《公共數(shù)據(jù)安全要求》2022年

DB4403∕T271—2022

目次

前言.....................................................................................IV

1范圍...................................................................................1

2規(guī)范性引用文件.........................................................................1

3術(shù)語和定義.............................................................................1

4總體安全原則和要求.....................................................................2

4.1總體安全原則.......................................................................2

4.2總體安全要求.......................................................................3

5總體框架...............................................................................3

6數(shù)據(jù)分級方法...........................................................................4

6.1分級概述...........................................................................4

6.2確定定級對象......................................................................4

6.3定級要素..........................................................................4

6.3.1受侵害的客體..................................................................4

6.3.2對客體的侵害程度..............................................................4

6.4定級要素與等級關系................................................................4

6.5定級步驟..........................................................................5

6.6級別變更..........................................................................5

6.7級別要求..........................................................................5

7通用管理安全要求.......................................................................6

7.1總體數(shù)據(jù)安全策略.................................................................6

7.1.1基本安全要求..................................................................6

7.1.2三級增強安全要求.............................................................6

7.1.3四級增強安全要求..............................................................6

7.2數(shù)據(jù)安全管理機構(gòu)與人員...........................................................6

7.2.1基本安全要求..................................................................6

7.2.2三級增強安全要求..............................................................7

7.2.3四級增強安全要求..............................................................7

7.3數(shù)據(jù)安全管理制度體系.............................................................8

7.3.1基本安全要求..................................................................8

7.3.2三級增強安全要求..............................................................8

7.3.3四級增強安全要求..............................................................8

8通用技術(shù)安全要求.......................................................................8

8.1數(shù)據(jù)分類分級保護...................................................................8

8.1.1基本安全要求..................................................................8

8.1.2三級增強安全要求..............................................................9

8.1.3四級增強安全要求..............................................................9

8.2數(shù)據(jù)安全評估.......................................................................9

I

DB4403∕T271—2022

8.2.1基本安全要求...................................................................9

8.2.2三級增強安全要求.............................................................9

8.2.3四級增強安全要求..............................................................9

8.3數(shù)據(jù)安全風險監(jiān)測..................................................................9

8.3.1基本安全要求...................................................................9

8.3.2三級增強安全要求..............................................................10

8.3.3四級增強安全要求..............................................................10

8.4數(shù)據(jù)安全管控.....................................................................10

8.4.1基本安全要求..................................................................10

8.4.2三級增強安全要求..............................................................10

8.4.3四級增強安全要求.............................................................11

8.5數(shù)據(jù)安全應急處置.................................................................H

8.5.1基本安全要求..................................................................11

8.5.2三級增強安全要求..............................................................12

8.5.3四級增強安全要求.............................................................12

8.6數(shù)據(jù)安全審計.....................................................................12

8.6.1基本安全要求..................................................................12

8.6.2三級增強安全要求..............................................................12

8.6.3四級增強安全要求.............................................................12

9數(shù)據(jù)處理活動安全要求..................................................................12

9.1數(shù)據(jù)收集.........................................................................12

9.1.1基本安全要求.................................................................12

9.1.2三級增強安全要求.............................................................13

9.1.3四級增強安全要求.............................................................13

9.2數(shù)據(jù)存儲.........................................................................13

9.2.1基本安全要求..................................................................13

9.2.2三級增強安全要求..............................................................13

9.2.3四級增強安全要求.............................................................13

9.3數(shù)據(jù)傳輸........................................................................13

9.3.1基本安全要求.................................................................13

9.3.2三級增強安全要求.............................................................13

9.3.3四級增強安全要求.............................................................14

9.4數(shù)據(jù)使用........................................................................14

9.4.1基本安全要求..................................................................14

9.4.2三級增強安全要求..............................................................14

9.4.3四級增強安全要求..............................................................14

9.5數(shù)據(jù)加工........................................................................14

9.5.1基本安全要求..................................................................14

9.5.2三級增強安全要求..............................................................15

9.5.3四級增強安全要求............................................................15

9.6數(shù)據(jù)開放共享......................................................................15

