DB4403/T 455-2024 多功能智能杆 网络安全等级保护规范

ICS35.030

CCSL70

DB4403

深圳市地方标准

DB4403/T455—2024

多功能智能杆网络安全等级保护规范

Multifunctionalsmartpole—Specificationsfornetworksecuritylevel

protection

2024-06-14发布2024-07-01实施

深圳市市场监督管理局发布

DB4403/T455—2024

目次

前言..............................................................................III

1范围.............................................................................1

2规范性引用文件...................................................................1

3术语和定义.......................................................................1

4缩略语...........................................................................3

5基本要求.........................................................................4

5.1等级保护对象定级.............................................................4

5.2不同等级的安全保护能力.......................................................4

5.3安全通用要求.................................................................5

5.4安全扩展要求.................................................................5

5.5密码模块安全要求.............................................................5

6第一级安全要求...................................................................6

6.1安全通用要求.................................................................6

6.2管理平台安全要求.............................................................7

6.3移动互联安全要求.............................................................7

6.4挂载设备安全要求.............................................................8

6.5公共数据基本安全要求.........................................................8

7第二级安全要求..................................................................10

7.1安全通用要求................................................................10

7.2管理平台安全要求............................................................13

7.3移动互联安全要求............................................................15

7.4挂载设备安全要求............................................................16

7.5公共数据基本安全要求........................................................18

8第三级安全要求..................................................................18

8.1安全通用要求................................................................18

8.2管理平台安全要求............................................................23

8.3移动互联安全要求............................................................25

8.4挂载设备安全要求............................................................27

8.5公共数据基本安全要求........................................................29

8.6公共数据三级增强安全要求....................................................29

9第四级安全要求..................................................................31

9.1安全通用要求................................................................31

9.2管理平台安全要求............................................................36

9.3移动互联安全要求............................................................40

9.4挂载设备安全要求............................................................42

9.5公共数据基本安全要求........................................................45

I

DB4403/T455—2024

9.6公共数据四级增强安全要求....................................................45

附录A（规范性）安全要求的选择和使用..............................................48

A.1保护对象的差异..............................................................48

A.2定级结果的组合..............................................................48

A.3保护措施的选择..............................................................48

A.4安全要求的标识..............................................................49

A.5安全要求的选择..............................................................50

A.6安全要求的调整和补充........................................................51

附录B（规范性）等级保护对象整体安全保护能力的要求................................53

B.1总体要求....................................................................53

B.2安全措施要求................................................................53

附录C（规范性）等级保护安全框架和关键技术使用要求................................55

C.1总体要求....................................................................55

C.2工作内容要求................................................................55

C.3等级保护安全要求............................................................55

C.4关键技术使用要求............................................................56

附录D（规范性）管理平台应用要求..................................................58

D.1不同管理平台的服务模式架构图................................................58

D.2不同服务模式下管理平台的组成................................................58

D.3安全管理责任................................................................59

附录E（规范性）移动互联应用场景要求..............................................61

E.1移动互联应用场景架构........................................................61

E.2移动互联应用场景安全扩展要求................................................61

附录F（规范性）挂载设备应用场景要求..............................................62

F.1多功能智能杆应用场景........................................................62

F.2多功能智能杆部件组成........................................................62

F.3管理平台架构................................................................63

F.4挂载服务....................................................................63

附录G（规范性）密码模块安全技术要求..............................................65

G.1安全一级....................................................................65

G.2安全二级....................................................................65

G.3安全三级....................................................................65

G.4安全四级....................................................................66

附录H（规范性）可信验证要求......................................................67

H.1功能框架....................................................................67

H.2可信验证硬件改造示例........................................................67

参考文献...........................................................................69

