ICS35.240.01CCSL67

3310浙 江 省 臺 州 市 地 方 標 準DB3310/T90—2022公共數據安全可信保障指南Guidanceforsupportingpublicdatasecurityandtrustworthiness2022-12-12發布 2022-12-16實施臺州市市場監督管理局 發布DB3310/T90DB3310/T90—2022目??次前 言 II范圍 1規范性引用文件 1術語和定義 1基本原則 1制度保障 2技術保障 3運行保障 4I前??言本文件按照?GB/T1.1—2020《標準化工作導則 第1部分：標準化文件的結構和起草規則》的規定起草。請注意本文件的某些內容可能涉及專利。本文件的發布機構不承擔識別專利的責任。本文件由臺州市大數據發展管理局提出、歸口并組織實施。本文件起草單位：臺州市大數據發展管理局、中國人民大學。本文件主要起草人：張曉瑋、林賢杰、陳友增、林國、安小米、李真、居林歡、陳余超、王帥涵、劉桓鑫、白文琳、王麗麗、許濟滄、黃婕、鄺苗苗、齊宇、沈榮。II公共數據安全可信保障指南范圍本文件描述了公共數據安全可信保障的基本原則、制度保障、技術保障和運行保障等內容。本文件適用于公共數據主管部門、公共管理和服務機構的公共數據安全可信保障活動。規范性引用文件（包括所有的修改單適用于本文件。DB33/T2351—2021數字化改革公共數據分類分級指南DB33/T2359—2021公共數據交換技術規范DB3310/T91—2022公共數據歸集指南DB3310/T93—2022公共數據授權運營指南術語和定義下列術語和定義適用于本文件。公共數據publicdata[來源：DB33/T2351—2021，3.1]數據安全 datasecurity數據的機密性、完整性、可用性和可控性。可信 trustworthiness以可驗證的方式滿足利益相關方期望的能力。基本原則1圖1 公共數據安全可信保障示意圖制度保障總體要求數據收集編制形成數據收集清單。明確數據收集范圍和頻度，可共享獲取的數據，不宜重復收集。DB3310/T91—2022。數據歸集DB33/T2351—2021。制定數據溯源管理制度，包括數據溯源策略和溯源機制。數據存儲基于數據分類分級結果，制定數據存儲加密制度。2制定數據復制、備份與恢復操作過程及日志記錄規范。數據加工建立數據倉建設規范，包括數據類型、分區命名、表命名和表結構等。建立主題庫、專題庫建設和發布標準。建立數據建模規范、數據產品發布標準。數據傳輸建立數據傳輸和交換技術規范，可參照DB33/T2359—2021。數據共享建立數據共享管理規范，明確共享數據申請、受理、審批、答復、使用和安全要求。建立數據共享接口安全審查和發布規范。建立數據共享接口安全監測規范。建立敏感數據調用認證規范。建立批量共享數據導出審批規范。數據開放建立數據開放管理規范，明確開放數據申請、受理、審批、答復、使用和安全要求。建立數據開放域使用規范。DB3310/T93—2022。建立開放數據反哺回流規范。數據利用建立合作方及其人員管理規范。建立數據操作安全審計規范。建立數據脫敏、數據脫密、數據授權和數據訪問控制管理規范和制度。數據處置建立數據歸檔、封存和銷毀策略以及管理制度，明確歸檔、封存、銷毀對象和流程。建立數據歸檔、封存和銷毀安全審計制度。技術保障總體要求宜利用態勢感知、權限管控、數據脫敏、數據加密、數字簽名、高危操作阻斷、數據水印溯源、日志審計等安全技術手段，加強數據安全常態化監測和智能風險預警，提升數據安全防護能力。數據收集和數據歸集具備數據源鑒別、敏感數據識別技術能力。具備數據分類分級操作、變更審核、結果發布和運用技術能力。3具備數據權限管理技術能力。數據存儲具備數據圖譜、數據血緣分析技術能力。具備數據存儲加密技術能力，對存儲的敏感數據進行保護。具備數據備份和恢復技術能力，保障數據可用性和完整性。數據加工具備權限管控技術能力，實現數據權限的精細配置和可控訪問。具備動態和靜態脫敏技術能力，保障敏感數據訪問安全。具備環境分離技術能力，實現開發環境和生產環境分離。數據傳輸具備傳輸加密和通道加密技術能力，保障數據傳輸和傳輸通道安全。具備離線、在線和實時數據傳輸技術能力，實現多樣化數據傳輸需求。數據共享和數據開放具備訪問控制、數據脫敏技術能力，保障敏感數據共享開放安全。具備數據接口安全防護技術能力，實現高危操作預警阻斷。具備數據溯源技術能力，實現數據泄漏后的追蹤溯源。具備多方安全計算技術能力，實現數據安全融合利用。數據利用具備數據防泄漏和防濫用能力，防范數據使用和流轉過程中的泄漏和濫用風險。數據處置具備歸檔、封存和銷毀數據識別能力，根據數據分類分級結果，識別符合歸檔、封存和銷毀要求的數據。具備安全數據歸檔、封存和銷毀技術，實現數據的有效歸檔、封存和銷毀。運行保障總體要求宜建立數據安全管理團隊、監督檢查、安全事件應急和演練、安全培訓保障機制，加強事前審批、事中監督、事后審計，提升數據安全運行保障能力。安全管理團隊監督檢查建立實時公共數據安全日志審計機制。4建立周期性數據安全監督檢查機制。建立問題糾