DB3210/T 1152-2023 公共数据共享与开放安全管理规范

ICS35.020

CCSL70

3210

扬州市地方标准

DB3210/T1152—2023

公共数据共享与开放安全管理规范

Publicdataopeningandsharingmanagementstandard

2023-12-29发布2024-01-29实施

扬州市市场监督管理局发布

DB3210/T1152—2023

目次

前言.................................................................................II

1范围...............................................................................1

2规范性引用文件.....................................................................1

3术语和定义.........................................................................1

4目标、原则和要求...................................................................2

5公共数据安全管理框架...............................................................2

6公共数据安全管理责任...............................................................5

7数据生命周期安全...................................................................7

附录A（规范性）政务数据共享的平台基础设施..........................................12

附录B（规范性）安全保护等级........................................................16

附录C（规范性）安全保护措施........................................................17

I

DB3210/T1152—2023

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定

起草。

本文件由扬州市大数据管理局提出。

本文件由扬州市大数据管理局归口。

本文件起草单位：扬州市大数据管理局、扬州市大数据管理中心、扬州市市场监督管理局。

本文件主要起草人：朱勇、顾友红、黄玉国、韩义森、陈传庚、何玮文、彭华林、李强、徐旻政、

刘林、陈可云、杨杰、丁健、任鹤元、陈鹏宇。

II

DB3210/T1152—2023

公共数据共享与开放安全管理规范

1范围

本文件规定了公共数据共享与开放安全管理规范的总则、基本要求、组织管理、数据生命周期安全

等要求。

本文件适用于扬州市公共数据的共享与开放。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T22239信息安全技术网络安全等级保护基本要求

GB/T25058信息安全技术网络安全等级保护实施指南

GB/T25069信息安全技术

GB/T31722信息技术安全技术信息安全风险管理

GB/T35273信息安全技术个人信息安全规范

GB/T35295信息技术大数据术语

GB/T36073数据管理能力成熟度评估模型

GB/T36344信息技术数据质量评价指标

GB/T38664信息技术大数据政务数据开放共享

GB/T38667信息技术大数据数据分类

GB/T39477信息安全技术政务信息共享数据安全技术要求

GM/T0054信息系统密码应用基本要求

3术语和定义

GB/T39295和GB/T25069界定的以及下列术语和定义适用于本文件。

公共数据publicdata

国家机关、法律法规规章授权的具有管理公共事务职能的组织以及供水、供电、供气、公共交通等

公共服务运营单位（以下统称公共管理和服务机构），在依法履行职责或者提供公共服务过程中收集、

产生的数据。

公共数据共享publicdatasharing

各公共管理和服务机构因履行职责需要使用其他公共管理和服务机构的数据或者为其他公共管理

和服务机构提供数据的行为。

公共数据开放publicdataopening

1

DB3210/T1152—2023

公共管理和服务机构面向个人、法人和其他组织提供具有原始性、可机器读取、可供社会化利用的

数据集的公共服务。

公共数据安全publicdatasecurity

通过采取必要措施，确保公共数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的

能力。

数据生命周期datalifecycle

数据从采集、存储、整合、呈现与使用、分析与应用、归档和销毁的整个过程。

公共数据提供者publicdataprovider

基于统一数据共享交换平台，利用各种技术向其他政府部门、事业单位、企业或公众提供公共数据

的实体。

公共数据使用者publicdatauser

使用公共数据的实体。

注：包括政府部门、团体机构、企事业单位和个人。

公共数据运营者publicdataoperator

按照相关法律法规程序获得授权的基于特定场景需求加工、处理公共数据的实体。

4目标、原则和要求

目标

以“公共数据”为安全保障的核心要素，强化安全主体责任，健全保障机制，完善公共数据安全防

护和监测手段，加强数据流转全流程管理，实行统一协调、分工负责、分级管理，实现资源整合与利用

率的提升。采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能

力。

原则

4.2.1公共数据资源共享开放应当以需求为导向，遵循统一标准、统筹建设、无偿使用、便捷高效、

建立机制、保障安全的原则。

4.2.2建立健全数据安全管理制度，落实数据安全保护责任，管控公共数据共享和开放管理过程中的

安全风险原则。

要求

4.3.1公共数据共享与开放安全要求包括公共数据安全管理框架，公共数据安全管理责任、数据生命

周期安全。各参与方应根据自身角色和责任遵照执行。

4.3.2支撑公共数据共享的平台基础设施应符合附录A的要求。

5公共数据安全管理框架

2

DB3210/T1152—2023

公共数据安全组织建设

5.1.1组织建设安全要求

组织建设安全要求包括:

a)建立公共数据安全领导小组，指定公共数据管理机构的最高管理者或授权代表担任小组组长，

并明确组长责任与权力；

b)建立公共数据安全管理部门与数据安全执行小组，建立相关职能岗位，职能岗位设计时应遵循

职责分离与权限最小化原则；

c)制定公共数据安全各职能岗位的工作规范，以明确各职能岗位之间的协作关系，明确了各职能

岗位的运行配合机制；

d)建立独立的安全监督管理机构，对各参与方的数据操作行为进行安全监督管理，确保其按照规

范要求或合同约定的范围开展业务；

e)以公开信息且可查询的形式面向全员公布公共数据安全职能部门的组织架构；

f)明确公共数据安全追责机制，定期对责任部门和安全岗位组织安全检查，形成检查报告。

5.1.2公共数据安全人员建设安全要求

公共数据安全人员建设安全要求包括:

a)明确公共数据安全服务人员安全策略，明确不同岗位人员在公共数据生命周期各阶段相关的

工作范畴和安全管控措施；

1)公共数据安全管理者负责数据安全相关领域和环节的决策，制定并审议数据安全相关制

度，监督执行和组织落实业务部门数据安全相关工作；

2)公共数据安全执行者负责数据安全相关领域和环节工作的执行，制定数据安全相关细则，

落实各项安全措施，配合数据安全管理者开展各项工作；

3)公共数据安全审计者对安全策略的适当性进行评价，检测安全违规，并生成安全审计报告；

4)公共数据共享开放管理者对数据共享交换等平台和过程进行管理，执行公共数据安全管

理者分配的工作任务。

b)明确组织层面的公共数据安全服务人员招聘、录用、上岗、调岗、离岗、考核、选拔等人员安

全管理制度，将公共数据安全相关的要求固化到人力资源管理流程中；

c)在录用重要岗位人员前对其进行背景调查，符合相关的法律法规、合同要求，对数据安全员候

选者的背景调查中也包含了对候选者的安全专业能力的调查；

d)明确公共数据安全服务重要岗位的兼职和轮岗、权限分离、多人共管等安全管理要求；

e)明确针对合作方的安全管理制度，对接触个人信息、重要数据等公共数据的人员进行审批和登

记，并要求签署保密协议，定期对这些人的行为进行安全审查；

f)在重要岗位人员调离或终止劳动合同前，与其签订保密协议或竞业协议；

g)按最少够用原则为入职员工分配初始权；

h)及时终止或变更离岗和转岗员工的数据操作权限，并及时将人员的变更通知到相关方；

i)确保负责组织和人员管理的人员充分理解人力资源管理流程中可对安全风险进行把控的环节。

公共数据供应链管理

a)应建立公共数据提供者、公共数据使用者、数据运营者安全管理规范，定义数据安全目标、原

则和范围，明确公共数据提供者、公共数据使用者、数据运营者的安全责任和义务，并建立监

督审核机制。

3

DB3210/T1152—2023

b)与公共数据提供者、公共数据使用者、公共数据运营者签署协议，明确数据的使用目的、供应

方式、保密约定等。

c)应委托独立的运行监管方，对公共数据提供者、公共数据使用者和数据运营者的行为进行相关

记录，利用技术工具对公共数据提供者、公共数据使用者和数据运营者的行为进行合规性审核

与监督。

d)应建立完整的数据供应链和相关数据字典规则库，自动监测实际数据流动情况，实时分析数据

流向与数据供应链遵循情况，发现异常并自动报警和阻断。

公共数据资源目录管理

a)应按照数据类别或主题形成公共数据资源目录。

b)应定义公共数据资源目录对应数据资源的内容安全分级与共享方式。

c)应对公共数据资源目录发布进行审核，检查公共数据资源目录的规范性、准确性。

d)应对公共数据资源目录对应的共享资源建立相应的安全管理策略。

e)保障敏感数据在共享过程中的保密性和完整性。

f)应对公共数据资源目录共享类型变更、目录迁移等操作进行授权审计。

g)应构建公共数据资源目录发布的审核机制，明确发布审核流程。

h)在公共数据资源目录发布过程中，应对公共数据提供者进行身份鉴别。

i)应对公共数据资源目录发布过程进行详细记录，包括发布日期和时间、发布人、审批人、发布

资源详细内容等。

j)应保证政务资源目录在传输过程中信息的保密性和完整性。

公共数据使用监管

a)应制定公共数据生命周期各阶段数据访问和操作的日志记录规范要求和监管要求。