II

DB4403/T455—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规

定起草。

本文件由深圳市工业和信息化局提出并归口。

本文件起草单位：深圳市脉山龙信息技术股份有限公司、深圳市洲明科技股份有限公司、深圳

市信息基础设施投资发展有限公司、北京天融信网络安全技术有限公司、金砖国家未来网络研究院

(中国·深圳)、深圳大学、深圳市水务科技发展有限公司、深圳市博通智能技术有限公司、深圳市

新一代信息技术行业协会、信软测评认证（深圳）集团有限公司。

本文件主要起草人：李海燕、陈铎航、王玉、林奕康、陈政浩、汪书福、林洺锋、陈晓宁、张

帆、黄永衡、陈挺、许亚萍、江魁、曾庆彬、周灵军、马龙彪、王先峰、徐笔东、张超、宋建民、

陈希、肖华、张勇、杨彪。

III

DB4403/T455—2024

多功能智能杆网络安全等级保护规范

1范围

本文件规定了多功能智能杆的网络安全等级保护的基本要求、第一级安全要求、第二级安全要

求、第三级安全要求和第四级安全要求。

本文件适用于多功能智能杆非涉密对象的网络安全等级的建设和运营管理。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用

文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）

适用于本文件。

GB/T20269—2006信息安全技术信息系统安全管理要求

GB/T22239—2019信息安全技术网络安全等级保护基本要求

GB/T28181公共安全视频监控联网系统信息传输、交换、控制技术要求

GB/T35273—2020信息安全技术个人信息安全规范

GB/T37025—2018信息安全技术物联网数据传输安全技术要求

GB/T37092信息安全技术密码模块安全要求

GB/T37932—2019信息安全技术数据交易服务安全要求

GB/T39477—2020信息安全技术政务信息共享数据安全技术要求

GB/T39786—2021信息安全技术信息系统密码应用基本要求

GA/T1049.3—2013公安交通集成指挥平台通信协议第3部分：交通视频监视系统

GA/T1400.4—2017公安视频图像信息应用系统第4部分：接口协议要求

DB4403/T271—2022公共数据安全要求

3术语和定义

下列术语和定义适用于本文件。

3.1

多功能智能杆multifunctionalsmartpole

通过挂载各类设备提供智能照明、移动通信、城市监测、交通管理、信息交互和城市公共服务

等多种功能，并可通过管理平台进行远程监测、控制、管理、校时、发布信息的杆。

注：多功能智能杆又称智慧杆、智能杆。

[来源：DB4403/T30—2019，3.1.1，有修改]

3.2

多功能智能杆系统网络networkofmultifunctionalsmartpolesystem

集智能照明、视频采集、移动通信、交通管理、环境监测、气象监测、无线电监测、应急求助

和信息交互等诸多功能于一体的复合型公共基础设施网络。

注：多功能智能杆系统网络由多个模块组成，包括杆体、基础地笼、横臂、设备仓和智能门锁等，这些模块能

1

DB4403/T455—2024

够挂载并集成多种设备，如语音视频监控设备、无线基站、WiFi、户外多媒体屏幕、新能源汽车充电桩以

及各种传感器等。这些设备能够持续产生或接收信息流，通过系统网络的连接和协调，实现各种智能化功

能，是未来构建新型智慧城市全面感知网络的重要载体。

3.3

安全保护能力securityprotectionability

能够抵御威胁、发现安全事件以及在遭到损害后能够恢复先前状态等的程度。

[来源：GB/T22239—2019，3.2]

3.4

管理平台managementplatform

根据多功能智能杆应用场景和数据业务以及安全要求的不同，对各挂载设备业务进行汇聚和分

配、远程集中管理、控制、运行监测、数据分析、查询和定位，实现统一管理和运维，保障设备安

全运行的系统。

注：管理平台包括服务器、操作系统、网络、软件、应用和存储设备等。

3.5

平台服务商platformserviceprovider

多功能智能杆管理平台（3.4）的供应方。

3.6

平台服务客户platformservicecustomer

为使用管理平台（3.4）服务同平台服务商（3.5）建立业务关系的参与方。

3.7

宿主机hostmachine

运行虚拟机监视器的物理服务器。

[来源：GB/T22239—2019，3.8]

3.8

移动互联mobilecommunication

采用无线通信技术将移动终端（3.9）接入有线网络的过程。

[来源：GB/T22239—2019，3.9]

3.9

移动终端mobiledevice

在移动业务中使用的终端设备。

注：包括智能手机、平板电脑、个人电脑等通用终端和专用终端设备。

[来源：GB/T22239—2019，3.10，有修改]

3.10

无线接入设备wirelessaccessdevice

采用无线通信技术将移动终端（3.9）接入有线网络的通信设备。

[来源：GB/T22239—2019，3.11]