9.6.1基本安全要求.................................................................15

9.6.2三級增強安全要求.............................................................15

II

DB4403∕T271—2022

9.6.3四級增強安全要求.............................................................15

9.7數(shù)據(jù)交易.........................................................................15

9.7.1基本安全要求.................................................................15

9.7.2三級增強安全要求.............................................................15

9.7.3四級增強安全要求.............................................................16

9.8數(shù)據(jù)出境.........................................................................16

9.8.1基本安全要求..................................................................16

9.8.2三級增強安全要求.............................................................16

9.8.3四級增強安全要求.............................................................16

9.9數(shù)據(jù)銷毀與刪除...................................................................16

9.9.1基本安全要求.................................................................16

9.9.2三級增強安全要求.............................................................16

9.9.3四級增強安全要求.............................................................16

附錄A（資料性）公共數(shù)據(jù)分類分級清單示例..............................................17

附錄B（規(guī)范性）公共數(shù)據(jù)子類或數(shù)據(jù)字段定級及級別要求.................................18

B.1定級要素與等級關系................................................................18

B.2級別要求..........................................................................20

附錄C（資料性）公共數(shù)據(jù)分類方法......................................................23

C.1分類方法及示例...................................................................23

C.2不同行業(yè)分類方法.................................................................23

附錄D（資料性）常見個人信息分類分級參考表............................................24

參考文獻.................................................................................27

III

DB4403∕T271—2022

公共數(shù)據(jù)安全要求

1范圍

本文件規(guī)定了公共數(shù)據(jù)安全要求，主要包括總體安全原則和要求、總體框架、數(shù)據(jù)分級方法、通用管

理安全要求、通用技術(shù)安全要求及數(shù)據(jù)處理活動安全要求。

本文件適用于公共管理和服務機構(gòu)數(shù)據(jù)安全能力的建設、評估與監(jiān)管，也適用于處理大量個人信息的

服務平臺數(shù)據(jù)安全能力的建設與評估。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中,注日期的引用文件，

僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T20984—2022信息安全技術(shù)信息安全風險評估方法

GB/T22239—2019信息安全技術(shù)網(wǎng)絡安全等級保護基本要求

GB/T22240—2020信息安全技術(shù)網(wǎng)絡安全等級保護定級指南

GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范

GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

GB/T39477—2020信息安全技術(shù)政務信息共享數(shù)據(jù)安全技術(shù)要求

GB/T39786—2021信息安全技術(shù)信息系統(tǒng)密碼應用基本要求

3術(shù)語和定義

GB/T35273-2020、GB/T37988—2019界定的以及下列術(shù)語和定義適用于本文件。

3.1

公共數(shù)據(jù)commondata

公共管理和服務機構(gòu)及處理大量個人信息的服務平臺在依法履行公共管理職責或者提供公共服務

過程中產(chǎn)生、處理的數(shù)據(jù)。

注：本文件提及的數(shù)據(jù)均指公共數(shù)據(jù)。

3.2

數(shù)據(jù)安全datasecurity

通過采取必要措施,確保數(shù)據(jù)處于有效保護和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力。

3.3

公共管理和服務機構(gòu)pubIicadministrationandserviceinstitutions

本市國家機關、事業(yè)單位和其他依法管理公共事務的組織，以及提供教育、衛(wèi)生健康、社會福利、

供水、供電、供氣、環(huán)境保護、公共交通和其他公共服務的組織。

3.4

敏感個人信息personaIsensitiveinformation

DB4403∕T271—2022

一旦泄露、非法提供或濫用有可能危害人身和財產(chǎn)安全，極易導致個人名譽、身心健康受到損害或歧視

性待遇等的個人信息。

注1：敏感個人信息包括公民身份號碼、個人生物特征信息、、銀行賬號、通信記錄和內(nèi)容、財產(chǎn)信息、征信信息、

行蹤軌跡、住宿信息、健康生理信息、交易信息、14歲以下（含）兒童的個人信息等。

注2：個人信息處理者通過個人信息或其他信息加工處理后形成的信息，如一旦泄露、非法提供或濫用可能危害人

身和財產(chǎn)安全，極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人信息，也屬于敏感個人信息。

