正文

一文读懂《数据安全技术 政务数据处理安全要求(征求意见稿)》

admin
admin V管理员 /0 评论 /136 阅读
0418
此篇文章发布距今已超过219天,您需要注意文章的内容或图片是否可用!
4月8日,全国网安标委发布了《数据安全技术 政务数据处理安全要求》征求意见稿(以下简称《要求》)。该文件规定了政务数据处理的安全要求,明确了政务数据处理安全管理要求、政务数据处理安全技术要求、政务数据处理中的个人信息保护要求、政务数据处理安全运营要求和政务数据处理安全监督要求。该文件适用于指导政务部门及其技术支撑单位规范政务数据处理活动,也可为监管部门、第三方机构进行监督管理和评估提供参考。

一、适用范围

本文件适用于指导政务部门及其技术支撑单位规范政务数据处理活动,也可为监管部门、第三方机构进行监督管理和评估提供参考。

二、规范性引用文件

GB/T 22239—2019《信息安全技术 网络安全等级保护基本要求》

GB/T 25069—2022《信息安全技术 术语》

GB/T 35273—2020《信息安全技术 个人信息安全规范》

GB/T 37964—2019《信息安全技术 个人信息去标识化指南》

GB/T 38664.1—2020《信息技术 大数据 政务数据开发共享》第1部分:总则

GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》

GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》

三、术语定义

GB/T 25069—2022 、GB/T 38664.1—2020界定的以及下列术语和定义适用于本文件。

四、缩略语

SFTP:安全文件传输协议(Secured File Transfer Protocol)

五、关键术语参考比较

1.关于政务数据的定义较GB/T 38664.1-2020中的定义有所不同,将38664.1-2020中的注释部分“可传播范围,政务数据包括可共享政务数据、可开放公共数据及不宜开放共享政务数据”删去。其他部分沿用GB/T 38664.1-2020其中内容,将政务数据定义为“各级政务部门及其技术支撑单位在履行职责过程中依法采集、生成、存储、管理的各类数据资源”

2.关于数据共享的要求

a)关于数据共享的安全技术措施遵循GB/T 39477-2020的规定:

b)对通过文件共享协议进行的数据共享,应采用SFTP 等安全协议,并采取包括共享数据加密、共享前双方身份鉴别、共享过程日志记录等安全措施;

c)对通过数据共享设施等进行的数据共享,数据共享设施应提供合理的安全措施,包括管理人员 权限控制、共享设施缓存数据安全控制、共享设施日志审计、共享设施数据安全风险控制等;

d)对通过移动硬盘等介质离线拷贝进行的数据共享,应采取包括制定数据存储介质安全管理措 施、共享数据加密、共享完成后存储介质中的数据销毁、共享过程日志记录等安全措施;

e)对通过第三方私有协议或定制开发对接等方式进行的数据共享,应采取包括共享数据加密、共 享前双方身份鉴别、共享过程日志记录等安全措施;

f)应基于数据分类分级规范和数据分类分级安全策略对共享数据进行内容识别和安全管控。

六、政务数据处理安全要求框架

政务数据处理安全要求框架由五个部分组成,如下图所示,包括政务数据处理安全管理要求、政务数据处理安全技术要求、政务数据处理中的个人信息保护要求、政务数据处理安全运营要求和政务数据处理安全监督要求。

在政务数据处理安全管理方面,从组织、制度和第三方服务等三个方面提出安全管理要求。在政务数据处理安全技术方面,针对数据收集、存储、使用、加工、传输、提供、公开、销毁等政务数据处理 活动提出安全技术要求。在政务数据中的个人信息保护方面,从个人信息主体权利保障和个人信息安全保护方面提出相应的安全要求。在政务数据处理安全运营方面,提出数据安全合规评估与监测、政务数据处理安全评估、预警通报、应急处置、溯源分析和审计管理等安全要求。在政务数据处理安全监督方面,明确了合规检查、事件上报及投诉举报等安全要求。

七、政务数据处理安全管理要求

政务数据处理活动的组织应包含决策层、管理层、执行层和监督层。决策层主要职责是对政务数据处理安全制定指导方针和政策,并提供安全保障资源;管理层主要职责是落实决策层所制定的相关政策,制定政务数据处理管理规范和制度,并组织推进数据安全管理工作;执行层主要职责是执行决策层和管 理层所制定的政策、规范和制度,保障政务数据处理安全;监督层主要职责是依据决策层和管理层所制 定的相关政策、规范和制度,监督执行层针对政务数据处理相关政策、规范和制度的落实情况,对于未能落实相关制度和规范的政务数据处理者采取安全管理措施。

此外,还包括政务数据处理安全制度要求、政务数据处理第三方服务安全要求。

八、政务数据处理安全要求

包括数据收集、数据存储、数据使用与加工、数据传输、数据提供、数据公开、数据销毁。

九、处理政务数据中的
个人信息保护要求

其中对于第8条第2项“政务数据处理设施个人信息安全保护”中“应自动识别个人信息和敏感个人信息,对个人信息和敏感个人信息进行保护,相关措施应遵循GB/T 35273-2020”。

十、政务数据处理安全运营要求

其中提到应对政务数据处理者在法律法规方面的合规要求进行评估,评估涉及组织、人员、制度与技术等,并对政务数据处理过程的持续合规工作进行检查。

十一、政务数据处理安全监督要求

其中提到对政务数据处理活动进行监督并定期开展安全合规检查。

政务数据处理安全评价指标

政务数据处理安全评价指标涵盖了安全管理要求、安全技术要求、个人信息保护要求、安全运营要求和安全监督要求五个部分政务数据处理安全评价指标应根据评估对象和范围进行指标选取,选取适用的指标项,对不适用指 标项进行说明。其中,对敏感个人信息重要数据的处理活动要求,设置政务数据处理活动高危风险项,若此类指标项评估为不符合,则直接导致政务数据处理安全评估结论为不合格。(具体详情请见原文)

下载链接:https://www.tc260.org.cn/file/2024-04-10/d812712d-0d72-44fb-b626-4de1d8b927b5.pdf

来源|全国网安标委


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒zhousa.om