DB4403-T 271-2022 公共数据安全要求

ICS

CCS

67

DB4403 DB4403/T

271—2022公共数据安全要求Requirements

for

common

data

深圳市市场监督管理局 发

布DB4403/T

IV

引用文件

语和

4.1

4.2

6.1

6.2

6.3

6.4

级要

6.5

6.6

6.7

7.1

7.2

7.3

全要

8.1

级保

8.2

DB4403/T

271—2022

8.3

级增强安 10

108.4

10

10

级增强安 10

级增强安全要 118.5

11

11

12

128.6

12

12

12

全要 12全要 129.1

12

12

全要 13

139.2

13

13

级增 13

139.3

13

13

13

149.4

14

14

强安 14

全要 149.5

14

14

全要 15

159.6

15

15

15IIDB4403/T

159.7

15

15

15

169.8

16

16

级增 16

强安全要 169.9

毁与删除 16

16

16

全要 16

17 18B.1

18B.2

20

共数据分 23C.1C.2

示例 23 23

人信息分级参考表 24 27DB4403/T

271—2022文件按照

GB/T

1.1—2020《标准工作导则

部分标准化文件的结构和起草规则文件起草知科慧城市科技发有限公司赵剑方兴周顿魏凤慧洋IVDB4403/T

体安全原则和构数据安全能建设估与监管

内容文件其中注日期的引用文件仅该日期用文其最新版包括适用GB/T

20984—2022GB/T

22239—2019GB/T

22240—2020GB/T

35273—2020GB/T

37988—2019

全技

息安络安全等GB/T

39477—2020

据安全技GB/T

39786—2021

统密

GB/T

35273—2020、GB/T

37988—2019下列3.1

common

data共管和服机构处理个人务平在依履行共管职责者提公共理的数据3.2

data

要措据处障持3.3

public

administration

and

service

institutions事业单位和其卫生健康环境保护共交3.4

personal

informationDB4403/T

271—2022

1：行踪轨迹、住宿信息、健康生理信息、交易信息、14

2：[来源：GB/T

25069—2022，3.195，有修改]3.5

key

data[来源：GB/T

3.6

3.7

data

cooperator3.8

secure

multi-party

computation3.9

application[来源：GB/T

41479—2022，3.12，有修改]

4.1

a) b) c)DB4403/T

d)明示原则数据范围其规e)f)g)

小必理活动仅开透从其数据体侵害程进行据处理活动过数据安全管控措施等的变更可能引起数据害程度的变化h)全程可控原则：采防止处理数据处理节过记录内容清晰4.2

GB/T

22239—2019建设运营信息系统系统组织开展定级备案等级测评安全整改工作数据处理过程涉及密码应按GB/T39786—2021应用

5.1

5.2

DB4403/T

271—2022大类构成a) 数据通用安全要求明确通用管理安全要求角度分级阐述b)理活理活动围共享

6.1

管理中的泄露或者获取非法社会秩序公共公共管理和服务机益造成的6.2

象应包括数据库和数据子类下的具体数据据定象分构化6.3

a)

b)

象受a)

机构b)c)

会秩

应根象遭泄露获取涉及综合。对客体造成的侵害程度归结为以下四种a)

b)

c)

d)

6.4

DB4403/T

6.5

6.6

6.7

数据库安全等全要求的应关见表2，数据子类或数据字段安全等级与其安DB4403/T

271—2022

7.1

7.2

7.2.1.1

a)

b)

c)

数据安全责任人履行职责包括但不限于：

DB4403/T

d)

数据安全管理机构应明确数据管理员数据人员

e)f)

到国家网信部人联姓名系方应针数据数据操作及外部系g)

的机签订合作及数全保密责任与资质背景7.2.1.2

a)

明确规定人员录用人员考核离岗离职外部人员

内部数据岗位

应制定数据安训计划

7.2.2.1

a)b)

数据处理活动建立逐级审批批的项目批部审批7.2.2.2

a)b)c)

数据岗位制定不同的培岗位操作规程等进行培定期位人

7.2.3.1

DB4403/T

271—20227.2.3.2

a)b)

共同管理7.3

分级

提供重互联网平台服务

GB/T

35273—2020

8.1

应结合数据资产识别技手段DB4403/T

标准d)e)

应明确数据象安全等级序和公共形成数据资产清单相关示例附录A，落实不同数据安全级差护要求依数据字段安全等级差异化防护措施应符合附录规定别和级别型或级别

8.2

应结合自身数据安全要求

出现法律法规更改或增删全面

行业安全合规监管并向

涉及敏感个人信息处理益有理活动等

按照开展管部估报告应的重类、展数据处理活动的情况

8.3

DB4403/T

271—2022a)b)

据安异常操作数据暴露面风险等力。

a)b)c)d)