［來源:GB/T25069—2022,3.195,有修改］

3.5

重要數(shù)據(jù)keydata

一旦泄露可能直接影響國家安全、公共安全、經(jīng)濟安全和社會穩(wěn)定的數(shù)據(jù)。

注：包括未公開的政府信息，數(shù)量達到一定規(guī)模的基因、地理、礦產(chǎn)信息等，原則上不包括個人信息、企業(yè)內(nèi)部經(jīng)營

管理信息等。

［來源：GB/T41479—2022,3.9,有修改］

3.6

匿名化anonymization

公共數(shù)據(jù)中涉及的個人信息經(jīng)過處理無法識別特定自然人且不能復原的過程。

3.7

數(shù)據(jù)合作方datacooperator

與公共管理和服務機構(gòu)進行業(yè)務合作、提供技術(shù)支撐和數(shù)據(jù)服務等，并可能接觸到公共數(shù)據(jù)的外部

單位。

3.8

安全多方計算securemulti-partycomputation

在無可信第三方的情況下，各方約定一個安全計算函數(shù)，確保計算過程中各方數(shù)據(jù)安全的同時，得到

預期計算的結(jié)果。

3.9

第三方應用thirdpartyapplication

第三方提供的產(chǎn)品或服務，以及被接入或嵌入公共管理和服務機構(gòu)產(chǎn)品或服務中的自動化工具。

注：包括但不限于軟件開發(fā)工具包、第三方代碼、組件、腳本、接口、算法模型、小程序等。

［來源：GB/T41479—2022,3.12,有修改］

4總體安全原則和要求

4.1總體安全原則

為規(guī)范公共數(shù)據(jù)安全的基本要求，防范和抵御數(shù)據(jù)可能面臨的各類安全風險，公共管理和服務機構(gòu)在

處理數(shù)據(jù)過程中，應遵循下列原則，具體包括：

a）合法正當原則：公共數(shù)據(jù)收集采取合法、正當?shù)姆绞?，不應竊取或者以其他非法方式獲取數(shù)據(jù)，數(shù)據(jù)處

理活動過程不應危害國家安全、公共利益，不應損害個人、組織的合法權(quán)益；

b）權(quán)責明確原則：采取技術(shù)和其他必要的措施保障數(shù)據(jù)的安全，對數(shù)據(jù)處理活動中涉及的組織和個人

的合法權(quán)益負責；

c）目的明確原則：數(shù)據(jù)處理活動具有明確、清晰、具體的目的；

2

DB4403∕T271—2022

d）明示同意原則：數(shù)據(jù)相關主體擁有對其個人信息的處理目的、方式、范圍等規(guī)則的知情權(quán)，在進

行數(shù)據(jù)處理活動前應向數(shù)據(jù)相關主體明示，并獲得授權(quán)同意，法律、行政法規(guī)另有規(guī)定的例外情

況，從其規(guī)定；

e）最小必要原則：數(shù)據(jù)處理活動僅處理可滿足特定公共服務為目的所需的最少數(shù)據(jù)類型和數(shù)量;

f）公開透明原則：以明確、易懂和合理的方式公開個人信息處理的范圍、目的、規(guī)則等，并接受外

部監(jiān)督，法律、行政法規(guī)另有規(guī)定的例外情況，從其規(guī)定；

g）動態(tài)調(diào)整原則：數(shù)據(jù)安全等級隨著數(shù)據(jù)對客體侵害程度的變化進行動態(tài)調(diào)整，數(shù)據(jù)重要程度、

