《信息安全技術(shù) 政務(wù)信息共享 數(shù)據(jù)安全技術(shù)要求-編制說明》

國家標準報批資料

一、工作簡況

1、任務(wù)來源

根據(jù)全國信息安全標準化技術(shù)委員會下達的《關(guān)于成立政務(wù)信息共享標準工

作組的通知》精神，依據(jù)中國電子技術(shù)標準化研究院網(wǎng)絡(luò)安全國家標準項目任務(wù)

書（項目名稱：信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求，項目編號：

2018BZZD-SWG-003）要求，由深圳奧聯(lián)信息安全技術(shù)有限公司牽頭編制《信息安

全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》，現(xiàn)征求意見。

2、標準編制的主要成員單位

項目成員單位主要包括：深圳奧聯(lián)信息安全技術(shù)有限公司、國家信息中心、

中國電子技術(shù)標準化研究院、公安部信息安全等級保護評估中心、國家保密科技

測評中心、中國信息安全測評中心、國家信息技術(shù)安全研究中心、清華大學、四

川大學、中國電子科技網(wǎng)絡(luò)信息安全有限公司、中國電子科技集團公司科學研究

院、成都衛(wèi)士通信息產(chǎn)業(yè)股份有限公司、全知科技（杭州）有限責任公司、亞信

科技（成都）有限公司、北京安華金和科技有限公司、杭州數(shù)夢工場科技有限公

司、陜西省信息化工程研究院、廣東京信軟件科技有限公司、北京信息安全測評

中心。

3、主要工作過程

2018年1月3日，全國信息安全標準化技術(shù)委員會發(fā)布《關(guān)于成立政務(wù)信

息共享標準工作組的通知》（信技字[2018]6號），經(jīng)全國信標委2017年第四

次主任委員辦公會審議通過，決定成立全國信息技術(shù)標準化委員會政務(wù)信息共享

標準工作組。

2018年1月至4月，國家信息中心組織深圳奧聯(lián)信息安全技術(shù)有限公司與相

關(guān)單位共同對現(xiàn)有的政務(wù)信息共享交換系統(tǒng)及信息安全相關(guān)標準規(guī)范體系進行

了預(yù)研究，并向國內(nèi)信息安全領(lǐng)域產(chǎn)、學、研、用等多家權(quán)威單位就標準制定工

作進行了廣泛交流和深入調(diào)研。

2018年4月14-17日，深圳奧聯(lián)信息安全技術(shù)有限公司參加了在武漢召開的

2018年全國信息安全標準化技術(shù)委員會SWG-BDS工作組第一次會議，并在會上

國家標準報批資料

作了《信息安全技術(shù)政務(wù)信息共享交換數(shù)據(jù)安全規(guī)范》立項匯報，介紹了標準

編制的目的、意義及標準草案框架等內(nèi)容。會后通過標準專家組評審，同意立項。

2018年7月，中國電子技術(shù)標準化研究院同意《信息安全技術(shù)政務(wù)信息共

享數(shù)據(jù)安全技術(shù)要求》標準正式立項，并與標準主研究承擔單位深圳奧聯(lián)信息

安全技術(shù)有限公司簽訂了《網(wǎng)絡(luò)安全國家標準項目任務(wù)書》（項目編號：

2018BZZD-SWG-003）。

2018年7月-8月，深圳奧聯(lián)信息安全技術(shù)有限公司牽頭組織并邀請了國內(nèi)

12家成員單位成立了標準編制工作組，編制組成員單位對現(xiàn)有的政務(wù)信息共享

交換系統(tǒng)及相關(guān)標準規(guī)范進行了調(diào)研、研究和分析，經(jīng)過多次召開會議共同確定

了標準編制原則、范圍及要求，形成了標準草案初稿框架。

2018年9月3日，政務(wù)信息共享數(shù)據(jù)安全標準編制組召開了第一次全體會議。

在該次會議上，經(jīng)編制組成員討論確定了本標準的編制目的、意義和原則，現(xiàn)有

標準初稿的框架內(nèi)容，征求了與會專家們對標準編制內(nèi)容的原則意見，制定了編

制工作計劃并做了任務(wù)具體分工。

2018年9月12日，標準編制組成員會聚國家信息中心，邀請國家電子政務(wù)

外網(wǎng)管理辦公室的領(lǐng)導專家進一步講解政務(wù)信息共享交換平臺的系統(tǒng)構(gòu)成與業(yè)

