政务数据安全建设指南

编 制 委 员 会章恒（国家信息中心）李万仓（国家信息中心）曹志源边英杰武鹏江虎林邵萌 包弋钟丽玲张春旺范彦军朱彦姜洪伟何应钦张凯程廖勇肖权柄 指导单位国家信息中心编制单位华为技术有限公司参与编制部门•政务一网通军团•华为云计算•中国区网络安全与隐私保护办公室•企业BG行业ICT解决方案开发管理部•企业BG网络安全与隐私保护办公室•数通产品线•数据存储产品线•2012安全与隐私保护技术实验室•计算产品线顾 问杨瑞凯王生牛专家指导组陈金助王彬袁燕龙张瑞编制组娄伟峰屈非罗文晋张子程张浩陈勇孙梦龙 李加赞左文树尚海峰胡玉海黄敏郑雪高磊王峰 解明泰王仲刚梁冰 周倩马烨樊洪力何平胡凯刘佳 近年来，伴随着信息化技术的迅速发展和应用，政府部门越来越多利用信息通信技术和服务承载其政务门户网站、政务业务应用系统和政务数据，以实现政务信息资源的集中管理、数据共享与交换和安全保障，提升政务服务效率和质量，促进政府治理能力和水平的提升。由云计算、大数据等新型信息化技术发展带来的政务高效运转在关系民众切身福祉的政务业务中发挥着不可或缺的作用。但数字化时代也是网络安全事件频发的时代，政府数字化安全关系民生，加快推动的政务数据安全建设势在必行。当前，国家不断通过法律法规及相关政策的出台，持续推动政务数据安全的建设，各级政府对政务数据的安全要求也更为重视。因此，建设安全可信的政务安全体系是政务领域发展的重要方向，政务数据安全更是数字政府建设的重中之重。构建安全可信的政务解决方案是政府行业数字化发展的必然趋势，解决方案的安全性是数字政府有序建设和健康发展的关键。为了将华为对政务数据安全的思考与建设经验分享给业界，华为特推出《政务数据安全建设指南》（简称“指南”），向业界推广华为在政务领域的安全实践经验，以求相互了解与借鉴，共同推动政务数据安全本白皮书面向政务行业的广大读者群，致力于帮助政务行业客户了解政务数据的必然趋势，同时提供数据安全建设及运营的指导，辅助政府客户创造一个高效、安全的数据环境。前 言 的开放发展。 3.1. 政务数据特征3.2. 政务数据通用框架040610背景政务数据安全相关法律法规及标准政务数据特征及通用场景10115.1. 政务数据安全总体设计思路5.2. 政务数据安全建设框架1314政务数据安全风险政务数据安全体系框架14156.1. 业务场景6.2. 安全需求6.3. 建设方案6.4. 方案价值18政务数据交易共享安全181819227.1. 业务场景7.2. 安全需求7.3. 建设方案7.4. 方案价值23政务数据回流安全防护23232425 01030205040607 8.1 业务场景8.2 安全需求8.3 建设方案8.4 方案价值2608政务数据交易流通安全262627319.1 业务场景9.2 安全需求9.3 建设方案9.4 方案价值3209政务数据合作方使用安全管控3232323310.1 业务场景10.2 安全需求10.3 建设方案10.4 方案价值3410政务数据访问安全3434323611.1 业务场景11.2 安全需求11.3 建设方案3711政务数据防勒索37373712.1 业务场景12.2 安全需求12.3 建设方案12.4 方案价值4312政务数据安全运营4343434413.1 S市政务大数据安全应用案例13.2 S市政务大数据平台安全建设案例13.3 H市数据集团数据安全建设实践4513典型案例4547495514未来与展望 新一轮科技革命和产业变革正在全方位改变着社会生产生活。以5G、人工智能、大数据、云计算为代表的新技术飞速发展，一个以数据能力为基础，万物感知、万物互联、万物智能的数字经济时代正在加速到来。数据作为数字经济关键要素，实施数据战略、积累数据资源、保障数据安全、做大做强数据产业，已经成为世界各国共同的战略选择。我国数据基础制度建设的加快，为数据安全市场的培育和数字经济高质量发展打下坚实基础。