安全制定的风件和可能引发分析产的完整配备数据安全工作具风险监定期险监

增强安全要求8.4

8.4.1.1

a)

应根据不同数据级别变更账号关联包括机构据合作方人员b)c)d)e)f)

沉默账号复活账号严格流程访问数据批量下载上传删除流程8.4.1.2

8.4.1.3

a)b)c)d)

身份鉴别全检及时发现并处用审梳理数据接口

8.4.2.1

10DB4403/T

8.4.2.2

8.4.2.3

a)

b)

c)

8.4.3.1

8.4.3.2

8.4.3.3

8.5

a)

b)

c)

d)

e)

11DB4403/T

271—2022f)

至少一次，事件场景包括但不限于数据泄露、丢失、滥用、篡改、毁损、违规使用等。

a)

b)

8.6

a)

计内容、审计周期、审计结果、审计问题跟踪等要求；b)

c)

9.1

a)

b)

c)

过误导、欺诈、胁迫或者其他违背个人信息主体真实意愿的方式获取其同意；d)

应按照GB/T

12e)

DB4403/T

要个联网

网络环境系统进行安全评估

9.2

a)

相关数字水印整性b)

应明确数据备份与恢复安全策略数据备份恢复操作规程说明数据备份周期备份方式建立据恢c)

时批量传d)e)

个人生物识别信息应与个人身份信分开存储原则上不应存储原始个人生物识别信息如样仅存息的储期限应人信规另

a)

至备份场b)c)

勒索病毒事前中阻断及事后恢复的保障能力；

切换9.3

a)b)c)

相关加密确保数据传输整性

13DB4403/T

271—2022a)

b)

9.4

a)

b)

c)

d)

存在利用算法推荐技术进行自动化决策分析的情形，应保证决策的透明度和结果公平合理；e)

f)

a)

b)

c)

9.5

a)

b)

c)

14d)

DB4403/T

委托他人处理数据全保护合安全保护责任应约定委托处理的目的处理方式个人信息的种保护措施以及方的务等人信应超个人信息

b)

如产生新数据c)

9.6

a)b)

应与公共签署相关明确数据使用目的供应方式保密范围护要供部标准享过程的保密c)

政务信息资源交换平台的政务信息共履行GB/T

39477—2020章确定的共享数据安全要

a)b)c)

共数据提供部建立范围术，实现数据共享的安全性

9.7

规章展数据交据安全保

15DB4403/T

271—2022

9.8

a)

严格遵守国家法律符合展数据出估及出境行为

9.9

a)

规程设置相关监督角色b)

如因业务终止组织解散数据承接法律法规另有定的除外c)

合作方完成数法律d)

或完保留源数据的数据e)

按照GB/T

35273—20208.3删除操作

a)b)

介质存储存储数据的介质或物理设备式进如物理粉消磁次擦写等

16示例：个人身份信息person_id50000身份证3级某政务系统-user_center-person_identity是是否否示例：个人身份信息person_name50000姓名3级某政务系统-user_center-person_identity是是否否示例：某政务系统xx部门user_center192.168.x.x1521Oracle

1010GB10user第二级示例：某政务系统xx部门user_center192.168.x.x1521Oracle

1010GB10person_identity第二级DB4403/T

A.1

A.217/一

，对，对

GB/T

2020

A、

”、“

GB/T

2020

A、

”“、“”、“”、”、”、”、

2020

”、“”“”、“DB4403/T

271—2022

B.1

18

DB4403/T

19

DB4403/T

B.2

20

，采

，采

，采DB4403/T

21

，采，对

），

），

），

），

DB4403/T

22DB4403/T

C.1

C.2

23验报告麻醉记录护理记录用药记录药物食物过敏信息育信息以往病史诊治情况家族病史现病史

弱隐私生物特信息包括人脸声纹步态

）、

交易密码查询密码USBKEY、U

网银手机银行密保工具指个人的其用户鉴别信息泄露人经济

公共社会公服务的网站涉及的用户鉴别育

公共管理和服务机构内部系统涉及的用户鉴信息包括

OA

人基个人姓指个人的通信记数据记录和内容指能具体定位到人的地理位置信息精准定位信指个人通信联系式数据机号码固定电话QQDB4403/T

D.1

24指好友通信联系方式数据通讯录好友列表群列表14指个人与位关联方关系的记录数据法定代表人财务负责

个人入状况的不动产状况税额

银行账户信息包括资金数量支付收款记录等)、信贷记如个人借款信息还款款信息等）、信信息易和消费记录记录等虚拟货拟交易

用户鉴辅助如动态口令短信验证码密码提示问题

金融产品与服务的关键信息如交易信息如交易指交易金融业构内部使的个人金融信息账户开立指公开的