數(shù)據(jù)處理活動過程、數(shù)據(jù)安全管控措施等的變更可能弓I起數(shù)據(jù)對客體侵害程度的變化；

h）全程可控原則：采取必要管控措施確保數(shù)據(jù)處理活動各環(huán)節(jié)的可控性，防止未授權(quán)訪問及處理

公共數(shù)據(jù)，記錄數(shù)據(jù)處理活動各環(huán)節(jié)過程，記錄內(nèi)容清晰可追溯。

4.2總體安全要求

承載公共數(shù)據(jù)的信息系統(tǒng)應按GB/T22239-2019描述的基本要求，同步規(guī)劃、建設、運營信息系統(tǒng)，

并對信息系統(tǒng)組織開展定級備案、等級測評、安全整改工作；數(shù)據(jù)處理過程涉及的密碼技術(shù)應按GB/T

39786—2021描述的密碼應用基本要求執(zhí)行。

5總體框架

5.1總體框架圖

總體框架如圖1所示。

總體安全原則

-

合法正當權(quán)責明確目的明確明示同意最小必要公開透明動態(tài)調(diào)整全程可控

總體安全要求

網(wǎng)絡安全等級保護基本要求關鍵信息基礎設施保護條例信息系統(tǒng)密碼應用基本要求法律、行政法規(guī)從其規(guī)定

數(shù)據(jù)通用安全要求數(shù)據(jù)處理活動安全要求

通用管理安全要求數(shù)據(jù)收集數(shù)據(jù)存儲數(shù)據(jù)傳輸1數(shù)據(jù)使用數(shù)據(jù)加工

數(shù)據(jù)源鑒別存儲保密性身份鑒別主體評估

總體數(shù)據(jù)安全策略I

主體明示同意存儲完整性傳輸完整性過程監(jiān)控

數(shù)據(jù)安全管理機構(gòu)與人員數(shù)據(jù)使用審批

未成年人信息數(shù)據(jù)備份與恢復傳輸保密性結(jié)果審核

數(shù)據(jù)安全管理制度體系保護傳輸設備、線數(shù)據(jù)脫敏處理

明確存儲期限環(huán)境安全

保障主體權(quán)利路冗余數(shù)據(jù)匯聚安全

<_____________J委托安全

通用技術(shù)安全要求

數(shù)據(jù)開放共享數(shù)據(jù)交易數(shù)據(jù)出境數(shù)據(jù)銷毀與刪除

數(shù)據(jù)分類分級保護<交易方式合法\7（錯毀審批、

數(shù)據(jù)安全評估共享數(shù)據(jù)申請與使交易環(huán)境安全明確出境場景

銷毀記錄

數(shù)據(jù)安全風險監(jiān)測用安全交易雙方合法出境安全評估

明確銷毀方式

數(shù)據(jù)安全管控簽署相關協(xié)議交易行為例外國外上市、出境安

委托銷毀安全

數(shù)據(jù)安全應急處置共享保密性交易能力審核全審查

個人信息銷毀

數(shù)據(jù)安全審計依據(jù)法規(guī)標準執(zhí)行交易日志記錄跨境數(shù)據(jù)監(jiān)管評估

I境而普毀J

\________ZI殘余藪每清理）

圖1總體框架

5.2安全要求類別

3

DB4403∕T271—2022

在總體安全要求基礎上，公共數(shù)據(jù)安全要求由如下兩大類構(gòu)成：

a）數(shù)據(jù)通用安全要求：明確通用管理安全要求及通用技術(shù)安全要求，從管理及技術(shù)角度分級闡述公

共數(shù)據(jù)安全要求；

b）數(shù)據(jù)處理活動安全要求：數(shù)據(jù)處理活動圍繞數(shù)據(jù)收集、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)使用、數(shù)據(jù)加

工、數(shù)據(jù)開放共享、數(shù)據(jù)交易、數(shù)據(jù)出境、數(shù)據(jù)銷毀與刪除9個過程，分級闡述公共數(shù)據(jù)安全要

求。

6數(shù)據(jù)分級方法

6.1分級概述

公共管理和服務機構(gòu)應對數(shù)據(jù)進行分類管理，在數(shù)據(jù)分類基礎上，根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要

程度，以及-旦遭到篡改、破壞、泄露或者被非法獲取、非法利用，對國家安全、社會秩序和公共利益或

者個人信息主體、公共管理和服務機構(gòu)合法權(quán)益造成的損害程度，對數(shù)據(jù)分級。

6.2確定定級對象

數(shù)據(jù)定級對象應包括數(shù)據(jù)庫和數(shù)據(jù)子類，也可為數(shù)據(jù)子類下的具體數(shù)據(jù)字段。數(shù)據(jù)定級對象分級方法

