DB33/T 2487-2022 公共数据安全体系建设指南

ICS35.240.01

CCSL67

33

浙江省地方标准

DB33/T2487—2022

公共数据安全体系建设指南

Guidelinesfortheconstructionofpublicdatasecuritysystems

2022-04-26发布2022-05-26实施

浙江省市场监督管理局发布

DB33/T2487—2022

目次

前言................................................................................III

引言.................................................................................IV

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4总体原则及架构.....................................................................2

4.1总体原则.......................................................................2

4.2体系架构.......................................................................2

5制度规范子体系.....................................................................3

5.1制度规范子体系架构.............................................................3

5.2数据分类分级管理制度...........................................................3

5.3数据访问权限管理制度...........................................................3

5.4数据脱敏管理制度...............................................................4

5.5数据共享和开放安全管理制度.....................................................4

5.6数据安全销毁管理制度...........................................................4

5.7供应方安全管理制度.............................................................4

5.8安全监督检查制度...............................................................4

5.9安全日志审计制度...............................................................5

5.10安全事件管理与应急响应制度....................................................5

6技术防护子体系.....................................................................5

6.1技术防护子体系架构.............................................................5

6.2全生命周期安全管理技术.........................................................5

6.3访问权限管理技术...............................................................6

6.4数据共享和开放安全技术.........................................................6

6.5安全监测与预警技术.............................................................6

7运行管理子体系.....................................................................6

7.1运行管理子体系架构.............................................................6

7.2安全管理团队...................................................................7

7.3数据分类分级运行管理机制.......................................................7

7.4数据访问权限运行管理机制.......................................................7

7.5数据共享和开放安全运行管理机制.................................................7

7.6安全日志审计机制...............................................................8

7.7安全监督检查机制...............................................................8

7.8安全事件应急响应机制...........................................................8

7.9安全培训机制...................................................................8

8安全体系评估机制...................................................................8

I

DB33/T2487—2022

8.1评估概述........................................................................8

8.2评估时机........................................................................9

8.3评估实施........................................................................9

8.4评估结果应用....................................................................9

附录A（资料性）公共数据安全体系建设案例.............................................10

A.1现状分析.......................................................................10

A.2建设内容.......................................................................10

A.3建设成效.......................................................................11

附录B（资料性）分类分级管理规范优化示例.............................................12

附录C（资料性）数据脱敏内容示例....................................................13

附录D（资料性）访问权限运行管理机制示例.............................................14

附录E（资料性）数据安全事件应急响应................................................15

参考文献..............................................................................16

