公共数据安全评估规范

ICS35.240.01 CCSL67 DB4403 深圳市地方标准 DB4403/TXXXXX—XXXX 公共数据安全评估规范 Assessmentspecificationofcommondatasecurity 送审稿 2023-XX-XX发布2023-XX-XX实施 深圳市市场监督管理局发布 目次 前言III 1范围1 2规范性引用文件1 3术语和定义1 4缩略语2 5概述2 5.1评估原则2 5.2评估职责2 5.3安全能力评估维度3 5.4评估体系3 5.5评估方法3 5.6评估适用情形4 5.7评估对象和评估指标说明4 5.8评估流程5 6通用管理安全评估5 6.1总体数据安全策略5 6.2数据安全管理机构与人员6 6.3数据安全管理制度体系11 7通用技术安全评估13 7.1数据分类分级保护13 7.2数据安全评估15 7.3数据安全风险监测17 7.4数据安全管控19 7.5数据安全应急处置23 7.6数据安全审计25 8数据处理活动安全评估27 8.1数据收集27 8.2数据存储29 8.3数据传输32 8.4数据使用34 8.5数据加工37 8.6数据开放共享40 8.7数据交易42 8.8数据出境42 8.9数据销毁与删除44 9整体评估46 9.1概述46 9.2评估子项间评估46 9.3例外情况评估46 10评估结论47 10.1安全风险分析和评价47 10.2评估结论判定47 附录A（资料性）公共数据安全评估评分细则48 附录B（资料性）高风险项判例72 附录C（资料性）常见威胁列表75 附录D（资料性）公共数据安全评估报告模板78 附录E（资料性）公共数据安全评估案例81 参考文献87 前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。 本文件由深圳市政务服务数据管理局提出并归口。 本文件起草单位：深圳市信息安全管理中心、全知科技（杭州）有限责任公司、鹏城实验室、中国电子标准化研究院、金砖国家未来网络研究院中国分院、深圳市智慧城市科技发展集团有限公司、深圳国家金融科技测评中心有限公司、深圳赛西信息技术有限公司、蚂蚁科技集团股份有限公司、华为技术有限公司。 本文件主要起草人：李苏、董安波、罗菁春、林宇群、穆端端、赵剑、轩豪男、潘志斌、方兴、周顿科、魏凤玲、李佳雯、董亮、包亚鹏、林生锐、束建钢、何延哲、林桢、刘慧洋、王志、罗丰、吴祖顺、白晓媛、昌文婷、常新苗。 公共数据安全评估规范 1范围 本文件规定了公共数据安全的总体概述、通用管理安全评估要求、通用技术安全评估要求、数据处理活动安全评估要求、整体评估与评估结论。 本文件适用于公共管理和服务机构数据安全能力的评估，也适用于处理大量个人信息的服务平台数据安全能力的评估，各级公共数据主管部门、公共管理和服务机构可参照执行。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T22239—2019信息安全技术网络安全等级保护基本要求GB/T35273—2020信息安全技术个人信息安全规范 GB/T37988—2019信息安全技术数据安全能力成熟度模型 GB/T39477—2020信息安全技术政务信息共享数据安全技术要求DB4403/T271—2022公共数据安全要求 3术语和定义 GB/T35273—2020、GB/T37988—2019、DB4403/T271-2022界定的以及下列术语和定义适用于本文件。 3.1 评估机构evaluationorganization 提供公共数据安全评估服务的机构，可为公共管理和服务机构本身、第三方数据安全服务机构或数据统筹监管部门。 3.2 被评估机构evaluatedorganization 在公共数据安全评估过程中，作为被评估角色的机构，主要为公共管理和服务机构，也可为处理大量个人信息的服务平台。 3.3 数据场景datascenario 为了达到特定业务目的而对数据进行处理和使用的场景，对场景下数据流向进行全链路分析，单个数据场景可能涉及多个机构及其业务系统。 3.4 主责机构mainresponsibleorganization 评估对象为数据场景时，主责机构指场景涉及主要系统的责任部门。 3.5 关联机构relatedresponsibleorganization 评估对象为数据场景时，关联机构指涉及场景相关处理活动的其他机构，如数据场景处理活动仅在主责机构内部，则不涉及关联机构。 4缩略语 下列缩略语适用于本文件： M：通用管理安全（GeneralManagementSecurity）T：通用技术安全（GeneralTechnologySecurity） P：数据处理活动安全（DataProcessingActivitySecurity）BR：基本安全要求（BasicSecurityRequirements） TR：三级增强要求（LevelThreeEnhancementRequirements）FR：四级增强要求（LevelFourEnhancementRequirements）DT：数据子类或字段（DataSubclassOrField） SDK：软件开发工具包（SoftwareDevelopmentKit）API：应用程序接口（ApplicationProgrammingInterface） 5概述 5.1评估原则 