務(wù)流程，并討論了標準草案初稿內(nèi)容、研究確定了標準草案中補充共享交換平臺

框架與數(shù)據(jù)交換模式等內(nèi)容。

2018年9月12-28日，標準編制組主要成員單位編寫各自負責的標準草案初

稿內(nèi)容，主要涉及政務(wù)信息共享交換平臺數(shù)據(jù)交換模式補充修訂、數(shù)據(jù)脫敏要求

修訂、數(shù)據(jù)防泄露技術(shù)要求補充、安全審計要求補充等，編制組統(tǒng)一匯總意見后

形成標準草案，并將草案初稿在密碼行業(yè)專家和標準編制參與單位內(nèi)廣泛征求意

見，此后根據(jù)收到的反饋意見對標準草案進行了修改和完善。

2018年9月30日，標準編制組根據(jù)專家意見對標準草案進行了修改完善，

形成第一份標準草案，并將草案正式提交全國信息安全標準化技術(shù)委員會2018

年第二次工作組“會議周”SWG-BDS工作組，本標準草案列入10月25日工作組

青島會議審議計劃。

2018年10月1日-10月10日，標準編制組就第一份草案征詢外部專家意見。

2018年10月12日，標準編制組召開第三次全體會議并邀請外部專家研討，

會后根據(jù)專家意見對標準草案修改完善，形成第二份草案。

國家標準報批資料

2018年10月13日，標準編制組召開首次專家研討會，邀請到包括四位外部

安全專家和五位地方共享交換平臺專家對標準草案內(nèi)容進行評審，共匯總收集到

56條專家意見。

2018年10月14-17日，標準編制組分工對首次專家研討會匯總意見進行逐

條處理和響應(yīng)，并對標準草案修改完善，形成第三份草案。該版本草案進行了重

大調(diào)整：根據(jù)專家意見將原來的共享交換系統(tǒng)功能集合模型轉(zhuǎn)換為基于角色和業(yè)

務(wù)流程構(gòu)建模型，并相應(yīng)調(diào)整安全技術(shù)要求。

2018年10月18日，標準編制組織召開第二次專家研討會，邀請到WG1組杜

虹、陳曉樺、陳鐘等專家對標準草案內(nèi)容進行評審，共匯總收集26條專家意見，

與會專家一致推薦標準草案再修訂后推進到征求意見稿階段。會后標準編制組對

意見進行逐條處理，并對標準草案修改完善，形成第四份草案。該版本在第三份

草案草案的基礎(chǔ)上進一步細化業(yè)務(wù)流程，梳理流程關(guān)鍵過程和采用數(shù)據(jù)安全技術(shù)

的對應(yīng)關(guān)系，梳理抽象業(yè)務(wù)模型和現(xiàn)有共享交換平臺工作模式對應(yīng)關(guān)系。

2018年10月19日，標準編制組織召開第三次專家研討會，邀請到WG1組顧

建國、郭曉雷、卿斯?jié)h等專家對標準草案內(nèi)容進行評審，共匯總收集15條專家

意見，與會專家一致推薦標準草案再修訂后推進到征求意見稿階段。會后標準編

制組當天對意見進行逐條處理，并對第四份標準草案修改完善。根據(jù)專家的意見，

這次草案的改進主要集中于進一步明確角色的命名（共享資源提供方調(diào)整為共享

數(shù)據(jù)提供方、共享資源需要方調(diào)整為共享數(shù)據(jù)使用方）和角色各方責任；并進一

步梳理業(yè)務(wù)流程，將數(shù)據(jù)獲取結(jié)束階段安全技術(shù)要求從原來的數(shù)據(jù)使用階段的第

一環(huán)節(jié)調(diào)整為共享交換階段的最后一個環(huán)節(jié)。

2018年10月24日，標準編制組牽頭單位深圳奧聯(lián)信息安全技術(shù)有限公司代

表編制組參加在青島召開的2018年全國信息安全標準化技術(shù)委員會SWG-BDS工

作組第二次會議，并在會議上作了標準草案內(nèi)容介紹及編制工作進展情況的專題

匯報，回答了與會專家現(xiàn)場提出的問題，專題匯報后將第四份標準草案提交工作

組全體專家評審，經(jīng)過工作組成員全體投票表決通過，同意將標準草案正式推進

到征求意見稿階段。

2018年11月27日，標準編制組根據(jù)青島會議周期間收集到的對第四份標準

草案的16條專家意見（一條意見被撤回），進行了認真研究和分析并逐條形成

處理意見，根據(jù)處理意見對標準草案進行了修訂，主要修改內(nèi)容包括：規(guī)范化引

國家標準報批資料

用補充了GB/T21062—2007政務(wù)信息資源交換體系、GB/T21063—2007政務(wù)

