由深圳市政务服务和数据管理局指导,深圳市信息安全管理中心等单位牵头编制的深圳市地方标准《公共数据安全评估方法》(DB4403/T 439—2024)于近日正式发布,将于5月1日实施。《方法》旨在为深圳市各级政府机构、企事业单位在开展公共数据处理活动时,提供一套系统化、标准化的安全评估框架与操作指南。
《方法》规定了公共数据安全的通则、通用管理安全评估要求、通用技术安全评估要求、数据处理活动安全评估要求、整体评估与评估结论。《方法》适用于各级公共数据主管部门、公共管理和服务机构开展公共数据安全评估,也适用于处理大量个人信息的服务平台数据安全能力的评估。
该标准围绕数据全生命周期,明确了公共数据安全评估的目标、原则、范围、内容、流程、方法以及结果应用等方面的要求,确保公共数据在采集、存储、使用、共享、销毁等环节的安全性,有效防范数据泄露、滥用、篡改等风险,保障公众隐私权益,推动数字经济健康有序发展。
1. 评估原则
为规范公共数据安全评估工作,全面有效发现公共数据可能面临的各类安全风险,评估机构在评估过程中,遵循下列原则:
- a) 公正客观原则:评估机构对评估对象数据安全保障措施进行公平客观的判定,不受机构性质、评估对象、评估时间、评估人员、利益关系等任何因素影响而损害评估的公正及客观性;
- b) 最小影响原则:评估机构对评估对象的网络、业务、数据流转等正常运行造成的影响降低到最低,不因评估工作而导致业务连续性的中断;
- c) 可控性原则:评估机构确保评估过程可管可控,使用的评估工具或技术手段,已经过实践验证,不存在安全隐患;
- d) 全面性原则:评估机构全面覆盖评估要点,基于评估要点对评估对象涉及的资产(如制度类文档、数据资产、软硬件资产、人力资源等)、数据处理活动各环节进行评估;
- e) 书面授权原则:评估机构开展评估工作得到被评估机构的正式书面授权;
- f) 保密性原则:评估机构及评估人员与被评估机构签订数据安全相关保密协议,明确保密责任、义务及争议条款,除法律要求或获得被评估机构同意外,评估人员获取的评估对象相关信息、过程文档等严格保密,不对外透露。
2. 评估体系
公共数据安全评估框架见图1,公共数据安全评估体系包含安全要求、安全能力、安全等级三个维度,三个维度具体内容如下:
- a) 内容涵盖通用管理安全、通用技术安全及数据处理活动安全三方面安全要求;
- b) 针对组织、制度、人员、技术四方面安全能力进行评估;
- c) 对于不同的安全等级选取相对应的安全要求进行评估,评估对象涉及不同安全等级的数据类型且无法拆分评估时,依据评定的最高数据安全等级的安全要求开展评估,按照DB4403/T 271—2022中6.7规定的安全等级与安全要求的关系确定安全等级与对应安全要求。
图1 公共数据安全评估框架
3. 安全能力
评估机构对评估对象的数据安全能力进行评估,安全能力应分为以下四个维度:
- a) 组织能力:主要考察数据安全组织架构及人员的设立、职责分工及沟通协作;
- b) 制度能力:主要考察数据安全制度及流程建设完备性、可执行性、动态更新性;
- c) 人员能力:主要考察人员数据安全建设专业能力、工作执行落地情况;
- d) 技术能力:主要考察采取技术手段或自动化技术工具落实数据安全要求的能力。
4. 评估手段
公共数据安全评估宜采取如下评估手段开展评估工作:
- a) 文档查阅:评估人员通过查看数据安全评估相关材料,如数据安全管理制度、业务安全保障措施技术材料、制度落地执行记录表单等,辅助验证是否符合相关安全要求;被评估机构提前准备相关文档以供评估人员查阅;
- b) 人员访谈:评估人员与被评估机构相关人员进行交流、讨论、询问等,以初步验证数据安全要求的符合性,可结合其他评估手段,充分验证数据安全保障措施的有效性;访谈人员范围包含数据安全管理机构人员以及承载业务系统运行的应用、系统、网络相关人员等;
- c) 技术检测:评估人员对业务系统不同应用形态(如网页应用程序、移动应用程序、小程序、公众号等)、系统、网络等进行技术测试,以验证是否符合数据处理活动技术安全要求;通过评估人员事先准备测试工具(如流量监测工具、扫描工具、渗透测试工具等)、业务注册或使用 被评估机构准备的测试账号等以完成技术测试;
- d) 系统核验:被评估机构人员根据评估人员的要求,上机核验被评估机构相关安全能力平台或业务数据处理活动各环节、数据操作日志记录等界面;此评估手段可直观验证数据安全保障措施
是否有效,被评估机构人员安排相关人员进行现场演示,评估人员根据演示结果判断安全要求 的符合性。
5. 评估适用情形
满足如下情形之一,应及时启动评估工作:
- a) 涉及公共数据的政务信息化建设项目合同终验前;
- b) 承载公共数据的信息系统运营阶段,数据承载环境发生重大变更时,如数据处理技术模式变更、数据采集渠道变更、数据种类发生重大变化、批量数据共享对象变更、业务重大版本迭代、网络环境重大变更、数据存储系统升级改造、数据出境等;
- c) 行业主管部门要求或法律法规规定的其他情形。
6. 评估流程
公共数据安全的评估流程按照以下步骤进行:
- a) 组建评估团队:数据安全评估前,组建数据安全评估团队,评估团队宜包含评估机构评估人员、 被评估机构数据安全管理机构人员,评估过程中涉及的人员包含评估对象相关的业务运营运维部门、业务开发测试部门、数据合作方等人员,评估机构的评估人员应具备数据安全评估能力,确保评估结果的有效性;
- b) 确定评估对象:按照5.6.2明确数据安全评估对象,针对选定的评估对象,根据评估对象的安全等级,确定评估指标;
- c) 评估对象调研:数据安全评估团队对评估对象相关数据安全工作进行充分调研,包括业务简介、网络拓扑情况、数据安全岗位人员、数据安全管理相关制度流程表单、数据安全设备部署情况、已有安全保护措施等;在组织评估实施之前,提供评估方案,并与被评估机构协商一致;
- d) 组织评估实施:数据安全评估团队组织远程及现场评估,采用文档查阅、人员访谈、技术检测、系统核验等评估手段,开展评估指标的评分工作,并进行安全风险分析,附录B给出了高风险项示例,附录C给出了常见的数据安全威胁,可参考进行风险分析;
- e) 评估报告编制:数据安全评估团队对评估过程进行记录,保存对应的评估佐证材料,并编制形成数据安全评估报告(评估报告模板见附录D),组织与被评估机构共同确认数据安全评估结果,完成公共数据安全的评估,评估工作案例见附录E。
全文下载:
公共数据安全评估方法
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵犯到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
欢迎先注册,登录后即可下载检索公共数据等相关标准、白皮书、报告。更多高质量纯净资料下载,在文末扫码关注官方微信公众号“idtzed”,进入公众号菜单“治库”。