深圳發布首個公共數據安全領域標準——《公共數據安全要求》
發布時間 2022-11-23近日,深圳市市場監督管理局發布首個地方公共數據安全領域標準——《公共數據安全要求》(以下簡稱《安全要求》),將于 2022年12月1日正式施行。
《安全要求》落實《中華人民共和國數據安全法 》、《中華人民共和個人信息保護法》 等上位法的要求,將數據安全與網絡安全等級保護要求有效結合,為《深圳經濟特區數據條例》的落地提供堅實指導。
在公共數據使用、分級管理等各個環節,《安全要求》做出嚴格規范,明確包括總體安全原則和要求、總體框架、數據分級方法、通用管理安全要求、通用技術安全要求及數據處理活動安全要求,適用于公共管理和服務機構數據安全能力建設、評估與監管、同樣也適用于大量個人信息的服務平臺數據安全能力的建設與評估。
其中公共數據總體安全原則包括合法正當原則、權責明確原則、目的明確原則、明示意同原則、最小必要原則、公開透明原則、動態調整原則、全程可控原則在內的 8 項原則。
公共數據總體安全要求指出承載公共數據信息系統應該按照 GB/T 22239—2019 中描述的基本要求,同步規劃、建設、運營信息系統,并對信息系統組織展開定級備案、等級測評、安全整改工作。此外,數據處理過程涉及秘密技術應按 GB/T39786—2021 描述的密碼應用基本要求執行。
《安全要求》強調公共管理和服務機構應對數據進行分類管理, 在數據分類在基礎上, 根據數據在經濟社會發展中的重要程度,以及一旦遭到篡改、壞破 、泄露或者被非法獲取、 非法利用,對國家安全、社會秩序和公共利益或者個人信息主體、公共管理和服務機構合法權益造成的損害程度,對數據進行分級。
針對公共安全數據管理工作,《安全要求》提出應明確數據安全管理的策略,包括管理目標、原則、要求等內容,制定或修訂完善總體安全管理框架,公共數據安全管理應作為重點內容,納入總體安全管理范疇,加強機構管理、人員管理,指定專業的部門或授權數據安全管理機構,制定數據安全管理制度,健全數據安全保護制度體系。
來源:深圳市市場監督管理局