信息資源目錄體系相關(guān)國標，標準文本中出現(xiàn)的術(shù)語與上述兩份國標保持了一

致，此外對數(shù)據(jù)銷毀等章節(jié)的文字進行補充和修訂，形成了第五份標準草案，并

按照TC260工作組要求將第五份標準草案作為征求意見稿正式提交工作組秘書

處。

二、標準編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問題

1、編制原則

本標準的編制原則是：

(一)通用性；

本標準的編制應(yīng)為保障我國通過建設(shè)國家、省級、地市級等多級數(shù)據(jù)共享交

換平臺，實現(xiàn)部門之間、部門與地方政府部門之間以及地方政府部門之間的政務(wù)

信息資源共享交換，制定針對政務(wù)信息資源共享交換平臺數(shù)據(jù)流轉(zhuǎn)過程的數(shù)據(jù)安

全技術(shù)要求。

(二)實用性；

根據(jù)我國國情、實際使用環(huán)境和國家有關(guān)政策進行標準的制定，編制的標準

應(yīng)在指導政務(wù)信息資源共享平臺建設(shè)，保障和提升政務(wù)信息共享數(shù)據(jù)安全性，以

及解決政務(wù)信息共享交換環(huán)節(jié)數(shù)據(jù)泄露、數(shù)據(jù)濫用和管理責任難以界定等問題方

面具有實用價值。

(三)符合性；

遵循國家現(xiàn)有密碼政策、等級保護相關(guān)規(guī)定，符合國家有關(guān)法律法規(guī)和已編

制標準規(guī)范的相關(guān)要求，符合等級保護要求及國家密碼管理主管部門的要求。

2、標準的主要內(nèi)容及確定主要內(nèi)容的依據(jù)

本標準參照大數(shù)據(jù)服務(wù)安全能力要求（GB/T35274-2017），參考了個人信息

安全規(guī)范（GB/T35273-2017）、大數(shù)據(jù)安全管理指南（GB/TAAAAA—AAAA）、數(shù)

據(jù)安全能力成熟度模型（GB/TBBBBB—BBBB）、信息系統(tǒng)密碼應(yīng)用基本要求（GM/T

0054—2018）等技術(shù)標準，提出了政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求。

本標準主要內(nèi)容如下：

1)范圍

國家標準報批資料

2)規(guī)范性引用文件

3)術(shù)語和定義

4)縮略語

5)政務(wù)信息共享安全框架

6)數(shù)據(jù)安全保護技術(shù)要求

7)附錄A(資料性附錄）政務(wù)信息共享交換平臺一般框架

8)附錄B(資料性附錄）政務(wù)信息共享交換模式

其中：

第1章“范圍”，描述了本規(guī)范的適用范圍，規(guī)范的邊界等。

第2章“規(guī)范性引用文件”，描述了本規(guī)范應(yīng)用的相關(guān)文件。

第3章“術(shù)語和定義”列出了規(guī)范中使用的術(shù)語及定義。

第4章“縮略語”列出了規(guī)范中使用的縮略語。

第5章“政務(wù)信息共享安全框架”描述了政務(wù)信息共享交換業(yè)務(wù)模型，并對

政務(wù)信息共享數(shù)據(jù)安全技術(shù)框架加以說明。

第6章“數(shù)據(jù)安全保護技術(shù)要求”為本標準的核心關(guān)鍵章節(jié)。本章節(jié)詳細規(guī)

范了共享數(shù)據(jù)準備安全技術(shù)要求，共享數(shù)據(jù)交換安全技術(shù)要求，共享數(shù)據(jù)使用安

全技術(shù)要求。

第7章“基礎(chǔ)設(shè)施安全技術(shù)要求”規(guī)定了政務(wù)信息共享的基礎(chǔ)實施應(yīng)滿足的

安全技術(shù)要求。

第8章“附錄A(資料性附錄）政務(wù)信息共享交換平臺一般框架”詳細描述

了政務(wù)信息共享交換平臺數(shù)據(jù)共享交換體系，以及政務(wù)信息共享交換平臺一般框

架構(gòu)成。

第8章“附錄B(資料性附錄）政務(wù)信息共享交換模式”詳細描述了政務(wù)信

息共享交換的三種模式，以及可采用的典型數(shù)據(jù)交換方式，還列表說明了共享交

換模式與數(shù)據(jù)交換方式對應(yīng)關(guān)系。

3、解決的主要問題

政府各部門的政務(wù)信息數(shù)據(jù)安全保護機制不盡相同，包括不同的身份認證機

制、訪問控制機制、數(shù)據(jù)加密機制等。這種現(xiàn)象導致信息共享平臺在整合各個系

統(tǒng)的數(shù)據(jù)訪問時面臨困難，導致數(shù)據(jù)采集、數(shù)據(jù)獲取、交互交換中發(fā)生遲滯、偏

國家標準報批資料

差。本項目擬從數(shù)據(jù)安全與保護成本的角度出發(fā)，依據(jù)數(shù)據(jù)分類和分級原則，規(guī)

