附件3：政务数据共享安全规范（征求意见稿）.docx

DB/TXXXXX—XXXX

DB/TXXXXX—XXXX

FORMTEXT政务数据共享安全规范

Securityspecificationsforgovernmentdatasharing

（征求意见稿）

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX发布

FORMTEXTXXXX-FORMTEXTXX-FORMTEXTXX实施

FORMTEXT安徽省市场监督管理局???发布

FORMTEXT安徽省地方标准

DBFORMTEXT34/TFORMTEXTXXXXX—FORMTEXTXXXX

DBFORMTEXT34

ICS?FORMTEXT35.020

FORMTEXTCCSL70

PAGEIII

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由安徽省大数据中心提出、安徽省数据资源管理局归口并组织实施。

本文件起草单位：安徽省大数据中心。

本文件主要起草人：

本文件为首次发布。

1范围

本文件规定了政务数据全生命周期共享安全的总则、数据归集安全、数据传输安全、数据存储安全、、数据处理安全、数据共享安全、数据使用和数据销毁的安全要求。

本文件适用于指导非涉密政务数据共享安全管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T22239-2019信息安全技术信息系统安全等级保护基本要求

GB/T25069-2022信息安全技术术语

GB/T35273-2020信息安全技术个人信息安全规范

GB/T35295信息技术大数据术语

GB/T38664.1-2020信息技术大数据政务数据开放共享第1部分：总则

GB/T38667-2020信息技术大数据数据分类指南

GB/T39477-2020信息安全技术政务信息共享数据安全技术要求

3术语和定义

下列术语和定义适用于本文件。

3.1

政务数据资源governmentaffairsdataresources

政府部门及法律、法规授权具有行政职能的组织在履行职责过程中制作或者获取的，以电子或者非电子形式记录、保存的文字、数字、图表、图像、音频、视频等，包括政务部门直接或者通过第三方依法采集的、依法授权管理的和因履行职责需要依托政务信息系统形成的数据等。

3.2

政务数据共享governmentdatasharing

各级政务部门因履行职责需要，使用其他政务部门的政务数据以及为其他政务部门提供政务数据的行为。

[来源：GB/T38664.1-2020，定义3.2]

4总则

政务数据共享安全应采取主动防御、综合防范方针，坚持保障政务数据安全与促进应用发展相协调、管理与技术并重的原则，实行统一协调、分工负责、分级管理。各参与方数据安全和信息化工作应同步规划、同步建设、同步使用。

5数据归集安全

5.1数据采集安全

数据采集安全要求应包括：

a)应在采集过程中采用身份鉴别、数据源认证等机制保证采集数据的来源真实性、合法性；

b)网络环境应基于电子政务外网或专网保证数据采集网络安全。

5.2数据分类分级

a)政务数据的分类应明确分类的维度、分类方法和分类流程，分类方法按照GB/T38667-2020《信息技术大数据数据分类指南》第8章的数据分类方法中的混合分类法对政务数据开展数据分类工作；

b)政务数据的分级应明确分级要素、分级方法和分级流程，对政务数据的分级变更要规定变更流程。

5.3数据源管理

在政务数据归集过程中，应制定数据源管理制度规范，针对不同的数据归集场景定义数据溯源策略和机制，并提供有效的工具对外部收集数据识别和记录，确保原始数据可溯源。

6数据传输安全

数据传输安全要求应包括：

a)应明确需要进行传输加密的业务场景，对隐私信息和重要数据的加密传输；

b)应具备对数据传输通道两端的主体进行身份认证能力，并明确认证技术和工具；

c)应保证数据传输通道、端点安全；

d)应具备对数据传输安全策略的变更进行审核和监控的技术方案和工具，对通道安全策略配置、密钥算法配置、密钥管理等保护措施进行审核及监控。

7数据存储安全

7.1数据存储加密

数据存储加密安全要求应包括：

a)应建立各类数据存储系统的安全要求，应用技术手段和工具支持