不適用于半結(jié)構(gòu)化及非結(jié)構(gòu)化數(shù)據(jù)。

6.3定級要素

數(shù)據(jù)定級對象的定級要素包括:

a）受侵害的客體；

b）對客體的侵害程度。

6.3.1受侵害的客體

數(shù)據(jù)定級對象受到破壞所侵害的客體包括以下三個方面:

a）個人信息主體及公共管理和服務機構(gòu)的合法權(quán)益；

b）社會秩序和公共利益；

c）國家安全。

6.3.2對客體的侵害程度

對客體的侵害程度應根據(jù)數(shù)據(jù)定級對象遭受篡改、破壞、泄露或者被非法獲取、非法利用時，涉及的

數(shù)據(jù)類型、數(shù)據(jù)量、數(shù)據(jù)影響面綜合判定。對客體造成的侵害程度歸結(jié)為以下四種：

a）無損害；

b）一般損害；

c）嚴重損害；

d）特別嚴重損害。

6.4定級要素與等級關系

應對業(yè)務系統(tǒng)的數(shù)據(jù)庫、數(shù)據(jù)子類或數(shù)據(jù)字段分別定級；針對業(yè)務系統(tǒng)的數(shù)據(jù)庫，按照GB/T22240—2020

中4.3規(guī)定的定級要素及安全保護等級的關系，以及6.1規(guī)定的業(yè)務信息安全定級方法，參照表1定級，形成

業(yè)務系統(tǒng)數(shù)據(jù)庫清單，相關示例見表A.1;數(shù)據(jù)子類或數(shù)據(jù)字段定級要素與等級關系應符合附錄B的規(guī)定。

4

DB4403∕T271—2022

表1數(shù)據(jù)庫定級要素與安全等級關系

對客體的侵害程度

受侵害的客體

一般損害嚴重損害特別嚴重損害

個人信息主體及公共管理和服務機構(gòu)的合法權(quán)益第一級第二級第二級

社會秩序和公共利益第二級第三級第四級

國家安全第三級第四級第五級

6.5定級步驟

數(shù)據(jù)對象定級步驟依據(jù)圖2。

圖2數(shù)據(jù)對象定級步驟

6.6級別變更

數(shù)據(jù)處理活動過程中，數(shù)據(jù)級別發(fā)生變更的，應及時對變更后數(shù)據(jù)重新級別判定，數(shù)據(jù)級別可能發(fā)生變更的