为规范公共数据安全评估工作，全面有效发现公共数据可能面临的各类安全风险，评估机构在评估过程中，应遵循下列原则，具体包括： a)公正客观原则——评估机构在整体评估过程中，对评估对象数据安全保障措施进行公平客观的判定，不应受机构性质、评估对象、评估时间、评估人员、利益关系等任何因素影响而损害评估的公正及客观性； b)最小影响原则——评估机构在评估过程中，对评估对象的网络、业务、数据流转等正常运行造成的影响应降低到最低，不因评估工作而导致业务连续性的中断； c)可控性原则——在评估过程中，评估机构应确保评估过程可管可控，使用的评估工具或技术手段，已经过实践验证，不存在安全隐患； d)全面性原则——评估机构在评估过程应全面覆盖评估要点，基于评估要点对评估对象涉及的资产（如制度类文档、数据资产、软硬件资产、人力资源等）、数据处理活动各环节进行评估； e)书面授权原则——评估机构所开展的评估工作，包括评估对象、评估范围、方法、时间等，应得到被评估机构的正式书面授权，严禁未经授权的评估行为； f)保密性原则——评估机构及评估人员在评估前应与被评估机构签订数据安全相关保密协议，明确保密责任、义务及争议条款，除法律要求或获得被评估机构同意外，评估人员在评估过程中获取的评估对象相关信息、过程文档等应严格保密，不得对外透露，以确保被评估机构的数据安全。 5.2评估职责 评估机构负责为被评估机构提供公共数据安全评估服务，在得到被评估机构书面授权及签署数据安全相关保密协议后，应遵循公正客观原则开展评估工作，评估过程应不对被评估机构公共数据运营活动造成影响；被评估机构应向评估机构提供公共数据安全评估过程所需资源，包括但不限于文档、人员、网络等。 5.3安全能力评估维度 评估机构对评估对象的数据安全能力进行评估，安全能力应分为以下4个维度： a)组织能力——主要考察数据安全组织架构及人员的设立、职责分工及沟通协作； b)制度能力——主要考察数据安全制度及流程建设完备性、可执行性、动态更新性； c)人员能力——主要考察人员数据安全建设专业能力、工作执行落地情况； d)技术能力——主要考察采取技术手段或自动化技术工具落实数据安全要求的能力。 5.4评估体系 评估机构采用文档查阅、人员访谈、技术检测、系统核验等评估方法，对评估对象涉及的资产、数据处理活动各环节的数据安全保障措施合规情况进行评估。评估流程包括组建评估团队、确定评估对象及评估范围、评估对象调研、组织评估实施及评估报告编制。评估涵盖通用管理安全要求、通用技术安全要求及数据处理活动安全要求三方面。针对不同的安全等级选取相对应的安全要求进行评估。框架结构如图1。 图1公共数据安全评估框架 注：评估对象涉及不同安全等级的数据类型且无法拆分评估时，依据评定的最高数据安全等级的安全要求开展评估，安全等级与安全要求的关系参见DB4403/T271-2022。 5.5评估方法 公共数据安全评估宜采取如下评估方法开展评估工作： a)文档查阅——评估人员通过查看数据安全评估相关材料，如数据安全管理制度、业务安全保障措施技术材料、制度落地执行记录表单等，辅助验证是否符合相关安全要求；被评估机构应提前准备相关文档以供评估人员查阅； b)人员访谈——评估人员与被评估机构相关人员进行交流、讨论、询问等，以初步验证数据安全要求的符合性，可结合其它评估方法，充分验证数据安全保障措施的有效性；此评估方法通常在评估前期调研、评估过程中使用，访谈人员范围包含数据安全管理机构人员以及承载业务系统运行的应用、系统、网络相关人员等； c)技术检测——评估人员对业务系统不同应用形态（如web应用、移动应用程序、小程序、公众号等）、系统、网络等进行技术测试，以验证是否符合数据处理活动技术安全要求；通过由评估人员事先准备测试工具（如流量监测工具、扫描工具、渗透测试工具等）、业务注册或使用被评估机构准备的测试账号等以完成技术测试； d)系统核验——由被评估机构人员根据评估人员的要求，上机核验被评估机构相关安全能力平台或业务数据处理活动各环节、数据操作日志记录等界面，此评估方法可直观验证数据安全保障措施是否有效，被评估机构人员安排相关人员进行现场演示，评估人员根据演示结果判断安全要求的符合性。 5.6评估适用情形 满足如下情形之一，应及时启动评估工作： a)承载公共数据的业务系统上线前； b)业务运营阶段，数据承载环境发生重大变更时，如数据处理技术模式变更、数据采集渠道变更、数据种类发生重大变化、批量数据共享对象变更、业务重大版本迭代、网络环境重大变更、数据存储系统升级改造、数据出境等； c)行业主管部门要求时； d)法律法规规定的其它情形。 5.7评估对象和评估指标说明 业务系统、数据场景均可作为评估对象。评估机构针对选取的评估对象，确定评估指标，开展评估工作，并编制形成评估报告。不同的评估对象适用于不同的评估指标，选取原则如下： a)业务系统； 1)对业务系统进行评估时，根据其安全等级选取本文件第6至8章节相对应安全要求的评估指标进行评估，判别依据为被评估机构数据安全组织架构、人员配备、制度流程，技术能力及与该业务系统相关的资产、已有安全保护措施等。 b)数据场景； 1)对数据场景进行评估时，单个数据场景可能涉及多个机构及其业务系统，应划分主责机构和关联机构； 2)主责机构指数据场景主要系统的管理者，对该场景下处理的数据负主要责任，关联机构指与数据场景有关联关系，涉及该场景下数据处理活动中单个或多个环节的机构，对其涉及到的环节负关联责任； 3)评估对象为数据场景时，主责机构和关联机构均需纳入评估范围，针对主责机构，应选取本文件第6至8章节的评估指标对其开展评估，针对关联机构，一个关联机构可能涉及该场景下单个或多个数据处理活动环节，应选取本文件第8章节中与该关联机构涉及数据处理活动环节所对应的评估指标开展评估。 5.8评估流程 公共数据安全的评估流程宜按照以下步骤进行： a)组建评估团队； 数据安全评估前，应组建数据安全评估团队，评估团队宜包含评估机构评估人员、被评估机构数据安全管理机构人员，评估过程中涉及的人员包含评估对象相关的业务运营运维部门、业务开发测试部门、数据合作方等人员，评估机构的评估人员应具备数据安全评估能力，确保评估结果的有效性。 b)确定评估对象； 参见本文件5.7明确