ICS35.240.01 CCSL673310 浙江省台州市地方标准 DB3310/T90—2022 公共数据安全可信保障指南 Guidanceforsupportingpublicdatasecurityandtrustworthiness 2022-12-12发布 2022-12-16实施 台州市市场监督管理局发布 DB3310/T90—2022 I目  次 前  言.............................................................................................................................................................II 1范围.................................................................................................................................................................1 2规范性引用文件.............................................................................................................................................1 3术语和定义.....................................................................................................................................................1 4基本原则.........................................................................................................................................................1 5制度保障.........................................................................................................................................................2 6技术保障.........................................................................................................................................................3 7运行保障.........................................................................................................................................................4 DB3310/T90—2022 II前  言 本文件按照 GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由台州市大数据发展管理局提出、归口并组织实施。 本文件起草单位：台州市大数据发展管理局、中国人民大学。 本文件主要起草人：张晓玮、林贤杰、陈友增、林国、安小米、李真、居林欢、陈余超、王帅涵、 刘桓鑫、白文琳、王丽丽、许济沧、黄婕、邝苗苗、齐宇、沈荣。 DB3310/T90—2022 1公共数据安全可信保障指南 1范围 本文件描述了公共数据安全可信保障的基本原则、制度保障、技术保障和运行保障等内容。 本文件适用于公共数据主管部门、公共管理和服务机构的公共数据安全可信保障活动。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 DB33/T2351—2021数字化改革公共数据分类分级指南 DB33/T2359—2021公共数据交换技术规范 DB3310/T91—2022公共数据归集指南 DB3310/T93—2022公共数据授权运营指南 3术语和定义 下列术语和定义适用于本文件。 3.1 公共数据publicdata 国家机关、法律法规规章授权的具有管理公共事务职能的组织，在依法履行职责和提供公共服务过 程中获取的数据资源以及法律法规规章规定纳入公共数据管理范围的其他数据资源。 [来源：DB33/T2351—2021，3.1] 3.2 数据安全datasecurity 数据的机密性、完整性、可用性和可控性。 3.3 可信trustworthiness 以可验证的方式满足利益相关方期望的能力。 4基本原则 DB3310/T90—2022 2公共数据的安全可信宜覆盖公共数据管理全生命周期、全要素和全场景。宜从制度保障、技术保障 和运行保障三个层面，建立覆盖数据收集、归集、存储、加工、传输、共享、开放、利用与处置全生命 周期的公共数据安全可信保障体系。 图1公共数据安全可信保障示意图 5制度保障 5.1总体要求 宜制定完善公共数据分类分级、访问控制、共享开放、脱敏销毁、日志审计、监督检查、安全事件 应急处置、合作方及其人员管理等制度规范，指导公共数据安全管理工作。 5.2数据收集 5.2.1编制形成数据收集清单。 5.2.2明确数据收集范围和频度，可共享获取的数据，不宜重复收集。 5.2.3制定数据收集操作规范，明确数据格式和收集渠道、方式和流程，可参照DB3310/T91—2022。 5.3数据归集 5.3.1制定公共数据目录和公共数据分类分级指南，可参照DB33/T2351—2021。 5.3.2制定数据溯源管理制度，包括数据溯源策略和溯源机制。 5.3.3建立数据访问控制管理制度，对数据安全策略、账户权限以及关键参数设置等进行审核和监督。 5.4数据存储 5.4.1基于数据分类分级结果，制定数据存储加密制度。 DB3310/T90—2022 35.4.2制定数据复制、备份与恢复操作过程及日志记录规范。 5.5数据加工 5.5.1建立数据仓建设规范，包括数据类型、分区命名、表命名和表结构等。 5.5.2建立主题库、专题库建设和发布标准。 5.5.3建立数据建模规范、数据产品发布标准。 5.6数据传输 建立数据传输和交换技术规范，可参照DB33/T2359—2021。 5.7数据共享 5.7.1建立数据共享管理规范，明确共享数据申请、受理、审批、答复、使用和安全要求。 5.7.2建立数据共享接口安全审查和发布规范。 5.7.3建立数据共享接口安全监测规范。 5.7.4建立敏感数据调用认证规范。 5.7.5建立批量共享数据导出审批规范。 5.8数据开放 5.8.1建立数据开放管理规范，明确开放数据申请、受理、审批、答复、使用和安全要求。 5.8.2建立数据开放域使用规范。 5.8.3建立公共数据授权运营规范，可参照DB3310/T93—2022。 5.8.4建立开放数据反哺回流规范。 5.9数据利用 5.9.1建立合作方及其人员管理规范。 5.9.2建立数据操作安全审计规范。 5.9.3建立数据脱敏、数据脱密、数据授权和数据访问控制管理规范和制度。 5.10数据处置 5.10.1建立数据归档、封存和销毁策略以及管理制度，明确归档、封存、销毁对象和流程。 5.10.2建立数据归档、封存和销毁安全审计制度。 6技术保障 6.1总体要求 宜利用态势感知、权限管控、数据脱敏、数据加密、数字签名、高危操作阻断、数据水印溯 源、日志审计等安全技术手段，加强数据安全常态化监测和智能风险预警，提升数据安全防护能 力。 6.2数据收集和数据归集 6.2.1具备数据源鉴别、敏感数据识别技术能力。 6.2.2具备数据分类分级操作、变更审核、结果发布和运用技术能力。 DB3310/T90—2022 46.2.3具备数据权限管理技术能力。 6.3数据存储 6.3.1具备数据图谱、数据血缘分析技术能力。 6.3.2具备数据存储加密技术能力，对存储的敏感数据进行保护。 6.3.3具备数据备份和恢复技术能力，保障数据可用性和完整性。 6.4数据加工 6.4.1具备权限管控技术能力，实现数据权限的精细配置和可控访问。 6.4.2具备动态和静态脱敏技术能力，保障敏感数据访问安全。 6.4.3具备环境分离技术能力，实现开发环境和生产环境分离。 6.5数据传输 6.5.1具备传输加密和通道加密技术能力，保障数据传输和传输通道安全。 6.5.2具备离线、在线和实时数据传输技术能力，实现多样化数据传输需求。 6.6数据共享和数据开放 6.6.1具备访问控制、数据脱敏技术能力，保障敏感数据共享开放安全。 6.6.2具备数据接口安全防护技术能力，实现高危操作预警阻断。 6.6.3具备数据溯源技术能力，实现数据泄漏后的追踪溯源。 6.6.4具备多方安全计算技