3.11

移动应用软件mobileapplication

针对移动终端（3.9）开发的应用软件。

[来源：GB/T22239—2019，3.13]

3.12

等级保护对象targetofcIassifiedprotection

多功能智能杆网络安全等级保护工作直接作用的对象。

2

DB4403/T455—2024

注：主要包括多功能智能杆、挂载设备、边缘控制器、信息系统、网络设施和数据资源。

3.13

外部网络externaInetwork

多功能智能杆系统网络（3.2）中等级保护对象之外的网络。

3.14

公共数据commondata

公共管理和服务机构及处理大量个人信息的服务平台在依法履行公共管理职责或者提供公共服

务过程中产生、处理的数据。

[来源：DB4403/T271—2022，3.1]

3.15

敏感数据sensitivedata

被不当处理或泄露将对个人、组织或社会造成严重危害的数据。

注：包括个人身份信息、健康信息、金融信息、交易记录、公司机密和国家机密等。

3.16

数据安全datasecurity

通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。

[来源：DB4403/T271—2022，3.2]

3.17

挂载设备mountingequipment

挂载在多功能智能杆（3.1）上，对物体或环境进行信息采集和/或执行操作，或能联网进行通

信的装置。

3.18

边缘控制器edgecontroller

将挂载设备（3.17）所采集的数据进行汇总、适当处理或数据融合，并进行转发通信的装置。

3.19

密码模块cryptographicmodule

能完成密码运算功能并提供调用接口，相对独立的软件或硬件装置。

4缩略语

下列缩略语适用于本文件。

AP：无线访问接入点（WirelessAccessPoint）

BIOS：基本输入输出系统（BasicInputOutputSystem）

COM：串行通讯端口（ClusterCommunicationPort）

CPU：中央处理器（CentralProcessingUnit）

DDoS：分布式拒绝服务（DistributedDenialofService）

HTTPS：超文本安全传输协议（HyperTextTransferProtocoloverSecureSocketLayer）

IaaS:基础设施即服务（InfrastructureasaService）

IP：互联网协议（InternetProtocol）

IPv4：互联网协议第4版（InternetProtocolVersion4）

IPv6：互联网协议第6版（InternetProtocolVersion6）

PaaS：平台即服务（PlatformasaService）

RJ45：双绞线电缆连接的物理接口（RegisteredJack-Type45）

3

DB4403/T455—2024

SaaS：软件即服务（SoftwareasaService）

SPI：串行外设接口（SerialPeripheralInterface）

SSH：安全外壳（SecureShell）

SSID：服务集标识（ServiceSetIdentifier）

TCB：可信计算基（TrustedComputingBase）

TCP：传输控制协议（TransmissionControlProtocol）

TPCM：可信平台控制模块（TrustedPlatformControlModule）

UDP：用户数据报协议（UserDatagramProtocol）

VPN：虚拟专用网络（VirtualPrivateNetwork）

WEP：有线等效加密（WiredEquivalentPrivacy）

WPS：WiFi保护设置（WiFiProtectedSetup）

5基本要求

5.1等级保护对象定级

5.1.1等级保护对象应根据其在国家安全、经济建设、社会生活中的重要程度，遭到破坏后对国家

安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的危害程度等，由低到高被划分

为四个安全保护等级。

5.1.2四个安全保护等级应按下列要求进行划分：

a)第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，

但不危害国家安全、社会秩序和公共利益；

