T/CI 866-2024 数字政务公共数据 安全管理规范.pdf

数字政务公共数据 安全管理规范

Digital government public data-Specification of safety management

中国国际科技促进会 发布 出版

目 次

前言1范围2规范性引用文件3术语、定义和缩略语3.1术语和定义4分类分级4.1数据分类4.2数据分级 4.3实施流程5基本要求5.1机构安全5.2人员安全5.3数据安全5.4物理和环境安全6生命周期管理要求6.1数据归集6.2数据传输6.3数据存储与备份6.4数据处理6.5数据共享开放 6.6数据销毁7运营管控要求7.1数据操作管理7.2安全保障管理参考文献

前言

本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草.

请注意本文件的某些内容可能涉及专利.本文件的发布机构不承担识别专利的责任.

本文件由电子政务建模仿真国家工程实验室提出.

本文件由中国国际科技促进会归口.

本文件起草单位：电子政务建模仿真国家工程实验室、晋瓷信息科技（苏州）有限公司、山西万鼎空间数字股份有限公司、重庆市通信建设有限公司、北京西骏数据科技股份有限公司、湖南麒麟信安科技股份有限公司、中国信息通信研究院、天孚（北京）科技有限公司、北京市人大常委会综合保障中心、漳州信产智能物联科技有限公司.

本文件主要起草人：王小芳、刘磊、段斯哲、粘琴修、段建文、刘洋、粪才语、何泽松、李广辉、李欣、刘向楠、王璐璐、程雪蕾、锡庆海、叶烨.

数字政务公共数据安全管理规范

1范围

管控要求. 本文件规定了数字政务公共数据领域安全管理的分类分级、基本要求、生命周期管理要求以及运营

本文件适用于公共管理和服务机构的政务公共数据安全管理.

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括的修改单）适用于本文件.

GB/T22239信息安全技术网络安全等级保护基本要求 GB/T39786信息安全技术信息系统密码应用基本要求GB50174数据中心设计规范GB50462数据中心基础设施施工及验收规范

3术语、定义和缩略语

3.1术语和定义

下列术语和定义适用于本文件.

3.1.1

公共数据public data

或提供公共服务过程中收集、产生的数据. 各级政务部门、具有公共管理和服务职能的组织及其技术支撑单位，在依法履行公共事务管理职责

[来源:GB/T 43697-2024 3.8]

3.1.2

数据安全data security

[来源:GB/T 37988-2019 3.11] 通过管理和技术措施，确保数据有效保护和合规使用的状态.

3.2缩略语

DLP：数据泄密（泄露）防护（Data Leakage Prevention) 下列缩略语适用于本文件.ETL:数据仓库技术（Extract Transform Load)FTP:文件传输协议(File Transfer Protocol)SSL:安全套接层（Secure Sockets Layer）TLS：传输层安全协议（Transport Layer Security）

T/CI 866-2024

UEBA：用户实体行为分析（User and Entity Behavior Analytics)

4分类分级

4.1数据分类

4.1.1分类要求

采用多维度分类方法，包括但不限于：

a）技术选型：

1）产生频率：每年更新数据、每月更新数据、每周更新数据、每日更新数据、每小时更新数据、每分钟更新数据、每秒更新数据、无更新数据等：3）结构化特征：结构化数据、非结构化数据、半结构化数据等： 据等：4）存储方式：关系数据库存储数据、键值数据库存储数据、列式数据库存储数据、图数据库存储数据、文档数据库存储数据等：5）稀疏程度：稠密数据、稀疏数据等； 6）处理时效：实时处理数据、准实时处理数据、批量处理数据等；7）交换方式：ETL方式、系统接口方式、FTP方式、移动介质复制方式等.

b）业务应用：

1）产生来源：人为社交数据、电子商务平台交易数据、移动通信数据、物联网感知数据、系统运行日志数据等；3）流通类型：可直接交易数据、间接交易数据、不可交易数据等；4）行业领域：参见GB/T4754的规定；5）数据质量：高质量数据、普通质量数据、低质量数据等.c）安全隐私保护：高敏感数据、低敏感数据、不敏感数据等.

4.1.2分类方法

4.1.2.1按公共管理和服务机构职责，明确自身管理的数据范围.4.1.2.2根据公共管理和服务机构公共数据特征，从多维度确定公共数据分类细则.4.1.2.3根据确定的公共数据分类细则进行公共数据分类. 4.1.2.4其他数据分类方法可参考GB/T43697、GB/T38667的规定.

4.2数据分级

4.2.1分级要求

公共数据分级应按敏感级别从低到高分为一至四级和更高级别，更高级别视具体情况确定.

4.2.2分级方法

4.2.2.1确定待分级的数据，如数据项、数据集、衍生数据、跨行业领域数据等.4.2.2.2根据公共管理和服务机构公共数据特征，识别数据涉及的分级要素情况及数据影响，分析确定公共数据分级细则.