数据要素被高度重视2020年04月10日，中央、国务院印发《关于构 建 更 加 完 善 的 要 素 市 场 化 配 置 体 制 机 制 的 意见》，《意见》将数据定义为与土地、劳动力、资本、技术并列的第五大生产要素，这是第一次提出数据作为数字化时代的一种新型的生产要素。近年来党中央高度重视数字化发展，明确提出数字中国战略，加强数据要素价值释放。2020年3月，中共中央、国务院印发《关于构建更加完善的要素市场化配置体制机制的意见》，提出要加快培育数据要素市场，促进数据要素价值释放。2022年12月9日，中共中央、国务院发布了《关于构建数据基础制度更好发挥数据要素作用的意见》（简称《数据二十条》），提出加快推动数据产权制度、数据流通和交易制度、数据收益分配制度、数据要素治理制度四大基础制度建设。构建数据基础制度体系，是新时代我国改革开放事业持续向纵深推进的标志性、全局性、战略性举措，有利于充分发挥数据要素作用，赋能实体经济，推动高质量发展。同月，国务院印发《关于加强数字政府建设的指意见》， 背景 提出建立健全数据要素市场规则，完善数据要素治理体系。2023年2月，中共中央、国务院印发了《数字中国建设整体布局规划》，提出数字中国建设按照“2522”的整体框架进行布局。政务数据治理趋向一体化发展近年来，各地区各部门认真贯彻落实党中央、国务院决策部署，深入推进政务数据共享开放和平台建设，经过各方面共同努力，政务数据在调节经济运行、改进政务服务、优化营商环境等方面发挥了重要作用。但同时，政务数据体系仍存在统筹管理机制不健全、供需对接不顺畅、共享应用不充分、标准规范不统一、安全保障不完善等问题。因此国家要求构建标准统一、布局合理、管理协同、安全可靠的全国一体化政务大数据体系，加强数据汇聚融合、共享开放和开发利用，促进数据依法有序流动，充分发挥政务数据在提升政府履职能力、支撑数字政府建设以及推进国家治理体系和治理能力现代化中的重要作用。 在数据安全方面要求建立以“数据”为安全保障的核心要素的全国一体化政务大数据安全保障体系。用以强化安全主体责任，健全保障机制，完善数据安全防护和监测手段，加强数据流转全流程管理。数据安全监管日益加强近年来，我国高度重视数据安全工作，《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国密码法》《关键信息基础设施安全保护条例》《商用密码管理条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规相继颁布并实施。对于数据的安全防护要求日益完善。由于政务数据价值高、数据量大和高度敏感性，且数据资源体系复杂，在确保安全的前提下推进政务数据的有序高效的开放、流通和利用，成为政务数据安全的重要目标。 政策趋势：数字政府/政务建设文件中明确提出安全指导意见2022年6月，国务院发布了国发〔2022〕14号文件《国务院关于加强数字政府建设的指导意见》，该指导意见中针对数字政府的数据安全明确指出：“建立健全数据分类分级保护、风险评估、检测认证等制度，加强数据全生命周期安全管理和技术防护。加大对涉及国家秘密、工作秘密、商业秘密、个人隐私和个人信息等数据的保护力度，完善相应问责机制，依法加强重要数据出境安全管理。加强关键信息基础设施安全保护和网络安全等级保护，建立健全网络安全、保密监测预警和密码应用安全性评估的机制，定期开展网络安全、保密和密码应用检查，提升数字政府领域关键信息基础设施保护水平。”2022年10月，国务院办公厅印发《全国一体化政务大数据体系建设指南》，其中指出政务数据安全存在的主要问题：“政务数据安全保障能力亟 政务数据安全相关法律法规及标准需强化。《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》等法律法规出台后，亟需建立完善与政务数据安全配套的制度。数据全生命周期的安全管理机制不健全，数据安全技术防护能力亟待加强。缺乏专业化的数据安全运营团队，数据安全管理的规范化水平有待提升，在制度规范、技术防护、运行管理三个层面尚未形成数据安全保障的有机整体。”