I 4 4 4 4 4 4 54.4實用性原則 5 5 5 5 5 5 5 6 6 6 6 8.4風(fēng)險分析與評價 9 9本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔(dān)識別專利的責(zé)任。4公共數(shù)據(jù)共享開放安全風(fēng)險評估規(guī)范GB/T35273信息安全技術(shù)個人信息安GB/T4754、GB/T10113、GB/T25069、GB/T35295和GB/T38667、GB/T352733.1履行職責(zé)和提供公共服務(wù)過程中獲取的數(shù)據(jù)資源以及法律法規(guī)規(guī)定納入公共數(shù)據(jù)管理范圍的其他數(shù)據(jù)3.2共享開放行為Sharingopenbe4評估原則求的數(shù)據(jù)進行識別和管理，滿足相應(yīng)的數(shù)據(jù)安全5應(yīng)按照公共數(shù)據(jù)的多維特征和相互間客觀存在的邏輯關(guān)聯(lián)，進行系統(tǒng)化科學(xué)化的風(fēng)險評4.3擴展性原則4,4實用性原則——無附加條件共享的數(shù)據(jù)稱為無條件共享類；——依照法律、行政法規(guī)、部門規(guī)章規(guī)定不得共享的——對涉及國家安全、商業(yè)秘密、保密商務(wù)信息、個人隱私、個人信息，或者法律、法規(guī)、規(guī)章——對數(shù)據(jù)安全和處理能力要求較高、時效性較強或者需要持續(xù)獲取的公共數(shù)據(jù)，列入有條件開6.2評估方式——對造成或者可能造成數(shù)據(jù)安全風(fēng)險不明確或無法確定的；——在公共數(shù)據(jù)管理過程中其他可能造成數(shù)據(jù)安全和風(fēng)險的情形。6安全評估項目包括制度規(guī)范、技術(shù)防護和運行管理，具評估準(zhǔn)備評估準(zhǔn)備評評估估實施數(shù)據(jù)分類數(shù)據(jù)分級風(fēng)險識別數(shù)據(jù)分類數(shù)據(jù)分級風(fēng)險識別風(fēng)險確認風(fēng)險確認風(fēng)險分析與評價風(fēng)險分析與評價編制風(fēng)險評估報告編制風(fēng)險評估報告8.2評估準(zhǔn)備——確定風(fēng)險評估的對象、范圍和邊界；78.3評估實施——數(shù)據(jù)對象維度：根據(jù)數(shù)據(jù)對象內(nèi)容對數(shù)據(jù)進行分類；——數(shù)據(jù)管理維度：根據(jù)數(shù)據(jù)產(chǎn)生頻率、產(chǎn)生方式、結(jié)構(gòu)化特征、存儲方式、質(zhì)量要求等對數(shù)據(jù)——業(yè)務(wù)應(yīng)用維度：根據(jù)數(shù)據(jù)產(chǎn)生來源、所屬行業(yè)、應(yīng)用領(lǐng)域、使用頻率、共享屬性、開放屬性8.3.2.1從公共數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、無無8.3.2.2由于一般數(shù)據(jù)涵蓋范圍較廣，采用同一安全級別保護可能無法滿足不同數(shù)據(jù)的安全需求，將無無8無部門共享使用或僅能夠部分提供給所有政務(wù)部門無無無無部門共享使用或僅能夠部分提供給所有政務(wù)部門無無無無1.原則可提供給所有政務(wù)部門共享使用并面向社無無無無無98.4風(fēng)險分析與評價——高風(fēng)險：數(shù)據(jù)共享開放后，會對個人、企業(yè)、其他組織或國家造成嚴重損害，且無法采取風(fēng)——中風(fēng)險：數(shù)據(jù)共享開放后，會對個人、企業(yè)、其他組織或國家機關(guān)運作造成損害，但可以采——低風(fēng)險：數(shù)據(jù)共享開放后，對公共秩序、公共利益影響較小，可以采取風(fēng)險防范措施予以化8.5編制報告應(yīng)將評估工作過程、評估結(jié)果形成評估報告，評估報告應(yīng)公共數(shù)據(jù)安全體系評估指標(biāo)定義示例A.2根據(jù)評估子項在該組織數(shù)據(jù)安全體系中的重要性設(shè)置該評估子項的權(quán)重值，權(quán)重值一般為1-10的A.3所有高風(fēng)險項應(yīng)全部滿足，出現(xiàn)一個及以上未滿足高風(fēng)險項且不進行整改的，公共數(shù)據(jù)安全體系A(chǔ).4公共數(shù)據(jù)安全體系評估指標(biāo)定義示例見表A.1。