国家安全、国民经济命脉、重要民生、重大公共利益等的数据。 3.4　 重要数据 important dataDB54/T 0422—2024 4一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。 注1：重要数据不包括国家秘密。 注2：重要数据一般不包括个人信息和企业内部管理信息，但达到一定规模的个人信息或者基于海量个人信息加工 形成的衍生数据，如其一旦遭到篡改、破坏、泄露或者非法获取、非法利用可能危害国家安全、公共利益，也应满足重 要数据保护要求。 3.5　 一般数据 normal data 一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能对个人、组织合法权益造成危害，但不 会危害国家安全、公共利益的数据。 3.6　 保密性 confidentiality 使信息不泄露给未授权的个人、实体、进程，或不被其利用的特性。 [来源：GB/T 25069-2010，2.1.1] 3.7　 完整性 integrity 准确和完备的特性。 [来源：GB/T 29246-2017，2.40] 3.8　 可用性 usability 已授权实体一旦需要就可访问和使用的数据和资源的特性。 [来源：GB/T 25069-2010，2.1.20] 3.9　 数据脱敏 data masking 通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。 [来源：GB/T 37988-2019，3.12] 3.10　 数据生存周期 data life cycle 将原始数据转化为可用于行动的知识的一组过程。 [来源：GB/T 36073-2018，3.14] 4　数据安全管理原则DB54/T 0422—2024 5实施公共数据安全管理应遵循以下原则： a)职责明确 公共数据安全管理遵循“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，明确各参与方公 共数据安全责任； b)分级管理 按照公共数据安全分级实施不同级别的数据安全措施； c)风险防控 强化公共数据安全管理，防控数据安全风险。 5　数据安全管理框架 数据安全管理框架由数据安全职责、数据安全策略、数据生存周期安全管控三部分组成（见图1） ， 具体组成如下： a)数据