b)第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重

损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全；

c)第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家

安全造成危害；

d)第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对

国家安全造成严重危害。

5.2不同等级的安全保护能力

5.2.1第一级安全保护能力：应能够防护来自个人的、拥有很少资源的威胁源发起的恶意攻击、一

般的自然灾难，以及其他相当危害程度的威胁所造成的关键资源损害，在自身遭到损害后，能够恢

复部分功能。

5.2.2第二级安全保护能力：应能够防护来自外部小型组织的、拥有少量资源的威胁源发起的恶意

攻击、一般的自然灾难，以及其他相当危害程度的威胁所造成的重要资源损害，能够发现重要的安

全漏洞和处置安全事件，在自身遭到损害后，能够在一段时间内恢复部分功能。

5.2.3第三级安全保护能力：应能够在统一安全策略下防护来自外部有组织的团体、拥有较为丰富

资源的威胁源发起的恶意攻击、较为严重的自然灾难，以及其他相当危害程度的威胁所造成的主要

资源损害，能够及时发现、监测攻击行为和处置安全事件，在自身遭到损害后，能够较快恢复绝大

部分功能。

5.2.4第四级安全保护能力：应能够在统一安全策略下防护来自国家级别的、敌对组织的、拥有丰

富资源的威胁源发起的恶意攻击、严重的自然灾难，以及其他相当危害程度的威胁所造成的资源损

害，能够及时发现、监测发现攻击行为和安全事件，在自身遭到损害后，能够迅速恢复所有功能。

4

DB4403/T455—2024

5.3安全通用要求

5.3.1由于多功能智能杆实现业务目标的不同、使用技术的不同、应用场景的不同等多种因素，不

同的等级保护对象应包括基础信息网络、信息系统（包含采用移动互联等技术的系统）、管理平台、

大数据系统等。

5.3.2安全通用要求应针对共性化保护需求提出，分为技术要求和管理要求；技术要求应包括安全

物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等；管理要求应包括安全

管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理和风险控制等，并应符合

GB/T20269—2006中4.1、4.2、5.1、5.2和5.3的要求。

5.3.3安全通用要求的选择和使用应符合附录A的规定，等级保护对象整体安全保护能力的要求应

符合附录B的规定，等级保护安全框架和关键技术使用要求应符合附录C的规定。

5.4安全扩展要求

5.4.1安全物理环境

多功能智能杆系统网络的安全物理环境应符合GB/T22239—2019中6.1.1的要求。

5.4.2管理平台应用场景要求

管理平台应用场景要求应符合附录D的规定。

5.4.3移动互联应用场景要求

移动互联应用场景要求应符合附录E的规定。

5.4.4挂载设备应用场景要求

挂载设备应用场景要求应符合附录F的规定。

5.4.5公共数据安全要求

承载公共数据的信息系统应符合DB4403/T271—2022中第7章和第8章的要求，并对信

息系统组织开展定级备案、等级测评、安全整改工作；数据处理过程涉及的密码技术应符合GB/T

39786—2021中第5章的要求。

公共数据安全的处理应包括数据收集、数据存储、数据传输、数据使用、数据加工、数据

开放共享、数据交易、数据出境、数据销毁和数据删除等过程。

公共数据安全等级与安全要求的关系应符合表1的规定。

表1公共数据安全等级与安全要求关系

安全等级安全要求

第一级基本安全要求

第二级基本安全要求

第三级基本安全要求、三级增强安全要求

第四级基本安全要求、四级增强安全要求

5.5密码模块安全要求

5.5.1密码模块安全等级应分为四个等级，分别为安全一级、安全二级、安全三级和安全四级，其

5

DB4403/T455—2024

中安全四级要求最高。

5.5.2不同等级的密码模块对应不同的安全需求和防护能力，应根据应用系统的安全需求和防护能

力选择密码模块安全等级。

5.5.3密码模块的设计、开发和检测应符合GB/T37092的要求。

5.5.4密码模块安全要求应符合附录G的规定。

