DB4403-T 271-2022 公共數據安全要求

ICS

CCS

67

DB4403 DB4403/T

271—2022公共數據安全要求Requirements

for

common

data

深圳市市場監(jiān)督管理局 發(fā)

布DB4403/T

IV

引用文件

語和

4.1

4.2

6.1

6.2

6.3

6.4

級要

6.5

6.6

6.7

7.1

7.2

7.3

全要

8.1

級保

8.2

DB4403/T

271—2022

8.3

級增強安 10

108.4

10

10

級增強安 10

級增強安全要 118.5

11

11

12

128.6

12

12

12

全要 12全要 129.1

12

12

全要 13

139.2

13

13

級增 13

139.3

13

13

13

149.4

14

14

強安 14

全要 149.5

14

14

全要 15

159.6

15

15

15IIDB4403/T

159.7

15

15

15

169.8

16

16

級增 16

強安全要 169.9

毀與刪除 16

16

16

全要 16

17 18B.1

18B.2

20

共數據分 23C.1C.2

示例 23 23

人信息分級參考表 24 27DB4403/T

271—2022文件按照

GB/T

1.1—2020《標準工作導則

部分標準化文件的結構和起草規(guī)則文件起草知科慧城市科技發(fā)有限公司趙劍方興周頓魏鳳慧洋IVDB4403/T

體安全原則和構數據安全能建設估與監(jiān)管

內容文件其中注日期的引用文件僅該日期用文其最新版包括適用GB/T

20984—2022GB/T

22239—2019GB/T

22240—2020GB/T

35273—2020GB/T

37988—2019

全技

息安絡安全等GB/T

39477—2020

據安全技GB/T

39786—2021

統(tǒng)密

GB/T

35273—2020、GB/T

37988—2019下列3.1

common

data共管和服機構處理個人務平在依履行共管職責者提公共理的數據3.2

data

要措據處障持3.3

public

administration

and

service

institutions事業(yè)單位和其衛(wèi)生健康環(huán)境保護共交3.4

personal

informationDB4403/T

271—2022

1：行蹤軌跡、住宿信息、健康生理信息、交易信息、14

2：[來源：GB/T

25069—2022，3.195，有修改]3.5

key

data[來源：GB/T

3.6

3.7

data

cooperator3.8

secure

multi-party

computation3.9

application[來源：GB/T

41479—2022，3.12，有修改]

4.1

a) b) c)DB4403/T

d)明示原則數據范圍其規(guī)e)f)g)

小必理活動僅開透從其數據體侵害程進行據處理活動過數據安全管控措施等的變更可能引起數據害程度的變化h)全程可控原則：采防止處理數據處理節(jié)過記錄內容清晰4.2

GB/T

22239—2019建設運營信息系統(tǒng)系統(tǒng)組織開展定級備案等級測評安全整改工作數據處理過程涉及密碼應按GB/T39786—2021應用

5.1

5.2

DB4403/T

271—2022大類構成a) 數據通用安全要求明確通用管理安全要求角度分級闡述b)理活理活動圍共享

6.1

管理中的泄露或者獲取非法社會秩序公共公共管理和服務機益造成的6.2

象應包括數據庫和數據子類下的具體數據據定象分構化6.3

a)

b)

象受a)

機構b)c)

會秩

應根象遭泄露獲取涉及綜合。對客體造成的侵害程度歸結為以下四種a)

b)

c)

d)

6.4

DB4403/T

6.5

6.6

6.7

數據庫安全等全要求的應關見表2，數據子類或數據字段安全等級與其安DB4403/T

271—2022

7.1

7.2

7.2.1.1

a)

b)

c)

數據安全責任人履行職責包括但不限于：

DB4403/T

d)

數據安全管理機構應明確數據管理員數據人員

e)f)

到國家網信部人聯姓名系方應針數據數據操作及外部系g)

的機簽訂合作及數全保密責任與資質背景7.2.1.2

a)

明確規(guī)定人員錄用人員考核離崗離職外部人員

內部數據崗位

應制定數據安訓計劃

7.2.2.1

a)b)

數據處理活動建立逐級審批批的項目批部審批7.2.2.2

a)b)c)

數據崗位制定不同的培崗位操作規(guī)程等進行培定期位人

7.2.3.1

DB4403/T

271—20227.2.3.2

a)b)

共同管理7.3

分級

提供重互聯網平臺服務

GB/T

35273—2020

8.1

應結合數據資產識別技手段DB4403/T

標準d)e)

應明確數據象安全等級序和公共形成數據資產清單相關示例附錄A，落實不同數據安全級差護要求依數據字段安全等級差異化防護措施應符合附錄規(guī)定別和級別型或級別

8.2

應結合自身數據安全要求

出現法律法規(guī)更改或增刪全面

行業(yè)安全合規(guī)監(jiān)管并向

涉及敏感個人信息處理益有理活動等

按照開展管部估報告應的重類、展數據處理活動的情況

8.3

DB4403/T

271—2022a)b)

據安異常操作數據暴露面風險等力。

a)b)c)d)

