ICS 01.040.03 A 90 DB3311 浙 江 省 丽 水 市 地 方 标 准 DB3311/T 127 2020 公共数据 共享安全 管理规范 2020-01-15 发布 2020-02-15 实施 丽 水 市 市 场 监 督 管 理 局 发布 DB3311/T 127 2020 I 目 次 前 言.II 1 范围.1 2 规 范性 引用 文件.1 3 术 语和 定义.1 4 管理 要求.2 5 工 作机 制.2 6 数 据归 集.2 6.1 资源 编目.2 6.2 数据 治理.3 7 数 据共 享.3 7.1 需求 管理.3 7.2 共享 实施.3 7.3 使用 限制.3 7.4 共享 终止.3 8 安 全运 营.3 8.1 技术 要求.3 8.2 平台 运维.4 8.3 外包 管理.4 8.4 应急 管理.4 8.5 风险 评估.4 8.6 安全 培训.4 DB3311/T 127 2020 II 前 言 本标准 依据 GB/T 1.1-2009 给出 的规 则起 草。本标准 由丽 水市 大数 据发 展管理 局提 出并 归口。本标准 起草 单位：丽 水市 数据管 理中 心、丽水 市公 安科技 信息 化局、亚 信科 技(成都)有 限公 司。本标准 起草 人：王玲 玲、项伟平、刘 晓峰、周 嘉盈、朱大 鹏、周伟 华、王啸、廖双 晓、李著。本标准 属 首 次发 布。DB3311/T 127 2020 1 公共数据 共享安 全管理规 范 1 范围 本标准 规定 了公 共数 据共 享安全 管理 的术 语和 定义、管理 要求、工 作机 制、数据归 集、数据 共享、安全运 营。本标准 适用 于非 涉密 公共 数据共 享安 全管 理。2 规范性 引用 文件 下列文 件中 的条 款通 过本 标准的 引用 而成 为本 标准 的条款。凡 是已 经标 注日 期的引 用文 件，仅所 注明日期 的版 本适 用于 本标 准。凡 是未 标注 日期 的引 用文件，其 最新 版本（包 括所有 的修 改单）适 用 于 本标准。GB/T 22239 网 络安 全等 级 保护基 本要 求 3 术语和 定义 下列术 语和 定义 适用 于本 文件。3.1 公共数 据 各级 行 政机 关、履行 公共 管理和 服务 职能 的机 构在 依法履 职过 程中 采集 和产 生的各 类数 据资 源。3.2 公共数 据共 享 各级行 政机 关、履行 公共 管 理和服 务职 能的 机构 因 履 行职责 需要 使用 其他 政务 公共数 据资 源或 为其他政务 部门 提供 公共 数据 资源的 行为。3.3 敏感数 据 包含内 容可 能对 国家 机关、公民、法 人和 其他 组织 造成不良 影 响的 数据。3.4 资源目 录 对公共 数据 资源 依据 规范 的描述，按 照一 定分 类方 法进行 排序 和编 码的 一组 信息，用以 描述 资源 特征。DB3311/T 127 2020 2 3.5 数据脱 敏 通过一 系列 数据 处理 方法 对原始 数据 进行 处理 以屏 蔽敏感 数据 的一 种数 据保 护方法。3.6 公共数 据平 台 支撑数 据管 理工 作的 信息 系统，包含 数据 资源 目录 管 理、数 据供 需管 理、数 据共 享交换 支撑 等功 能。4 管理要 求 4.1 应 按照“统 筹管 理、按需共 享、最小 够用、安 全可控”的 要求，维护 国 家和社 会公 共安 全，保守 国家秘密，保 护商 业机 密、个人隐 私。4.2 制 作、采集 或使 用行 政 相对人 商业 秘密、个 人隐 私 等敏感 数据 的，应明 确数 据 使用范 围和 保护 责任。5 工作机 制 5.1 各 政务 部门 应根 据公 共数据 管理 工作 机制，成 立工作 组或 工作 专班。5.2 各 政务 部门 应 配 备数 据专员，包 含但 不限 于以 下职责：a)牵头本 部门 公共 数据 资源 目录编 制；b)归集本 部门 待归 集数 据；c)根据本 部门 需求 在公 共数 据平台 上提 起数 据共 享需 求；d)在公共 数据 平台 上响 应其 他部门 提起 的数 据需 求。6 数据归 集 6.1 资源编 目 6.1.1 目录 编制 各政务 部门 应在 公共 数据 平台中 登记 公共 数据 目录，完整、准 确提 供数 据资 源名称、资 源格 式、共享属性、更 新频 率、数据 项详情 内容（包 括数 据项 名称、类型、长 度、是否 可空等）、安全 保护 要 求 等信息。6.1.2 目录 更新 各政务 部门 应按 照有 效性 与及时 性要 求进 行资 源目 录更新。6.1.3 审核 发布 数据管 理部 门 应 建立 资源 目录审 核发 布机 制，资源 目录通 过公 共数 据平 台发 布。6.1.4 目录 校核 对公共 数据 资源 目录 有疑 义或发 现错 误的，由 数源 部门校 核。