場景包括但不限于數(shù)據(jù)匯聚融合、加工、脫敏、超過時效等。

6.7級別要求

當不同級別的數(shù)據(jù)同時被處理且無法精細化管控時，應"就高不就低”，按照數(shù)據(jù)對象安全等級最高的要

求實施保護。數(shù)據(jù)庫安全等級與其安全要求的對應關系見表2,數(shù)據(jù)子類或數(shù)據(jù)字段安全等級與其安全

要求的對應關系應符合附錄B的規(guī)定。

5

DB4403∕T271—2022

表2數(shù)據(jù)庫安全等級與安全要求關系

數(shù)據(jù)庫安全等級安全要求

第一級基本安全要求

第二級基本安全要求

第三級基本安全要求、三級增強安全要求

第四級基本安全要求、三級增強安全要求、四級增強安全要求

第五級第五級為非常重要的監(jiān)督管理對象，其安全要求不在本文件描述

7通用管理安全要求

7.1總體數(shù)據(jù)安全策略

7.1.1基本安全要求

應明確數(shù)據(jù)安全管理的策略，包括管理目標、原則、要求等內(nèi)容，制定或修訂完善總體安全管理框架，公

共數(shù)據(jù)安全管理應作為重點內(nèi)容，納入總體安全管理范疇。

7.1.2三級增強安全要求

應定期對數(shù)據(jù)安全策略的合理性及適用性進行論證和審定，動態(tài)調(diào)整。

7.1.3四級增強安全要求

四級無增強安全要求。

7.2數(shù)據(jù)安全管理機構(gòu)與人員

7.2.1基本安全要求

7.2.1.1機構(gòu)管理

機構(gòu)管理包括如下要求：

a）應設立數(shù)據(jù)安全管理機構(gòu)，明確數(shù)據(jù)安全責任人，落實數(shù)據(jù)安全保護責任；

b）應按照相關法律、法規(guī)、規(guī)章的要求編制公共數(shù)據(jù)資源目錄，加強數(shù)據(jù)安全保護；

c）數(shù)據(jù)安全責任人履行職責包括但不限于：

D組織制定數(shù)據(jù)保護計劃并落實；

2）組織開展數(shù)據(jù)安全影響分析和風險評估，督促整改安全隱患；

3）組織按要求向有關部門報告數(shù)據(jù)安全保護和事件處置情況；

4）組織受理并處理數(shù)據(jù)安全投訴和舉報事項等。

6

DB4403∕T271—2022

d）數(shù)據(jù)安全管理機構(gòu)應明確數(shù)據(jù)管理員、數(shù)據(jù)安全管理員、數(shù)據(jù)安全審計員等崗位職責，落實崗

位人員，保障數(shù)據(jù)安全管理與審計工作開展。相關崗位職責應包括：

1）數(shù)據(jù)管理員負責數(shù)據(jù)存儲、數(shù)據(jù)權(quán)限分配、數(shù)據(jù)資產(chǎn)梳理等；

2）數(shù)據(jù)安全管理員負責數(shù)據(jù)權(quán)限審批、數(shù)據(jù)分類分級、數(shù)據(jù)安全風險檢測與評估、數(shù)據(jù)安全事件應

急響應處置、教育培訓等，可由安全管理員兼任；

3）數(shù)據(jù)安全審計員負責數(shù)據(jù)安全審計等。

e）處理個人信息達到國家網(wǎng)信部門規(guī)定數(shù)量的，應指定個人信息保護負責人，負責對個人信息處理

活動以及采取的保護措施等進行監(jiān)督，并公開個人信息保護負責人聯(lián)系方式，將個人信息保護負

責人的姓名、聯(lián)系方式等報送履行個人信息保護職責部門；

f）應針對數(shù)據(jù)類別級別變更、數(shù)據(jù)權(quán)限變更、重大數(shù)據(jù)操作及外部系統(tǒng)接入等事項建立審批程序，

按照審批程序執(zhí)行審批過程；

g）涉及數(shù)據(jù)合作方的機構(gòu)，應與數(shù)據(jù)合作方簽訂合作協(xié)議及數(shù)據(jù)安全保密協(xié)議，明確雙方數(shù)據(jù)安全

保密責任與義務，宜定期審核數(shù)據(jù)合作方資質(zhì)背景、數(shù)據(jù)安全保障能力等，并組織動態(tài)合規(guī)評估。

7.2.1.2人員管理

人員管理包括如下要求：

a）應加強人員管理，明確規(guī)定人員錄用、人員培訓、人員考核、保密協(xié)議、離崗離職、外部人員管

理等方面管理要求并嚴格落實；

b）應與內(nèi)部數(shù)據(jù)崗位人員、數(shù)據(jù)合作方人員簽訂保密協(xié)議，明確數(shù)據(jù)訪問范圍、操作權(quán)限、人員調(diào)離

崗保密要求、保密期限、違約責任等，有效約束操作行為；

c）應制定數(shù)據(jù)安全培訓計劃，定期組織數(shù)據(jù)安全培訓工作，每年至少一次；針對機構(gòu)全員，培訓內(nèi)