安全制定的風件和可能引發(fā)分析產的完整配備數據安全工作具風險監(jiān)定期險監(jiān)

增強安全要求8.4

8.4.1.1

a)

應根據不同數據級別變更賬號關聯包括機構據合作方人員b)c)d)e)f)

沉默賬號復活賬號嚴格流程訪問數據批量下載上傳刪除流程8.4.1.2

8.4.1.3

a)b)c)d)

身份鑒別全檢及時發(fā)現并處用審梳理數據接口

8.4.2.1

10DB4403/T

8.4.2.2

8.4.2.3

a)

b)

c)

8.4.3.1

8.4.3.2

8.4.3.3

8.5

a)

b)

c)

d)

e)

11DB4403/T

271—2022f)

至少一次，事件場景包括但不限于數據泄露、丟失、濫用、篡改、毀損、違規(guī)使用等。

a)

b)

8.6

a)

計內容、審計周期、審計結果、審計問題跟蹤等要求；b)

c)

9.1

a)

b)

c)

過誤導、欺詐、脅迫或者其他違背個人信息主體真實意愿的方式獲取其同意；d)

應按照GB/T

12e)

DB4403/T

要個聯網

網絡環(huán)境系統(tǒng)進行安全評估

9.2

a)

相關數字水印整性b)

應明確數據備份與恢復安全策略數據備份恢復操作規(guī)程說明數據備份周期備份方式建立據恢c)

時批量傳d)e)

個人生物識別信息應與個人身份信分開存儲原則上不應存儲原始個人生物識別信息如樣僅存息的儲期限應人信規(guī)另

a)

至備份場b)c)

勒索病毒事前中阻斷及事后恢復的保障能力；

切換9.3

a)b)c)

相關加密確保數據傳輸整性

13DB4403/T

271—2022a)

b)

9.4

a)

b)

c)

d)

存在利用算法推薦技術進行自動化決策分析的情形，應保證決策的透明度和結果公平合理；e)

f)

a)

b)

c)

9.5

a)

b)

c)

14d)

DB4403/T

委托他人處理數據全保護合安全保護責任應約定委托處理的目的處理方式個人信息的種保護措施以及方的務等人信應超個人信息

b)

如產生新數據c)

9.6

a)b)

應與公共簽署相關明確數據使用目的供應方式保密范圍護要供部標準享過程的保密c)

政務信息資源交換平臺的政務信息共履行GB/T

39477—2020章確定的共享數據安全要

a)b)c)

共數據提供部建立范圍術，實現數據共享的安全性

9.7

規(guī)章展數據交據安全保

15DB4403/T

271—2022

9.8

a)

嚴格遵守國家法律符合展數據出估及出境行為

9.9

a)

規(guī)程設置相關監(jiān)督角色b)

如因業(yè)務終止組織解散數據承接法律法規(guī)另有定的除外c)

合作方完成數法律d)

或完保留源數據的數據e)

按照GB/T

35273—20208.3刪除操作

a)b)

介質存儲存儲數據的介質或物理設備式進如物理粉消磁次擦寫等

16示例：個人身份信息person_id50000身份證3級某政務系統(tǒng)-user_center-person_identity是是否否示例：個人身份信息person_name50000姓名3級某政務系統(tǒng)-user_center-person_identity是是否否示例：某政務系統(tǒng)xx部門user_center192.168.x.x1521Oracle

1010GB10user第二級示例：某政務系統(tǒng)xx部門user_center192.168.x.x1521Oracle

1010GB10person_identity第二級DB4403/T

A.1

A.217/一

，對，對

GB/T

2020

A、

”、“

GB/T

2020

A、

”“、“”、“”、”、”、”、

2020

”、“”“”、“DB4403/T

271—2022

B.1

18

DB4403/T

19

DB4403/T

B.2

20

，采

，采

，采DB4403/T

21

，采，對

），

），

），

），

DB4403/T

22DB4403/T

C.1

C.2

23驗報告麻醉記錄護理記錄用藥記錄藥物食物過敏信息育信息以往病史診治情況家族病史現病史

弱隱私生物特信息包括人臉聲紋步態(tài)

）、

交易密碼查詢密碼USBKEY、U

網銀手機銀行密保工具指個人的其用戶鑒別信息泄露人經濟

公共社會公服務的網站涉及的用戶鑒別育

公共管理和服務機構內部系統(tǒng)涉及的用戶鑒信息包括

OA

人基個人姓指個人的通信記數據記錄和內容指能具體定位到人的地理位置信息精準定位信指個人通信聯系式數據機號碼固定電話QQDB4403/T

D.1

24指好友通信聯系方式數據通訊錄好友列表群列表14指個人與位關聯方關系的記錄數據法定代表人財務負責

個人入狀況的不動產狀況稅額

銀行賬戶信息包括資金數量支付收款記錄等)、信貸記如個人借款信息還款款信息等）、信信息易和消費記錄記錄等虛擬貨擬交易

用戶鑒輔助如動態(tài)口令短信驗證碼密碼提示問題

金融產品與服務的關鍵信息如交易信息如交易指交易金融業(yè)構內部使的個人金融信息賬戶開立指公開的