b)应根据日志记录规范和监管要求，对数据采集、传输、存储、处理、交换、销毁等过程进行有

效的日志记录，实现公共数据共享全链路的可追溯。

c)应建立统一的数据访问和操作的日志记录和分析技术工具，该技术工具可对各类数据访问和

操作的日志进行统一的处理和分析，实现对数据异常访问和操作的告警，实现对数据滥用、违

规使用、缔约过失、越权使用等行为的识别、监控、预警和追责。

d)应对数据运营者实施的安全控制措施、变更管理、应急响应等进行持续监管，通过技术措施或

文件审核等方式对数据运营者承诺的安全控制项进行评估验证。

e)应建立针对敏感数据的动态可持续数据风险监管体系，周期性地对敏感数据的脆弱性、面临的

安全威胁、安全措施的有效性等内容进行风险评估。

授权管理

a)应制订公共数据安全授权管理规范，支持针对用户访问权限、数据操作权限、应用访问数据权

限等维度的授权管理机制；

b)应支持基于数据分级分类的多级授权和操作监管；

c)应对权限范围外的数据、应用的尝试操作提出告警；

d)应支持资源文件、库表、接口等各共享方式上不同粒度的权限控制；

e)资源目录发布应获得授权，明确授权目的和范围，保留授权记录，并遵照授权执行；

f)共享和开放数据发布应获得授权，明确授权目的和范围，保留授权记录，并遵照授权执行；

g)共享和开放数据申请应获得授权，明确授权目的和范围，保留授权记录，并遵照授权执行；

h)应遵循数据共享和开放最小化原则，仅授权对业务必需的数据共享和开放访问；

4

DB3210/T1152—2023

i)应检查有条件共享和开放数据的使用请求符合规定条件；

j)应设定授权的有效期并定期检查授权的有效性；

k)应根据安全策略，生成共享和开放数据访问授权凭证、安全配置信息。

安全审计

a)应对公共数据处理过程的身份鉴别、策略管理、操作管理等事件，以及管理员和用户的各类操

作进行安全审计。

b)审计记录至少应包括事件的日期和时间、事件类型、主体身份、事件内容、事件的结果（如成

功或失败）等内容。

c)应对公共数据使用及处理全过程进行主体行为审计。

d)应对公共数据库操作记录、系统日志进行主体行为审计。

e)应跟踪和记录公共数据汇集、分发等过程信息，并支持数据溯源。

f)应保存日志记录和审计报告至少6个月。

检查评估

a)应定期组织开展对公共数据共享交换各参与方的数据安全检查，对检查中发现的重大安全隐

患，应当责令有关单位立即排除并报相关监管部门：对检查中发现的违法行为，应当立即制止，

并提请公安部门依法查处；

b)应定期对公共数据使用者的数据安全防护能力进行评估，确保公共数据使用者只能获取与之

防护能力等级相匹配的数据；

c)应建立数据防泄露规范，明确需要进行数据泄露防护处理的应用场景和处理方法。

6公共数据安全管理责任

公共数据管理组织

6.1.1公共数据安全组织责任包括但不限于：

a)确定数据的分类分级初始值，制定数据分类分级指南。与提供数据的业务部门合作，确定数据

的安全级别；

b)综合考虑法律法规、政策、标准、数据分析技术水平、组织所处行业特殊性等因素，评估数据

安全风险，制定数据安全基本要求；

c)对数据访问进行授权；

d)建立相应的数据安全管理监督机制，监视数据安全管理机制的有效性；

e)组织人员培训，应建立数据安全培训机制，定期组织开展数据安全专项培训；

f)针对公共数据泄漏、篡改、丢失、损毁或被非法获取、非法利用等安全风险，应制定应急预案

并开展应急演练。

6.1.2公共数据安全执行者责任包含但不限于：

a)根据公共数据安全管理者的要求实施安全措施；

b)为公共数据安全管理者授权的相关方分配数据访问权限和机制；

c)配合公共数据安全管理者处置安全事件；

d)记录数据活动的相关日志；

e)定期组织开展对数据开放、共享、交换、交易等过程的数据安全检查；定期对公共数据使用者

的数据安全防护能力进行评估；

5

DB3210/T1152—2023

f)当发生重大数据安全事件时，数据管理组织应牵头成立调查组按照制定的应急预案对发生安

全事件的相关方进行调查，调查组可以调阅、摘抄、复制与数据安全事件有关的资料，封存有

关设备，进行调查取证；根据调查结果对相关数据提供、管理、运营及使用的相关方进行责