6.2 数据治 理 DB3311/T 127 2020 3 6.2.1 完整 性 数源部 门应 按照 资源 目录 约定内 容和 数据 覆盖 范围 提供数 据，目录 中必 填数 据项不 得为 空值。特 别涉及个 人、法人 的关 键指 标项（姓名、证件 号码、统一社 会信 用代 码等）不 得空缺，且 能通 过公 共数 据平台的 个人、法 人信 息校 验。6.2.2 及时 性 数源部 门应 按照 资源 目录 约定的 数据 更新 频率 按时 归集数 据。6.2.3 准确 性 数源部 门应 确保 提供 各数 据项与 实际 数据 保持 一致，且无 明显 错误。7 数据共 享 7.1 需求管 理 7.1.1 数据 需求 部门 应通 过公共 数据 平台 提出 需求，明确 需要 的数 据项、共 享方式 和具 体应 用场 景。7.1.2 数源 部门 对需 求进 行确认，数 据管 理部 门对 需求进 行审 核。7.2 共享实 施 在 需 求 完成 审 批后 由 数据管 理 部 门进 行 技术 对 接，依 托 公 共数 据 平台 向 数据需 求 部 门提 供 公共 数据。在 技术 条件 允许 的情 况下，应优 先使 用需 求部 门申请 时要 求的 共享 模式。7.3 使用限 制 7.3.1 数据 需求 部门 未经 数源部 门授 权，不得 将共 享数据 对外 提供 或发 布，不得以 任何 方式 或形 式 用 于社会有 偿服 务或 其他 商业 用途。7.3.2 使用 个人 敏感 数据 的，应 建立 个人 授权 机制。7.4 共享终 止 7.4.1 数 源 部门 要求 下 架 共享数 据时，应 向数 据管 理部门 提交 备案 并说 明数 据共享 终止 原因，数 据 管 理部门审 核通 过后 终止 数据 共享。7.4.2 达到 数据 共享 期限 时，应 及时 终止 数据 共享 服务。8 安全运 营 8.1 技术要 求 8.1.1 采用 身份 鉴别、数 据源认 证等 安全 机制 保障 共享数 据来 源的 真实 性。8.1.2 在不 影响 共享 数据 使用情 况下，具 备条 件的 数 源部门 应在 本地 对敏 感数 据进行 脱敏 后再 进行 数据归集。数源 部门 不具 备条 件在本 地脱 敏而 有必 要进 行脱敏 的，应在 资源 编目 安全保 护要 求明 确提 出 脱 敏需求，并由 数据 管理 部门 在抽取 数据 至共 享交 换平 台之前 完成 数据 脱敏。8.1.3 对未 脱敏 的敏 感数 据以内 容加 密或 链路 加密 的方式 进行 传输。在 共享 交换平 台中，需 根据 数 源 部门的要 求对 未脱 敏的 敏感 数据进 行加 密存 储。DB3311/T 127 2020 4 8.1.4 记录 并保 存 数 据交 换 日志，数 据操 作行 为可 管 可控并 全程 留痕，保 证审 计 日志的 完整 性和 真实 性，防范数 据伪 造、篡改 或者 窃取，确保 任何 数据 泄密 泄露事 故及 风险 可追 溯到 相关责 任单 位和 责任 人。8.1.5 制定 访问 控制 策略，规范 不同 等级 用户 在交 换节点、公 共数 据工 作平 台和共 享交 换平 台的 权限，防止未 经授 权查 询、修改 或者传 输数 据。8.2 平台运 维 8.2.1 公共 数据 平台 部署 于电子 政务 外网，应 符合GB/T 22239 中的 三级 安全 要 求，各 政务 部门 应建 立规范的运 维管 理制 度。8.2.2 共享 交换 平台 由中 心库、交换 节点、交换 链 路、交 换前 置机 组成。中 心库、交换 节点、交换 链 路的安全 由数 据管 理部 门管 理；交 换前 置机 的安 全由 提供部 门管 理；业务 信息 系统和 交换 前置 机之 间 的 安全由各 政务 部门 自行 管理。8.3 外包管 理 8.3.1 各政 务部 门采 用外 包服务 提供 商参 与公 共数 据共享 相关 工作 时，涉 及 收集、存 储、传输 或者 应 用数据等 操作 行为 的，应当 依法与 外包 服务 提供 商签 订数据 处理 协议 和保 密协 议，并 对所 有数 据操 作 行 为进行监 督，每季 度 至 少一 次 审计 操作 日志。8.3.2 外包 服务 提供 商应 当具备 相应 资质，建立 和 落实数 据安 全管 理、个 人 隐私保 护、应 急管 理等 管 理制度和 技术 防护 措施。8.4 应急管 理 各政务 部门 应落 实公 共数 据安全 应急 工作 机制，制 定公共 数据 安全 事件 应急 预案，每年 至少 一次 组织演练。各 政务 部门 应建 立应急 协同 机制。8.5 风险评 估 数据管 理部 门 每 年至 少一 次 组织 开展 公共 数据 安全 风险评 估，发现 公共 数据 共 享过程 中潜 在的 安全风险，并发 布评 估报 告。8.6 安全培 训 各政务 部门 和数 据管 理部 门应建 立公 共数 据安 全培 训制度，每年 至少 一次 对 系统建 设、运 维、使用和从业 人员 进行 公共 数据 安全培 训。_