ICS 35.020 CCS L 80 3415 六安市 地方 标准 DB 3415/T 90—2024 公共数据安全管理规范 Public data security management standards 2024 - 12 - 30发布 2024 - 12 - 30实施 六安市市场监督管理局 发布 DB 3415/T 90 —2024 I 前言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利 。本文件的发布 机构不承担识别专利的责任。 本文件由六安市数据资源管理局提出并归口。 本文件起草单位： 六安市绿水云山大数据产业发展股份有限公司、六安市数据资源管理局、六安市 发展和改革委员会、安徽国防科技职业学院。 本文件主要起草人： 李啟成、曾俊、蔡震、管皓、邬子学、沙有闯、雷惊鹏、韩燕来、尤天宇、朱 小娟、李薇、白修灵、王磊。 DB 3415/T 90 —2024 1 公共数据安全管理规范 1 范围 本文件规定了公共数据安全管理的 总体原则 、通用安全要求 和数据全生命周期安全管理 。 本文件适用于 公共数据安全管理 。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 22239 信息安全技术 网络安全等级保护基本要求 GB/T 35273 信息安全技术 个人信息安全规范 GB/T 37988 信息安全技术 数据安全能力成熟度模型 GB/T 39477 信息安全技术 政务信息共享 数据安全技术要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 公共数据安全 public data security 通过采取必要措施，确保公共数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的 能力。 4 总体原则 合法合规原则 4.1 公共数据收集采取合法、正当的方式，不应窃取或者以其他非法方式获取数据，数据处理活动过程 不应危害国家安全、公共利益，不应损害个人、组织的合法权益。 安全保障原则 4.2 采取技术和其他必要的措施保障数据的安全， 对数据处理活动中涉及的组织和个人的合法权益负责。 目的明确原则 4.3 数据处理活动具有明确、清晰、具体的目的。 最小必要原则 4.4 数据处理活动仅处理可满足特定公共服务为目的所需的最少数据类型和数量。 DB 3415/T 90 —2024 2 全程可控原则 4.5 采取必要管控措施确保数据处理活动各环节的可控性，防止未授权访问及处理公共数据，记录数据 处理活动各环节过程，记录内容清晰可追溯。 5 通用安全要求 组织机构管理 5.1 5.1.1 应建立数据安全领导小组， 由单位主要领导担任组长， 分管领导担任副组长， 明确责任和义务。 5.1.2 应明确组织内负责数据安全管理 的部门，由其承担内部数据安全管理和监督工作。 5.1.3 应建立数据安全管理制度，依照相关要求定期论证、按需修订。 5.1.4 应针对数据变更、 重大数据操作及外部系统接入等重大事项建立审批程序 ,经数据安全管理部门 审核后，报数据安全领导小组组长审批。 5.1.5 应建立数据安全追责问责机制，同时设立数据安全投诉、举报的受理及处置制度。 人员管理 5.2 5.2.1 建立数据岗位人员的任职要求，并定期开展技能培训。 5.2.2 应加强人员管理，定期开展数据安全宣贯。同时签订保密协议，明确数据访问范围、操作权限、 违约责任等。 6 数据全生命周期安全管理 数据采集安全规范 6.1 6.1.1 基本原则与要求 6.1.1.1 遵循“最小必要”和“一数一源、一源多用”原则开展数据采集工作。仅采集达成特定合法 目的所必需的数据，不 宜过度采集。 6.1.1.2 应建立健全数据采集流程体系，依据统一标准构建数据采集相关工具。确保相关系统配备详 尽的日志记录功能，完整记录数据采集授权过程，以便追溯与审计。 6.1.1.3 明确数据采集过程中重要数据的知悉范围，运用加密、访问限制等技术手段保障重要数据在 采集环节不被泄漏。 6.1.2 数据分类分级管理 制定清晰的数据分类分级原则、方法及操作指南。依据数据的敏感程度、价值大小、影响范围等因 素，对公共数据进行科学分类分级，为后续差异化的数据管理与安全防护策略制定提供依据。 6.1.3 数据采集渠道管控 6.1.3.1 精准确定数据采集的渠道和外部数据源，对外部数据源的 合法性进行严格审查与确认，包括 数据获取方式的合规性等。