今日分享|GB/T 45396-2025 数据安全技术 政务数据处理安全要求

标准名称：GB/T 45396-2025 数据安全技术 政务数据处理安全要求

实施时间：即将实施（2025年10月01日）

标准概述：在数字化浪潮中，政务数据的重要性日益凸显，其处理安全关乎国家安全、公共利益和个人隐私。GB/T 45396 - 2025《数据安全技术 政务数据处理安全要求》的发布，为政务数据处理安全提供了全面、细致且具有权威性的指导，为政务数据安全筑牢了坚实防线。

该标准适用于政务部门、技术支撑机构以及主管（监管）部门和第三方机构，全面涵盖政务数据处理活动的监督管理与评估，从制度、技术、运行管理等多维度保障政务数据安全，是政务数据处理过程中必须遵循的准则。

1.组织保障：明确分工，协同保障安全

建立多层次安全组织，决策层统筹规划，管理层协调推进，执行层负责落实，协作层提供支持，监督层确保合规。各层级职责清晰，共同构建起政务数据处理安全的组织架构，使数据安全工作有序开展。

2.制度体系：完善制度，规范数据处理流程

涵盖安全方针、发展规划、数据资产管理、分类分级保护等多方面制度，明确安全负责人与个人信息保护负责人职责。同时，严格遵循网络安全等级保护制度和密码应用安全管理制度，确保政务数据处理全流程有章可循。

3.委托管理：强化约束，保障数据安全可控

委托方审慎选择受托方并签订合同，明确权责。受托方需建立安全组织和人员管理制度，确保数据安全。委托方定期审查、审计受托方，促使其严格履行数据安全保护义务，防止数据泄露风险。

4.个人信息保护：严格规范，守护个人隐私权益

在法定范围内处理个人信息，收集遵循最小必要原则。全面保障个人知情权和同意权，建立撤回机制，并定期开展合规审计，切实保护个人信息安全。

1.数据收集：严格把关，保障数据源头安全

具备分类分级、加密、校验等能力，鉴别数据源身份，防止超规模收集。详细记录收集过程，确保数据收集合法、合规、准确，从源头保障数据质量与安全。

2.数据存储：多重防护，保障数据存储安全

依据数据类别和级别采取相应保护措施，通过安全隔离、授权访问、加密、脱敏等手段，确保数据存储安全。同时，严格管控存储时效性，详细记录存储过程，防止数据泄露与丢失。

3.数据使用：细粒度控制，保障数据使用安全

采用数字签名、多因素身份鉴别等技术，严格控制数据接口访问。全面记录使用过程，实时分析异常行为，有效防止数据滥用和泄露，确保数据使用安全合规。

4.数据加工：注重隐私，保障数据加工安全

明确加工规则，降低个人信息泄露风险。具备密文计算验证和日志存证能力，实时监控加工过程，及时发现并处理异常，确保数据加工过程安全可靠。

5.数据传输：加密传输，保障数据传输安全

对传输节点进行身份鉴别，部署安全通道并采用密码技术，保障数据传输的机密性和完整性。具备冗余和重连能力，详细记录传输过程，确保数据传输稳定、安全、可追溯。

6.数据提供：严格审核，保障数据共享安全

对供需双方进行身份鉴别，采取多种安全措施，严格遵循数据共享规定。针对不同共享方式制定相应安全策略，详细记录提供过程，确保数据共享安全可控。

7.数据公开：谨慎审查，保障数据公开安全

依据数据类别和级别执行保护措施，建立公开目录并严格检查内容。采用技术手段实现数据溯源，详细记录公开过程，防止重要数据和敏感信息泄露。

8.数据销毁：彻底删除，保障数据销毁安全

建立不可逆删除机制，明确不同类别数据的删除方式。及时删除无用数据，详细记录销毁过程，确保数据彻底销毁，无法恢复，防止数据泄露风险。

1.基础环境：筑牢根基，保障政务外网安全

政务数据基础设施部署于政务外网，定期开展安全检测和演练，严格限定专人管理最高权限，为政务数据处理打造安全稳定的基础环境。

2.数据处理：规范流程，保障数据处理合规

定期复核数据收集环节，评估网络服务性能，确保数据收集合法、正当、一致。严格管理数据接口，建立算法安全评估机制，加强对生成式人工智能训练数据的安全管理。同时，规范数据删除和备份操作，确保数据处理全流程安全、合规。

3.合规评估：定期审查，确保符合安全规范

定期开展政务数据安全合规评估，依据相关法律法规和标准规范，对安全制度规范、安全技术防护和安全运行管理等方面进行全面审查，形成评估报告，及时发现并整改问题，确保政务数据处理活动符合安全要求。

4.风险评估：全面评估，及时发现潜在风险

按规定定期开展政务数据安全风险评估，向主管部门报送报告，详细说明处理的重要数据和个人信息情况、面临的风险及应对措施，以便及时发现潜在风险，提前制定防范策略。

5.风险监测：实时监测，快速响应风险隐患

对政务数据安全进行实时监测，一旦发现数据安全缺陷和漏洞等风险，立即采取补救措施，将风险影响降到最低，保障政务数据的安全性和稳定性。

6.态势感知：智能监测，提升安全防护水平

建设数据安全态势感知平台，运用智能监测技术，对数据异常和数据处理活动异常进行实时监测与分析，及时阻断高危操作，有效提升政务数据安全防护的监测水平和应急响应能力。

7.预警通报：及时通报，协同应对安全事件

建立政务数据安全预警通报机制，发现数据安全事件及风险时，及时通知相关责任人进行核实和处置，实现各部门之间的协同合作，共同应对安全威胁。

8.应急处置：完善预案，高效应对安全事件

建立健全应急处置机制，定期组织演练，确保在发生数据安全事件时能够迅速启动应急预案，采取有效措施进行处置，及时告知用户并向主管部门报告，最大程度降低损失和影响。

9.事件上报：快速上报，及时启动应急响应

针对重大紧急的数据安全事件，立即上报上级主管部门，并同步开展分析研判和应急处置工作，确保事件得到及时、有效的处理，避免事态扩大。

10.溯源分析：深度溯源，修复安全漏洞隐患

采用技术手段对数据安全事件进行溯源分析，准确找出攻击初始源头，还原完整攻击路径，及时修复发现的安全漏洞和隐患，防止类似事件再次发生。

11.安全审计：严格审计，强化安全监督管理

定期或基于事件触发对政务数据处理的日志记录进行安全审计，依据审计结果深入分析、核实和整改问题，强化对政务数据处理活动的安全监督管理。

12.社会监督：鼓励监督，维护公众合法权益

建立数据安全投诉和举报渠道，及时受理和处置相关投诉举报，保护投诉人和举报人的合法权益，必要时公开处理进度和结果，接受社会监督，促进政务数据处理安全工作的不断完善 。