表A.1公共數(shù)據(jù)安全體系評估指標(biāo)定義示例評估項(AIT)評估子項(AS)162347567數(shù)據(jù)脫敏管理制度789動態(tài)更新性：查驗是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實進行差異化的公共數(shù)據(jù)共享和開放安全管理、技術(shù)要求、應(yīng)用表A.1公共數(shù)據(jù)安全體系評估指標(biāo)定義示例(續(xù))序號評估項(AIT)評估子項(AS)評估權(quán)重賦分規(guī)則制度規(guī)范數(shù)據(jù)共享和開放安全管理制度7動態(tài)更新性：查驗是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實際數(shù)據(jù)安全銷毀管理制度5行公共數(shù)據(jù)銷毀對象、銷毀場景、銷毀方式、銷毀流程、銷毀工可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地供應(yīng)方安全管理制度8全面性：查驗制度文件是否包括供應(yīng)方及其人員的安全管理要安全監(jiān)督檢查制度5安全日志審計制度7全面性：查驗制度文件是否包括安全審計日志的采集內(nèi)容、采集方式、標(biāo)準(zhǔn)化要求、日志存儲要求、審計策略和規(guī)則、異常預(yù)警動態(tài)更新性：查驗是否持續(xù)跟蹤外部環(huán)境、政策變化、組織實際安全事件管理與應(yīng)急8表A.1公共數(shù)據(jù)安全體系評估指標(biāo)定義示例(續(xù))序號評估項(AIT)評估子項(AS)評估權(quán)重賦分規(guī)則制度規(guī)范8可執(zhí)行性：判斷文件規(guī)定內(nèi)容是否可在該組織落地實施。(全部技術(shù)防護子體系術(shù)48適用性：1.核查該技術(shù)產(chǎn)品是否具備有效識別出敏感數(shù)據(jù)的功88功能性：檢查該技術(shù)產(chǎn)品是否具備實現(xiàn)敏感數(shù)據(jù)脫敏功能，是否可實現(xiàn)數(shù)據(jù)存儲或使用脫敏功能(包含靜態(tài)和動態(tài)脫敏)。表A.1公共數(shù)據(jù)安全體系評估指標(biāo)定義示例(續(xù))序號評估項(AIT)評估子項(AS)評估權(quán)重賦分規(guī)則40技術(shù)防護子體系數(shù)據(jù)加密技術(shù)5功能性：檢查該技術(shù)產(chǎn)品是否具備實現(xiàn)敏感數(shù)據(jù)存儲加密、傳41適用性：1.核查是否已有效對存儲和傳輸?shù)拿舾袛?shù)據(jù)實施加密4243傳輸通道加密技術(shù)644部滿足得2分)2.核查該技術(shù)產(chǎn)品性能是否滿足該組織業(yè)務(wù)4546數(shù)據(jù)血緣關(guān)系技術(shù)3功能性：檢查該技術(shù)產(chǎn)品是否具有追蹤記錄數(shù)據(jù)間的血緣關(guān)474849數(shù)據(jù)備份和恢復(fù)技術(shù)6數(shù)據(jù)防泄漏技術(shù)7表A.1公共數(shù)據(jù)安全體系評估指標(biāo)定義示例(續(xù))序號評估項(AIT)評估子項(AS)評估權(quán)重賦分規(guī)則技術(shù)防護數(shù)據(jù)防泄漏技術(shù)7銷毀數(shù)據(jù)識別技術(shù)6適用性：1.核查該技術(shù)產(chǎn)品是否可有效識別并銷毀符合數(shù)據(jù)銷數(shù)據(jù)銷毀技術(shù)6訪問權(quán)限管理技術(shù)8功能性：檢查該技術(shù)產(chǎn)品是否具備公共數(shù)據(jù)訪問權(quán)限集中認數(shù)據(jù)共享和開放安全技術(shù)7表A.1公共數(shù)據(jù)安全體系評估指標(biāo)定義示例(續(xù))序號評估項(AIT)評估子項(AS)評估權(quán)重賦分規(guī)則技術(shù)防護子體系安全監(jiān)測與預(yù)警技術(shù)7適用性：1.核查該技術(shù)產(chǎn)品是否有效發(fā)現(xiàn)該組織數(shù)據(jù)安全風(fēng)運行管理隊6的各方的職責(zé)分工。檢查是否設(shè)置了機構(gòu)主要負責(zé)人為公共數(shù)據(jù)安全管理第一責(zé)任人、公共數(shù)據(jù)安全管理負責(zé)人及其工作職知識和履職能力、是否接受安全技能培訓(xùn)和考核、是否具有必備的人力支持和技術(shù)支持；查驗該團隊成員專業(yè)人員安全技術(shù)能力及安全專業(yè)證書覆蓋程度，接受數(shù)據(jù)安全防護技能及法規(guī)數(shù)據(jù)分類分級管理機制6符合性：查驗分類分級工作實施、數(shù)據(jù)資源目錄同步、分級結(jié)果反饋、分類分級機制優(yōu)化等工作過程文件和記錄數(shù)據(jù)訪問權(quán)限管理機制8表A.1公共數(shù)據(jù)安全體系評估指標(biāo)定義示例(續(xù))序號評估項(AIT)評估子項(AS)評估權(quán)重賦分規(guī)則運行管理數(shù)據(jù)共享和開放安全管理7審批，接口上線前和上線后的安全檢查、敏感數(shù)據(jù)實時監(jiān)測告安全日志審計機制