II

DB33/T2487—2022

前言

本标准按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

请注意本标准的某些内容可能涉及专利。本标准的发布机构不承担识别专利的责任。

本标准由浙江省大数据发展管理局提出、归口并组织实施。

本标准起草单位：浙江省大数据发展中心、数字浙江技术运营有限公司、联通数字科技有限公司、

浙江省标准化研究院、浙江省数据安全服务有限公司、杭州市数据资源管理局、宁波市大数据发展管理

局、温州市大数据发展管理局、湖州市大数据发展管理局、嘉兴市政务服务和数据资源管理办公室、绍

兴市大数据发展管理局、金华市大数据发展管理局、衢州市大数据发展管理局、舟山市大数据发展管理

局、台州市大数据发展管理局、丽水市大数据发展管理局。

本标准主要起草人：王瑚、金加和、洪吉明、蓝宇娜、孟一丁、党铮铮、赵程遥、毛远庆、张斌、

杜永华、池邦芬、笪猛霄、陈焕、包自毅、张新丰、顾闻、徐振华、张晓玮、杜战、蒋纳成、范东媛、

叶春雷、孔俊、王沁怡、张伟伟、胡瑞玉、叶红叶、施筱玲、徐峰、蒋迪、甄理、俞巍滔、杜辉、孙茂

阳、胡琼达、朱宝剑、叶茜茜、陈玮萍、屠勇刚、韩建良、徐李锐、毛勇增、张岳军、林国、王玲玲。

本标准为首次发布。

III

DB33/T2487—2022

引言

为保障一体化智能化公共数据平台和公共数据安全，强化公共数据安全体系建设，提升公共数据安

全主动防御能力、监测预警能力、应急处置能力、协同治理能力，有效防范公共数据篡改、泄漏、滥用，

依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《浙江省公共数据条例》制定

本标准。

本标准是公共数据安全体系相关系列标准之一。

与本标准的相关标准还包括：

——公共数据分类分级指南（DB33/T2351—2021）；

——公共数据安全体系评估规范（DB33/T2488—2022）。

IV

DB33/T2487—2022

公共数据安全体系建设指南

1范围

本标准确立了公共数据安全体系建设的总体原则，给出了体系架构以及制度规范子体系、技术防护

子体系和运行管理子体系构建的指导性建议。

本标准适用于指导公共数据安全体系建设。

本标准不适用于涉及国家秘密的公共数据及相关处理活动。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本标准必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本标准；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

标准。

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25069信息安全技术术语

GB/T37973信息安全技术大数据安全管理指南

GB/T39477信息安全技术政务信息共享数据安全技术要求

DB33/T2350数字化改革术语定义

DB33/T2351公共数据分类分级指南

3术语和定义

GB/T25069、GB/T37973、GB/T39477和DB33/T2350界定的以及下列术语和定义适用于本标准。

3.1

公共数据publicdata

国家机关、法律法规规章授权的具有管理公共事务职能的组织以及供水、供电、供气、公共交通等

公共服务运营单位(以下统称公共管理和服务机构)，在依法履行职责或者提供公共服务过程中收集、产

生的数据。

3.2

公共数据安全publicdatasecurity

通过建立制度规范、技术防护和运行管理等必要措施，确保公共数据处于有效保护和合法利用的状

态，以及具备保障持续安全状态的能力。

3.3

公共数据全生命周期publicdatalifecycle

包括公共数据收集、归集、存储、加工、传输、共享、开放、利用、销毁等各个关键环节。

3.4

数据血缘关系datalineage

数据在产生、处理、流转到消亡过程中，数据之间形成的可回溯的关联关系。

1

DB33/T2487—2022

3.5

用户行为画像userbehaviorprofiling

结合用户角色和用户操作行为,利用关键日志信息进行归类、关联，勾勒出用户行为整体视图，以

实现风险分析、预警。

3.6

供应方supplier

提供公共数据相关产品或服务的企业或其他组织。

4总体原则及架构

4.1总体原则

4.1.1权责一致

公共数据安全体系建设宜遵循谁收集谁负责、谁使用谁负责、谁运行谁负责的原则开展。

4.1.2分级管理

宜遵循按照公共数据类别和级别采取差异化安全保障措施的原则，高安全级别数据从严保护，低安

全级别数据适度保护。

4.1.3全程可控

宜遵循覆盖公共数据全生命周期的原则，确保公共数据在各个关键环节均得到所需安全保障。

4.1.4持续优化

宜遵循持续迭代、动态优化的原则，保障数据安全体系满足动态变化的数据安全需求。

4.1.5协调发展

宜坚持以公共数据开发利用和产业发展促进公共数据安全、以公共数据安全保障公共数据开发利用

和产业发展的原则。

4.2体系架构

公共数据安全体系架构宜包括公共数据安全制度规范子体系、公共数据安全技术防护子体系和公共

数据安全运行管理子体系三个部分。公共数据安全体系架构参见图1，公共数据安全建设案例详见附录A。

2

DB33/T2487—2022

图1公共数据安全体系架构

5制度规范子体系

5.1制度规范子体系架构

制度规范子体系建设宜全面覆盖公共数据全生命周期关键环节，并充分考虑数据回流、数据开发环

境等相关场景要求。可按照三级架构建立公共数据安全制度规范子体系：

——一级制度为战略纲领类，是数据