并提出了针对一体化政务大数据体系的“安全保障一体化”的主要任务，明确提出具体要求：“健全数据安全制度规范。贯彻落实《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规，明确数据分类分级、安全审查等具体制度和要求。明确数据安全主体责任，按照“谁管理、谁负责”和“谁使用、谁负责”的原则，厘清数据流转全流程中各方权利义务和法律责任。围绕数据全生命周期管理，以“人、数据、 场景”关联管理为核心，建立健全工作责任机制，制定政务数据访问权限控制、异常风险识别、安全风险处置、行为审计、数据安全销毁、指标评估等数据安全管理规范，开展内部数据安全检测与外部评估认证，促进数据安全管理规范有效实施。提升平台技术防护能力。加强数据安全常态化检测和技术防护，建立健全面向数据的信息安全技术保障体系。充分利用电子认证，数据加密存储、传输和应用手段，防止数据篡改，推进数据脱敏使用，加强重要数据保护，加强个人隐私、商业秘密信息保护，严格管控数据访问行为，实现过程全记录和精细化权限管理。建设数据安全态势感知平台，挖掘感知各类威胁事件，实现高危操作及时阻断，变被动防御为主动防御，提高风险防范能力，优化安全技术应用模式，提升安全防护监测水平。强化数据安全运行管理。完善数据安全运维运营保障机制，明确各方权责，加强数据安全风险信息的获取、分析、研判、预警。建立健全事前管审批、事中全留痕、事后可追溯的数据安全运行监管机制，加强数据使用申请合规性审查和白名单控制，优化态势感知规则和全流程记录手段，提高对数据异常使用行为的发现、溯源和处置能力，形成数据安全管理闭环，筑牢数据安全防线。加强政务系统建设安全管理，保障数据应用健康稳定运行，确保数据安全。”国家数据局党组书记、局长刘烈宏在北京数据基础制度先行区启动会议上的讲话中也提出：推动数据基础设施建设，让数据安全“动”起来。数据基础设施是让数据“供得出、流得动、用得好”的关键载体，让数据安全可信流通才能实现数据的高效利用。关注数据流通相关技术演进，希望北京市 充分发挥人才、技术等优势，积极推进隐私计算、数据空间等数据流通技术研发和集成应用，布局建设数据基础设施，为数据可信、高效流通的基础支撑。数据安全法律法规：为政务数据安全提出强制合规要求2021年颁布的《中华人民共和国数据安全法》（以下简称“《数据安全法》”），首次将数据安全全局决策统筹工作升格至中央国家安全领导机构，标志着我国将数据安全保护的政策要求，通过法律文本的形式进行了明确和强化，为中国数字经济的安全发展保驾护航，预示着我国数据开发与应用将全面进入法治化轨道。《数据安全法》第六条明确规定了数据安全保护工作相关部门的职责：“各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责。工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。公安机关、国家安全机关等依照本法和有关法律、行政法规的规定，在各自职责范围内承担数据安全监管职责。国家网信部门依照本法和有关法律、行政法规的规定，负责统筹协调网络数据安全和相关监管工作。”第二十二条明确提出了国家层面的数据安全的落实机制：“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。国家数据安全工作协调机制统筹协调有关部门加强数据安全风险信息的获取、分析、研判、预警工作。”基于政务数据的特殊性，在《数据安全法》 2021年11月，国家互联网信息办公室就《网络数据安全管理条例（征求意见稿）》公开征求意见。在该条例征求意见稿中针对政务数据明确提出：“第十六条 国家机关应当依照法律、行政法规的规定和国家标准的强制性要求，建立健全数据安全管理制度，落实数据安全保护责任，保障政务数据安全。”随着国家开始进行全国一体化政务大数据体系建设，各个省份也陆续推出政务数据相关的条例、管理办法或指南。例如广东省已出台《广