容包括但不限于數(shù)據(jù)安全意識、法律法規(guī)等；針對數(shù)據(jù)崗位人員，培訓內(nèi)容包括但不限于標準規(guī)范、技

能培訓、應急響應、應急演練等，留存培訓記錄；

d）宜組織數(shù)據(jù)崗位人員考取相關資質(zhì)證書，持證上崗。

7.2.2三級增強安全要求

7.2.2.1機構(gòu)管理

機構(gòu)管理包括如下要求：

a）應針對重大數(shù)據(jù)處理活動建立逐級審批機制；

b）應定期審查審批事項，及時更新需授權(quán)和審批的項目、審批部門和審批人等信息。

7.2.2.2人員管理

人員管理包括如下要求：

a）應配備專職安全管理員承擔數(shù)據(jù)安全管理員工作；

b）應針對不同數(shù)據(jù)崗位制定不同的培訓計劃，對數(shù)據(jù)安全基礎知識、崗位操作規(guī)程等進行培訓；

c）應定期對不同數(shù)據(jù)崗位人員進行技能考核。

7.2.3四級增強安全要求

7.2.3.1機構(gòu)管理

四級無增強安全要求。

7

DB4403∕T271—2022

7.2.3.2人員管理

人員管理包括如下要求：

a）關鍵事務崗位應配備多人共同管理；

b）應從內(nèi)部人員中選拔從事關鍵數(shù)據(jù)崗位的人員。

7.3數(shù)據(jù)安全管理制度體系

7.3.1基本安全要求

數(shù)據(jù)安全管理制度體系包括如下要求：

a）應指定專門的部門或授權(quán)數(shù)據(jù)安全管理機構(gòu)負責數(shù)據(jù)安全管理制度的制定；

b）應建立健全數(shù)據(jù)安全保護制度體系，制度體系內(nèi)容包括但不限于數(shù)據(jù)安全政策、組織機構(gòu)與人員管

理、數(shù)據(jù)分類分級、數(shù)據(jù)安全評估、數(shù)據(jù)安全風險監(jiān)測、數(shù)據(jù)訪問權(quán)限管控、數(shù)據(jù)安全應急與處置、數(shù)

據(jù)安全審計、數(shù)據(jù)活動安全管理要求（包括數(shù)據(jù)收集、存儲、傳輸、使用、加工、開放共享、交易、

出境、銷毀等）、數(shù)據(jù)安全教育培訓、數(shù)據(jù)合作方管理、個人信息安全保護等；

c）提供重要互聯(lián)網(wǎng)平臺服務、用戶數(shù)量巨大、業(yè)務類型復雜的個人信息處理者，應按照國家規(guī)定建立

健全個人信息保護合規(guī)制度體系，成立主要由外部成員組成的獨立機構(gòu)對個人信息保護情況進行監(jiān)督；

d）應建立投訴、舉報受理處置制度，收到通過其平臺編造、傳播虛假信息，發(fā)布侵害他人名譽、隱私、知

識產(chǎn)權(quán)和其他合法權(quán)益信息，以及假冒、仿冒、盜用他人名義發(fā)布信息的投訴、舉報，自接受投訴

舉報起，受理時間不超過3天，受理后進行調(diào)查取證，一經(jīng)查實，應依法采取停止傳輸、消除等處置

措施；

e）應建立個人信息主體保護權(quán)利的渠道和機制，及時響應個人信息主體查閱、復制、更正、刪除其個人

信息及注銷賬號的請求，按照GB/T35273-2020中8.7規(guī)定的要求響應個人信息主體的請求，不應

對請求設置不合理條件；

f）應通過正式、有效的方式發(fā)布數(shù)據(jù)安全管理制度，并進行版本控制；

g）應定期對數(shù)據(jù)安全管理制度的合理性和適用性進行論證和審定，對存在不足或需要改進的安全管理

制度進行修訂。

7.3.2三級增強安全要求

應形成由安全策略、管理制度、操作規(guī)程、記錄表單等構(gòu)成的全面的數(shù)據(jù)安全管理制度體系。

7.3.3四級增強安全要求

四級無增強安全要求。

8通用技術(shù)安全要求

8.1數(shù)據(jù)分類分級保護

8.1.1基本安全要求

數(shù)據(jù)分類分級保護包括如下要求：

a）應結(jié)合數(shù)據(jù)資產(chǎn)識別技術(shù)手段，梳理數(shù)據(jù)資產(chǎn)，并明確數(shù)據(jù)資產(chǎn)類型、數(shù)據(jù)量、存儲位置、數(shù)據(jù)關

