公共数据安全体系建设指南

微信公众号：计算机与网络安全

▼

本文件确立了公共数据安全体系建设的总体原则，给出了体系架构以及制度规范子体系、技术防护子体系和运行管理子体系构建的指导性建议。本文件适用于指导公共数据安全体系建设。本文件不适用于涉及国家秘密的公共数据及相关处理活动。

公共数据安全体系建设宜遵循谁收集谁负责、谁使用谁负责、谁运行谁负责的原则开展。宜遵循按照公共数据类别和级别采取差异化安全保障措施的原则，高安全级别数据从严保护，低安全级别数据适度保护。宜遵循覆盖公共数据全生命周期的原则，确保公共数据在各个关键环节均得到所需安全保障。宜遵循持续迭代、动态优化的原则，保障数据安全体系满足动态变化的数据安全需求。宜坚持以公共数据开发利用和产业发展促进公共数据安全、以公共数据安全保障公共数据开发利用和产业发展的原则。公共数据安全体系架构宜包括公共数据安全制度规范子体系、公共数据安全技术防护子体系和公共数据安全运行管理子体系三个部分。

数据访问权限管理可基于公共数据访问业务需求，按照仅赋予用户开展工作所必须最小权限的原则制定，内容主要包括：a) 公共数据载体和公共数据权限管理系统的账号权限安全管理职责分工；b) 公共数据载体和公共数据权限管理系统的账号权限管理工作要求；c) 公共数据访问账号权限分配、开通、使用、变更、重置、锁定、注销等的申请审批流程；d) 具备超级管理员权限或数据批量复制、处理、导出和删除等高风险操作权限账号的安全要求等。

数据脱敏管理制度可基于数据级别及应用场景，结合实际需求制定，内容主要包括：a) 公共数据脱敏规则；b) 公共数据脱敏工作的管理要求；c) 公共数据脱敏工作的技术要求；d) 公共数据脱敏工作流程等。

数据共享和开放方式不限于数据查询接口、批量数据同步等，可基于各类共享和开放场景制定相应制度，内容主要包括：a) 各类别和级别公共数据共享和开放安全管理要求；b) 各类别和级别公共数据共享和开放安全技术要求；c) 各类别和级别公共数据共享和开放的应用场景；d) 各类别和级别公共数据共享和开放的工作流程；e) 各类别和级别公共数据共享和开放的申请审批环节等。

公共数据安全销毁管理制度宜充分考虑数据销毁的必要性、及时性、可靠性等，内容主要包括：a) 各类别和级别公共数据销毁对象；b) 各类别和级别公共数据销毁场景；c) 各类别和级别公共数据销毁方式；d) 各类别和级别公共数据销毁流程；e) 各类别和级别公共数据销毁工作要求等。

供应方安全管理制度宜全面覆盖与供应方合作的全过程，内容主要包括：a) 供应方引入的安全管理要求，包括资质和背景安全审查等；b) 供应方及供应方人员的安全管理要求，包括终端安全、网络安全、数据安全、保密管理等；c) 供应方及供应方人员的安全职责、安全考核要求及惩处措施；d) 供应方及供应方人员的服务安全保护及保密协议及安全承诺书的签订；e) 供应方人员变更机制：f) 供应方合作终止机制等。

宜通过制定监督、检查等制度，保障数据安全管理策略落地，内容主要包括：a) 公共数据安全管理监督检查内容；b) 公共数据安全管理监督检查方式；c) 公共数据安全管理监督检查工作周期；d) 公共数据安全管理监督检查工作流程等。

宜通过制定安全日志审计制度，推动各应用、各系统的日志采集及分析，识别数据安全风险，并进行告警及处置，实现问题可追溯。公共数据安全日志审计制度，内容主要包括：a) 公共数据安全审计日志的采集内容；b) 公共数据安全审计日志的采集方式；c) 公共数据安全审计日志标准化要求；d) 公共数据安全审计日志存储要求；e) 公共数据安全审计策略和规则；f) 异常预警及处置工作流程等。

通过公共数据安全事件管理与应急响应制度，及时应对数据安全事件，减少数据安全事件所带来的不利影响，内容主要包括：a) 公共数据安全事件分类分级方法；b) 各级别公共数据安全事件发现、上报、处置、溯源、总结等工作流程；c) 各类别公共数据安全应急预案编制及应急演练工作要求等。

公共数据安全体系建设指南

▼

（全文略）

附：公共数据安全体系建设指南.pdf

公众号VIP会员，私信群主索取本文件。

办理公众号VIP会员，在公众号会话窗口回复：VIP 可查看相关介绍。

▲
- The end -

原文始发于微信公众号（计算机与网络安全）：公共数据安全体系建设指南