6第一级安全要求

6.1安全通用要求

6.1.1安全通信网络

网络架构

网络架构要求如下：

a)网络设备（包括边缘控制器）的业务处理能力应满足业务高峰期需要；

b)网络各个部分的带宽应满足业务高峰期需要；

c)应配备与实际运行情况相符的网络拓扑架构。

通信传输

应采用校验技术使通信传输过程中的数据保持完整性。

可信验证

应基于可信根对通信设备的系统引导程序、系统程序等进行可信验证，并在检测到其可信性受

到破坏后进行报警。可信验证要求应符合附录H的规定。

6.1.2安全区域边界

边界防护

跨越边界的访问和数据流应通过边界设备提供的受控接口进行通信。

访问控制

访问控制要求如下：

a)应在网络边界根据访问控制策略设置访问控制规则，默认情况下受控接口拒绝所有通信；

b)应删除多余或无效的访问控制规则，优化访问控制列表，并使访问控制规则数量最小化；

c)应对源地址、目的地址、源端口、目的端口和协议等进行检查。

6.1.3安全计算环境

身份鉴别

身份鉴别要求如下：

a)应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，身份鉴别信息具有复杂度要

求并定期更换；

b)应启用登录失败处理功能，应配置并启用结束会话、限制非法登录次数和当登录连接超时

自动退出等相关措施。

6

DB4403/T455—2024

访问控制

访问控制要求如下：

a)应对登录的用户分配账户和权限；

b)应重命名或删除默认账户，修改默认账户的默认口令；

c)应根据不同等级要求定期（分为周、月、季、年）对账号进行检查；

d)应及时删除或停用多余的、过期的账户。

入侵防范

入侵防范要求如下：

a)应遵循最小安装的原则，仅安装需要的组件和应用程序；

b)应关闭不需要的系统服务、默认共享和高危端口。

恶意代码防范

应安装防恶意代码软件或配置具有相应功能的软件，并定期进行升级和更新防恶意代码库。

可信验证

应基于可信根对计算设备的系统引导程序、系统程序等进行可信验证，在检测到其可信性受到

破坏后进行报警。可信验证要求应符合附录H的规定。

数据完整性

应采用校验技术使重要数据在传输过程中保持完整性，包括但不限于调度信息、鉴别数据、重

要业务数据和重要个人信息。

数据备份恢复

应具备重要数据的本地数据备份与恢复功能，对于特别重要的数据，除本地备份外，应具备云

端或远程异地备份功能。

6.2管理平台安全要求

6.2.1安全通信网络

安全通信网络要求如下：

a)管理平台应承载高于其安全保护等级的业务应用系统；

b)应实现不同管理平台服务客户虚拟网络之间的隔离。

6.2.2安全区域边界

访问控制应在虚拟化网络边界部署访问控制机制，并设置访问控制规则。

6.2.3安全计算环境

安全计算环境要求如下：

a)当虚拟机迁移时，访问控制策略应随其迁移；

b)应支持管理平台为服务客户设置不同虚拟机之间的访问控制策略；

c)管理平台的服务客户数据、用户个人信息等应存储于中华人民共和国境内。

6.3移动互联安全要求

7

DB4403/T455—2024

6.3.1安全区域边界

边界防护

有线网络与无线网络边界之间的访问和数据流应通过无线接入安全网关设备。

访问控制

无线接入设备应开启接入认证功能，不应使用WEP方式进行认证；当使用口令时，口令由数字

和字母组成，口令长度不应小于8位字符。

6.3.2安全计算环境

对移动终端设备的使用进行管控时，移动终端设备应具备选择软件安装、运行的功能。

6.4挂载设备安全要求

6.4.1安全物理环境

安全物理环境要求如下：

a)挂载设备所处的物理环境不应对挂载设备造成挤压和强振动等的物理破坏；

b)挂载设备所处的物理环境应能正确反映环境状态；

c)气象传感器和温湿度传感器不应安装在阳光直射区域。

6.4.2安全区域边界

授权的挂载设备应通过安全区域接口接入控制进行通信，采用的接口要求如下：

a)RJ45或光纤以太网通信接口，单个接口通信速率不应低于1000Mbps；网络层应采用IP

协议，并支持IPv4和IPv6，传输层应支持采用TCP/UDP协议，当挂载设备为客户端，边

缘控制器为服务端时，挂载设备应支持对多个服务端的传输数据；

b)COM应支持RS-232（DB9）或RS-485；

c)挂载设备为摄像机，当具备视频监控功能时，接口协议应符合GB/T28181的要求；

d)挂载设备为摄像机，当具备视频图像信息采集功能时，接口协议应符合GA/T1400.4—2017

