深圳发布首个公共数据安全领域标准——《公共数据安全要求》
发布时间 2022-11-23近日,深圳市市场监督管理局发布首个地方公共数据安全领域标准——《公共数据安全要求》(以下简称《安全要求》),将于 2022年12月1日正式施行。
《安全要求》落实《中华人民共和国数据安全法 》、《中华人民共和个人信息保护法》 等上位法的要求,将数据安全与网络安全等级保护要求有效结合,为《深圳经济特区数据条例》的落地提供坚实指导。
在公共数据使用、分级管理等各个环节,《安全要求》做出严格规范,明确包括总体安全原则和要求、总体框架、数据分级方法、通用管理安全要求、通用技术安全要求及数据处理活动安全要求,适用于公共管理和服务机构数据安全能力建设、评估与监管、同样也适用于大量个人信息的服务平台数据安全能力的建设与评估。
其中公共数据总体安全原则包括合法正当原则、权责明确原则、目的明确原则、明示意同原则、最小必要原则、公开透明原则、动态调整原则、全程可控原则在内的 8 项原则。
公共数据总体安全要求指出承载公共数据信息系统应该按照 GB/T 22239—2019 中描述的基本要求,同步规划、建设、运营信息系统,并对信息系统组织展开定级备案、等级测评、安全整改工作。此外,数据处理过程涉及秘密技术应按 GB/T39786—2021 描述的密码应用基本要求执行。
《安全要求》强调公共管理和服务机构应对数据进行分类管理, 在数据分类在基础上, 根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、坏破 、泄露或者被非法获取、 非法利用,对国家安全、社会秩序和公共利益或者个人信息主体、公共管理和服务机构合法权益造成的损害程度,对数据进行分级。
针对公共安全数据管理工作,《安全要求》提出应明确数据安全管理的策略,包括管理目标、原则、要求等内容,制定或修订完善总体安全管理框架,公共数据安全管理应作为重点内容,纳入总体安全管理范畴,加强机构管理、人员管理,指定专业的部门或授权数据安全管理机构,制定数据安全管理制度,健全数据安全保护制度体系。
来源:深圳市市场监督管理局