ICS01.140.20 CCSL70 23 黑龙江省地方标准 DB23/T3509—2023 政务数据开放共享服务安全管理规范 2023-07-05发布 2023-08-04实施 黑龙江省市场监督管理局  发布 DB23/T3509—2023 I目次 前言..................................................................................II 1范围.................................................................................1 2规范性引用文件.......................................................................1 3术语和定义...........................................................................1 4总体要求.............................................................................2 5组织管理.............................................................................2 6安全管理.............................................................................4 7质量管理.............................................................................8 参考文献...............................................................................9 DB23/T3509—2023 II前言 本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本文件由中共黑龙江省委网络安全和信息化委员会办公室提出并归口。 本文件起草单位：黑龙江省网络空间研究中心、哈尔滨工业大学、哈尔滨理工大学、中数（深圳） 时代科技有限公司、黑龙江省政务大数据中心。 本文件主要起草人：方舟、杨霄璇、黄海、曲家兴、宋雪、白瑞、吴英东、李锐、郑德承、于海宁、 金陵、杨锦波，张罗刚、孟庆川、关志博、孙腾、徐雪吟、于洋、王林林。 DB23/T3509—2023 1政务数据开放共享服务安全管理规范 1范围 本文件规定了政务数据开放共享服务安全管理的术语和定义、总体要求、组织管理、安全管理和质 量管理。 本文件适用于各级政府部门的非涉密政务数据的开放与共享服务安全管理。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T25069—2022信息安全技术术语 GB/T35295信息技术大数据术语 GB/T36344信息技术数据质量评价指标 GB/T38664.1—2020信息技术大数据政务数据开放共享第1部分：总则 DB23/T3510—2023政务预公开数据分级分类评估指南 DB23/T3508—2023信息化系统敏感信息脱敏规范 3术语和定义 GB/T25069—2022和GB/T35295界定的以及下列术语和定义适用于本文件。 政务数据 各级政务部门及其技术支撑单位在履行职责过程中依法采集、生成、存储、管理的各类数据资源。 注：根据可传播范围，政务数据一般包括可共享政务数据、可开放公共数据及不宜开放共享政务数据。 [来源：GB/T38664.1—2020，3.1] 政务数据共享 各级政务部门因履行职责需要，使用其他政务部门的政务数据以及为其他政务部门提供政务数据的 行为。 [来源：GB/T38664.1—2020，3.2] 政务数据开放 政务部门在安全保密、公共利益导向前提下，面向公民、法人和其他组织以非排他形式提供政务数 据的行为。 [来源：GB/T38664.1—2020，3.3] 数据安全 DB23/T3509—2023 2通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 政务数据提供者 利用各种技术向其他政府部分、事业单位、团体机构、企业或公众提供政务数据的实体。 [来源：GB/T38664.1—2020，3.7，有修改] 政务数据使用者 使用政务数据的实体。 注：包括政府部门、团体机构、企事业单位和个人。 [来源：GB/T38664.1—2020，3.8] 政务数据流通 参与开放、共享的政务数据资源作为流通对象，按照一定的规则从政务数据提供者传递到政务数据 使用者的过程。 政务数据流通服务机构 负责政务数据开放共享流通的日常管理、业务流转、运行维护等经营活动的组织。 4总体要求 政务数据流通应遵循以下原则： ——责任共担原则：政务数据开放共享流通的服务机构、政务数据提供者、政务数据使用者对数 据开放共享流通过程及结果负责，共同确保政务数据开放共享等流通安全； ——合法合规原则：政务数据开放共享应遵从数据安全管理的相关法律法规、合同、标准等，遵 守社会公德，不得损害国家利益、社会公共利益和他人合法权益； ——责任权属原则：政务数据提供方对数据负责，数据开放共享流通过程中，责任不随数据转移 而转移； ——最小授权原则：在保证数据开放共享流通完整实现的基础上，数据开放共享流通过程中各参 与方具备最小操作权； ——数据安全原则：数据开放共享流通服务机构应确保数据流通平台的安全控制措施和策略有效， 保护数据全生命周期的安全； ——安全审计原则：对政务数据开放共享流通服务的每次数据流通行为进行记录，确保可追溯可 审查。 政务数据安全管理应遵循以下原则： ——政务数据开放共享服务安全管理采取主动防御、综合防范方针，坚持保障政务数据安全与促 进应用发展相协调、管理与技术并重的原则，实行统一协调、分工负责、分级管理； ——政务数据提供部门按照“谁产生、谁提供、谁负责；谁主管、谁开放”的原则，负责对本部 门政务数据开放目录和数据集的定期更新维护管理，确保数据的实时性、准确性、可用性； ——各参与方单位数据安全和信息化工作应同步规划、同步建设、同步运行。 5组织管理 制度建设 DB23/T3509—2023 35.1.1应制定满足业务需求的数据安全策略，建立数据安全制度规程，明确安全方针、安全目标和安 全原则。 5.1.2应根据政务数据开放共享的安全需求和安全目标，制定政务数据开放共享流通安全管理制度， 明确政务数据资产管理目标和安全原则、政务数据资产的全生命周期管理要求。 5.1.3应制定相应的应急恢复办法和操作规程。 5.1.4应建立和执行安全责任制度，实行领导责任制，明确各岗位应承担的责任和义务。 5.1.5应建立和执行安全工作制度，包括人员、物理设施与环境、运行与开发、数据安全和个人信息 安全保护等。 5.1.6应为政务数据开放共享流通管理人员或操作人员执行的管理或业务操作建立操作规程。 5.1.7应定期对政务数据开放共享服务安全管理制度和规程进行评审，并及时进行更新。 安全管理相关方 5.2.1流通安全管理组织 政务数据流通安全管理组织是履行政务数据安全管理、安全执行、安全审计、政务数据开放共享管 理的社会实体，职责包括： ——政务数据流通安全管理组织，综合考虑法律法规、政策、标准、数据分析技术水平、组织所 处行业特殊性等因素，评估数据安全风险，制定数据安全基本要求； ——建立相应的数据安全管理监督机制，监视数据安全管理机制的有效性； ——定期组织开展对数据开放、共享、交换、交易等过程的数据安全检查； ——当发生重大数据安全事件时，政务数据流通安全管理组织应牵头成立调查组对发生安全事件 的相关方进行调查取证； ——应定期审计政务数据流通安全的管理情况。 5.2.2政务数据提供者 政务数据提供者是参与政务数据在开放、共享、交换、交易等过程的采集数据进行处理的人员或组 织，职责包括： ——向政务数据管理组织提供数据资源目录； ——遵循“一数一源”和必要及最小化的原则采集数据，不宜重复采集通过共享方式获取的数据 资源； ——给出采集和提供数据的开放共享范围、期限、用途和数据保存期限； ——对政务数据使用者提交的数据开放共享申请，根据履职需要和最小化原则，进行审批授权； ——对开放共享的数据设置对应的数据分类分级标签； ——通过技术手段确保流通的数据的完整性和一致性，并按照约定的频率更新数据。 5.2.3政务数据使用者 政务数据使用者是在开放、共享、交换、交易等过程中获取政务数据的人员或组织，职责包括： ——基于业务场景向政务数据提供者或政务数据管理者申请数据开放、共享，明确数据的使用目 的、范围、期限、更新频率等具体使用需求； ——不再对脱敏后的个人信息和敏感数据进行二次识别； ——根据共享数据的保存期限进行数据销毁工作； ——根据获取到的开放共享数据的安全级别，采取相应等级的安全防护措施进行防护； DB23/T3509—2023 4——根据业务需求对共享数据进行再次加工时，