中5.2的要求。

6.4.3安全运维管理

挂载设备管理应指定人员定期巡视挂载设备、网关节点设备的周边环境，对可能影响挂载设备、

边缘控制器正常工作的环境异常进行记录和维护。

6.5公共数据基本安全要求

6.5.1数据收集基本安全

数据收集基本安全要求如下：

a)应对数据收集来源进行鉴别和记录，数据收集来源应合法、正当；

b)应分析数据类型及收集渠道、目的、用途、范围、频度、方式等；

c)收集外部机构数据前，应对外部机构数据源的合法性、合规性进行鉴别；

d)个人信息收集应遵循合法、正当和诚信原则，并获得个人信息主体的明示同意，不应通过

误导、欺诈、胁迫或其他违背个人信息主体真实意愿的方式获取其同意；

e)开展个人信息收集工作应符合GB/T35273—2020中第5章的要求；

8

DB4403/T455—2024

f)提供公共服务的移动互联网应用程序或第三方应用，应遵循最小化收集原则，在收集个人

信息时，应用程序或第三方应用应告知个人信息主体收集的目的、使用方式及可能的风险，

并取得个人信息主体的同意。

6.5.2数据存储基本安全

数据存储基本安全要求如下：

a)应制定数据存储相关安全管控措施，包括加密、访问控制、数字水印、完整性校验等；

b)应制定数据备份与恢复安全策略，建立数据备份恢复操作规程，说明数据备份周期、备份

方式、备份地点；建立数据恢复性验证机制，保障数据的可用性与完整性；

c)应具备异地数据备份功能；

d)个人生物识别信息应与个人身份信息分开存储；

e)不应存储原始个人生物识别信息（如样本、图像等），可存储个人生物识别信息的摘要信

息；

f)个人信息存储期限应为实现个人信息主体授权使用目的所必需的最短时间，法律法规另有

规定或者个人信息主体另行授权同意的除外；超出个人信息存储期限后，应对个人信息进

行删除或匿名化处理。

6.5.3数据传输基本安全

数据传输基本安全要求如下：

a)应制定数据传输相关安全管控措施，包括传输通道加密、数据内容加密、数据接口传输安

全等；

b)应对数据传输两端进行身份鉴别，使数据传输双方可信任；

c)应采用校验技术使数据在传输过程中保持完整性；

d)当传输敏感个人信息时，应采取加密、脱敏等安全措施。

6.5.4数据使用基本安全

数据使用基本安全要求如下：

a)应制定数据使用业务场景的目的、范围、审批流程（含权限授予、变更、撤销等）、人员

岗位职责等；

b)应制定数据统计分析、展示、发布、公开披露等不同数据使用场景的安全管理要求；

c)应根据不同数据使用场景采取安全处理措施（如去标识化、匿名化等），降低数据敏感度

及暴露风险；

d)当利用算法推荐技术进行自动化决策分析时，决策的过程应透明，结果应公平合理；

e)数据公开前应开展数据安全风险评估，分析公开数据的内容与种类、公开方式、公开范围、

安全保障措施、可能的风险与影响范围等。当涉及敏感个人信息、商业秘密信息，以及可

能对公共利益或国家安全产生重大影响时，数据不应公开；

f)当公开市场预测、统计信息等数据资源时，不应危害国家安全、公共安全、经济安全和社

会稳定。

6.5.5数据加工基本安全

数据加工基本安全要求如下：

a)应对参与数据加工活动的主体进行合法性、正当性的评估，参与数据加工活动的主体应为

合法合规的组织机构或个人；

9

DB4403/T455—2024

b)应在数据加工前，书面明确数据加工目的、范围、期限、规则及数据加工主体的责任与义

务；

c)数据加工活动过程中，当发现可能危害国家安全、公共安全、经济安全和社会稳定时，应

停止数据加工活动；

d)委托他人进行数据加工时，应与其订立数据安全保护合同，明确双方安全保护责任；委托

加工处理个人信息时，应约定委托处理的目的、期限、处理方式、个人信息的种类、保护

措施以及双方的权利和义务等，并对受托人的个人信息处理活动进行监督，不应超出已征

得个人信息主体授权同意的范围。

6.5.6数据开放共享基本安全

数据开放共享基本安全要求如下：

a)公共数据提供部门应与公共数据使用部门签署相关协议，明确数据使用目的、共享范围、

共享方式、保密约定和安全保护等内容；

b)公共数据提供部门采用密码技术时，应符合GB/T39786—2021的要求；

c)政务数据共享应符合GB/T39477—2020中第6章的要求。

6.5.7数据交易基本安全

数据交易基本安全应符合GB/T37932—2019中第5章、第6章和第