聯(lián)系統(tǒng)、數(shù)據(jù)共享情況、數(shù)據(jù)出境情況等；

8

DB4403∕T271—2022

b）應明確數(shù)據(jù)分類標準，依據(jù)數(shù)據(jù)資源屬性特征，將數(shù)據(jù)合理劃分類別，形成數(shù)據(jù)資源分類目錄，

相關示例見附錄C;

c）應明確數(shù)據(jù)對象安全等級，依據(jù)數(shù)據(jù)一旦遭到篡改、破壞、泄露或者非法獲取、非法利用時，對國

家安全、社會秩序和公共利益或者個人信息主體、公共管理和服務機構(gòu)合法權(quán)益造成的侵害程度確

定安全等級，常見個人信息分類分級相關示例見附錄D;

d）應在數(shù)據(jù)分類分級基礎上，形成數(shù)據(jù)資產(chǎn)清單，相關示例見附錄A,落實不同數(shù)據(jù)安全等級差

異化防護措施要求；數(shù)據(jù)庫安全等級差異化防護要求依據(jù)本文件第7至9章落實執(zhí)行，數(shù)據(jù)子類

或數(shù)據(jù)字段安全等級差異化防護措施應符合附錄B的規(guī)定；

e）應定期評審數(shù)據(jù)對象的類別和級別，如需變更數(shù)據(jù)所屬類型或級別，應依據(jù)變更審批流程執(zhí)行變

更。

8.1.2三級增強安全要求

應采取數(shù)據(jù)安全防護措施，對重要數(shù)據(jù)和敏感個人信息進行重點保護。

8.1.3四級增強安全要求

應建立數(shù)據(jù)資產(chǎn)識別技術(shù)能力，對數(shù)據(jù)對象進行標記與跟蹤，構(gòu)建數(shù)據(jù)血緣關系。

8.2數(shù)據(jù)安全評估

8.2.1基本安全要求

數(shù)據(jù)安全評估包括如下要求：

a）應結(jié)合自身數(shù)據(jù)安全要求，制定數(shù)據(jù)安全風險評估方法，明確風險評估目的、范圍、依據(jù)、評估流

程、評估頻率、實施評估、綜合評估分析等內(nèi)容；

b）在出現(xiàn)法律法規(guī)重大更改或增刪、業(yè)務活動發(fā)生重大變化、數(shù)據(jù)資產(chǎn)發(fā)生重大變化、發(fā)生重大數(shù)據(jù)

安全事件、數(shù)據(jù)安全管理方針發(fā)生變化等重大情況變化時應進行局部或全面數(shù)據(jù)安全風險評估，

形成數(shù)據(jù)安全風險評估報告；

c）涉及國家、行業(yè)存在數(shù)據(jù)安全合規(guī)監(jiān)管要求的機構(gòu)，應定期開展數(shù)據(jù)安全合規(guī)性評估，并向有關主

管部門報送合規(guī)性評估報告；

d）涉及敏感個人信息處理、個人信息自動化決策、委托處理、他人提供（含境外）、公開、其他對

個人權(quán)益有重大影響的個人信息處理活動等，應事先開展個人信息保護影響評估，評估記錄至少

保存三年。

8.2.2三級增強安全要求

應定期開展數(shù)據(jù)安全自評估工作，涉及處理敏感個人信息及國家規(guī)定的重要數(shù)據(jù)的機構(gòu)，應按照有關

規(guī)定定期開展風險評估，并向有關主管部門報送風險評估報告，風險評估報告應包括處理的重要數(shù)據(jù)種類、

數(shù)量，開展數(shù)據(jù)處理活動的情況，面臨的數(shù)據(jù)安全風險以其應對措施等。

8.2.3四級增強安全要求

四級無增強安全要求。

8.3數(shù)據(jù)安全風險監(jiān)測

8.3.1基本安全要求

數(shù)據(jù)安全風險監(jiān)測包括如下要求：

9

DB4403