公共数据安全管理规范ICS35.020 CCSL80DB3704 枣庄市地方标准 DB3704/T0040-2024 2024-03-27发布 2024-04-27实施 枣庄市市场监督管理局发布DB3704/T0040—2024 目次 前  言..............................................................................1 公共数据安全管理规范..................................................................2 1范围................................................................................2 2规范性引用文件......................................................................2 3术语和定义..........................................................................2 4总体原则............................................................................2 5通用安全能力........................................................................3 5.1人员管理........................................................................3 5.2人员职责........................................................................4 5.3委托处理........................................................................4 5.4安全评估........................................................................4 5.5应急响应........................................................................5 5.6网络安全........................................................................5 6数据生命周期管理....................................................................5 6.1数据采集........................................................................5 6.2数据传输........................................................................5 6.3数据存储........................................................................5 6.4数据汇聚........................................................................6 6.5数据使用........................................................................6 6.6数据共享........................................................................7 6.7数据开放........................................................................7DB3704/T0040—2024 1前  言 本文件按照GB/T1.1-2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起 草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由枣庄市大数据局提出、归口并组织实施。 本文件起草单位：枣庄市大数据中心、北京安华金和科技有限公司。 本文件主要起草人：王辉、陈夫真、赵瑞欣、陈亚楠、郗金鑫、郭腾、王俐、徐娟、雷嘉宾、赵 善文。 本文件为首次发布。DB3704/T0040—2024 2公共数据安全管理规范 1范围 本文件规定了公共数据在数据处理活动中的安全管理要求。 本文件适用于指导涉及公共数据采集、存储和使用的各单位进行数据安全管理能力建设，规范公 共数据的使用。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件:不注日期的引用文件，其最新版本(包括所有的修改单)适用于 本文件。 GB/T22239-2019信息安全技术网络安全等级保护基本要求 GB/T37964-2019信息安全技术个人信息去标识化指南 GB/T39477-2020信息安全技术政务信息共享数据安全技术要求 3术语和定义 下列术语和定义适用于本文件。 3.1 公共数据 国家机关，法律法规授权的具有管理公共事务职能的组织，具有公共服务职能的企业事业单位， 人民团体等（以下统称公共数据提供单位）在依法履行公共管理职责、提供公共服务过程中，收集和 产生的各类数据。 3.2 数据安全 通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能 力。 3.3 网络安全 通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处 于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。 3.4 数据处理活动 包括数据的采集、传输、存储、汇聚、使用、共享、开放等。 4总体原则 为规范公共数据安全的基本要求，防范和抵御数据可能面临的各类安全风险，公共管理和服务机 构在处理数据过程中，应遵循下列原则，具体包括：DB3704/T0040—2024 3a)合法正当原则：公共数据收集采取合法、正当的方式，不应窃取或者以其他非法方式获取数 据，数据处理活动过程不应危害国家安全、公共利益，不应损害个人、组织的合法权益。 b)权责明确原则：采取技术和其他必要的措施保障数据的安全，对数据处理活动中涉及的组织和 个人的合法权益负责。 c)目的明确原则：数据处理活动具有明确、清晰、具体的目的。 d)最小必要原则：数据处理活动仅处理可满足特定公共服务为目的所需的最少数据类型和数量。 e)公开透明原则：以明确、易懂和合理的方式公开个人信息处理的范围、目的、规则等，并接受 外部监督，法律、行政法规另有规定的例外情况，从其规定。 f)动态调整原则：数据安全等级随着数据对客体侵害程度的变化进行动态调整，数据重要程度、 数据处理活动过程、数据安全管控措施等的变更可能引起数据对客体侵害程度的变化。 g)全程可控原则：采取必要管控措施确保数据处理活动各环节的可控性，防止未授权访问及处理 公共数据，记录数据处理活动各环节过程，记录内容清晰可追溯。 5通用安全能力 5.1人员管理 图1数据安全管理人员架构图 a)应设立数据安全管理机构，明确数据安全责任人，落实数据安全保护责任,负责公共数据的安 全管理工作，应当加强人员管理，明确在人员培训、人员考核、保密协议、离岗离职、外部人员管理 等方面的管理规定并严格落实。DB3704/T0040—2024 4b)数据安全管理机构应明确数据管理员、数据安全管理员、数据安全审计员等岗位职责，落实岗 位人员，保障数据安全管理与审计工作开展。 5.2人员职责 数据安全责任人： 负责组织制定数据保护计划并落实。 负责组织开展数据安全影响分析和风险评估，督促整改安全隐患。 负责组织按要求向有关部门报告数据安全保护和事件处置情况。 负责组织受理并处理数据安全投诉和举报事项等。 数据管理员： 负责管理数据的生命周期，包括数据的收集、存储、处理和分发； 负责确保数据的可靠性、完整性和安全性； 负责管理数据质量，确保数据的准确性和一致性； 数据安全管理员： 负责制定和执行数据安全策略和程序，确保数据的机密性、完整性和可用性； 负责管理访问控制、身份验证、加密、备份和恢复等数据安全措施； 数据安全审计员： 负责审核和评估组织的数据安全策略、程序和实践，确保其符合行业标准和法规要求； 负责评估数据安全风险和威胁，提出改进建议和解决方案； 负责监测和分析数据安全事件，及时采取措施防止和应对安全威胁； a)大数据管理部门处理个人信息时，应指定个人信息保护负责人，负责对个人信息处理活动以及 采取的保护措施等进行监督，并公开个人信息保护负责人联系方式，将个人信息保护负责人的姓名、 联系方式等报送履行个人信息保护职责部门。 b)应针对数据类别级别变更、数据权限变更、重大数据操作及外部系统接入等事项建立审批程 序，按照审批程序执行审批过程。 c)涉及数据合作方的机构，应与数据合作方签订合作协议及数据安全保密协