《公共数据安全评估方法》解读.docxVIP

1

《公共数据安全评估方法》解读

《公共数据安全评估方法》地方标准已于2024年4月22日发布，于2024年5月1日实施，现就编制背景、主要内容等进行解读如下：

一、《公共数据安全评估方法》编制背景

2021年6月10日，全国人大常委会第二十九次会议通过了我国首部数据保护领域专项法律《中华人民共和国数据安全法》，以国家法律的形式对我国数据安全保护工作提出要求，并明确说明我国促进并支持数据安全检测评估、认证等服务发展和活动开展。

公共数据构成复杂、涉及范围广、处理环节多样、数据流动频繁，过程中潜藏了诸多安全风险问题，公共数据安全防护面临巨大挑战。当前各公共管理和服务机构数据安全能力尚处于参差不齐的状态，整体数据安全保护仍有待进一步统筹协调，逐步实现规范化和标准化。

为加强公共数据安全风险防控，统一指导并有序推进公共管理和服务机构数据安全管理工作，有必要对深圳市公共数据安全评估工作进行规范化和标准化要求。因此，基于我国现有法律法规、《深圳经济特区数据条例》、目前已发布的DB4403/T271—2022《公共数据安全要求》等所明确的数

2

据安全要求，结合实际情况，组织开展地方标准《公共数据安全评估方法》的研制工作。

研究编制《公共数据安全评估方法》，一方面能够推动公共管理和服务机构落实公共数据安全要求，提升数据安全保护工作的规范化和标准化程度，另一方面有助于公共管理和服务机构及时全面掌握本机构数据安全管理水平，有效防控数据安全事件风险和危害，为数据的应用和流动提供有力保障。

二、标准主要内容

《公共数据安全评估方法》标准结构包括十个章节、一个规范性附录和四个资料性附录，以下对标准中的主要条款进行简要说明。

（一）第一章：范围

本文件规定了公共数据安全的通则、通用管理安全评估要求、通用技术安全评估要求、数据处理活动安全评估要求、整体评估与评估结论。本文件适用于各级公共数据主管部

门、公共管理和服务机构开展公共数据安全评估，也适用于处理大量个人信息的服务平台数据安全能力的评估。本文件不适用于涉及国家秘密的公共数据安全评估。

（二）第二章：规范性引用文件

本章节给出了适用于本文件的规范性引用文件。

3

（三）第三章：术语和定义

本章节给出了标准编制过程中涉及的术语和定义，包括如数据场景、主责机构、关联机构等。

（四）第四章：缩略语

本章节给出了适用于本文件的缩略语。

（五）第五章：通则

本章节说明了评估原则、评估纬度、评估体系、评估手段、评估适用情形、评估流程、评估对象和评估指标说明。

（六）第六章：通用管理安全评估

本章节规定了通用管理安全评估内容，包含总体数据安全策略、数据安全管理机构和人员、数据安全管理制度体系三个评估项的具体评估细则，如级别要求、评估子项、评估手段、评估内容。

（七）第七章：通用技术安全评估

本章节规定了通用技术安全评估内容，包含数据分类分级保护、数据安全评估、数据安全风险监测、数据安全管控、数据安全应急处置、数据安全审计六个评估项的具体评估细则，如级别要求、评估子项、评估手段、评估内容。

（八）第八章：数据处理活动安全评估

本章节规定了数据处理活动安全评估内容，包含数据收集、数据存储、数据传输、数据使用、数据加工、数据开放共享、数据交易、数据出境、数据销毁与删除九个评估项的

4

具体评估细则，如级别要求、评估子项、评估手段、评估内容。

（九）第九章：整体评估

本章节规定了评估子项间评估、例外情况评估的具体内容。

（十）第十章：评估结论

本章节规定了安全风险分析和评价的内容，以及评估结论判定。

（十一）附录

给出了规范性附录公共数据安全评估评分细则，以及高风险项判例、常见威胁列表、公共数据安全评估报告模板、公共数据安全评估案例等资料性附录。

三、附则

本文件由深圳市政务服务和数据管理局提出并归口，由深圳市信息安全管理中心、全知科技（杭州）有限责任公司、鹏城实验室、中国电子标准化研究院、金砖国家未来网络研究院中国分院、深圳市智慧城市科技发展集团有限公司、深圳国家金融科技测评中心有限公司、深圳赛西信息技术有限公司、蚂蚁科技集团股份有限公司、华为技术有限公司参与起草。