范政務(wù)信息交換共享中數(shù)據(jù)的安全防護技術(shù)要求。過程中的主要技術(shù)問題及難點

有：

1.各共享接入部門原有的安全防護水平參差不齊，導致接入后共享平臺整

體的安全防護薄弱點增多。

2、數(shù)據(jù)來源多，安全責任主體多，管理復雜，數(shù)據(jù)共享數(shù)據(jù)格式多樣、標

準不一。

3、數(shù)據(jù)匯集后的安全等級動態(tài)變化，導致安全策略需動態(tài)調(diào)整。

4、數(shù)據(jù)分級分類復雜，難以采用統(tǒng)一的保護措施。

三、標準編制工作方案與主要技術(shù)內(nèi)容

通過充分調(diào)研和梳理政務(wù)信息共享的數(shù)據(jù)流程，抽取共性，分析政務(wù)信息數(shù)

據(jù)流轉(zhuǎn)的過程及面臨的數(shù)據(jù)安全風險，梳理安全控制點等，調(diào)研、借鑒現(xiàn)有相關(guān)

標準，分析現(xiàn)有各種數(shù)據(jù)安全技術(shù)應(yīng)對政務(wù)信息共享過程中面臨數(shù)據(jù)風險的能

力，針對數(shù)據(jù)安全風險，提出統(tǒng)一的政務(wù)信息資源安全共享交換技術(shù)架構(gòu)；根據(jù)

匯聚的數(shù)據(jù)在不同層面的設(shè)計不同安全要求和保密要求、規(guī)劃不同的保護措施；

充分使用密碼技術(shù)進行數(shù)據(jù)加解密、去隱私等保護。并結(jié)合實際應(yīng)用場景，征求

政務(wù)部門關(guān)于數(shù)據(jù)安全的具體需求，組織各參與單位編制標準草案；針對標準草

案公開征求多方意見，標準工作組根據(jù)征集到的意見對草案進行修改，形成標準

征求意見稿，完成標準的編制說明和意見處理匯總表。

針對政務(wù)信息數(shù)據(jù)流轉(zhuǎn)的全過程和面臨的數(shù)據(jù)安全風險，提出數(shù)據(jù)安全技術(shù)

要求，主要包括身份鑒別、訪問控制、安全傳輸、數(shù)據(jù)加密、脫敏處理、安全審

計等方面涉及的安全技術(shù)要求。

主要技術(shù)內(nèi)容包括：

1.共享數(shù)據(jù)準備安全技術(shù)要求，包括共享數(shù)據(jù)歸集、數(shù)據(jù)分級分類、資源

目錄安全管理、共享數(shù)據(jù)維護等環(huán)節(jié)的安全技術(shù)要求。其中共享數(shù)據(jù)歸集主要包

括數(shù)據(jù)源鑒別的安全技術(shù)要求；共享數(shù)據(jù)維護主要包括數(shù)據(jù)質(zhì)量控制、數(shù)據(jù)存儲

加密、數(shù)據(jù)存儲隔離、數(shù)據(jù)召回及銷毀等方面的安全技術(shù)要求。

2.共享數(shù)據(jù)交換安全技術(shù)要求，包括身份管理、授權(quán)管理、審驗審核、數(shù)

據(jù)導出、數(shù)據(jù)交換、數(shù)據(jù)導入等環(huán)節(jié)的安全技術(shù)要求。其中數(shù)據(jù)導出包括數(shù)據(jù)脫

國家標準報批資料

敏、數(shù)據(jù)加密、數(shù)據(jù)標記、安全策略檢查等方面的安全技術(shù)要求；數(shù)據(jù)交換包括

身份鑒別、訪問控制、安全傳輸、操作抗抵賴、過程追溯、級聯(lián)接口安全等方面

的安全技術(shù)要求，數(shù)據(jù)導入包括故障保護、質(zhì)量認定及數(shù)據(jù)分責等方面的安全技

術(shù)要求。

3.共享數(shù)據(jù)使用安全技術(shù)要求，包括數(shù)據(jù)處理、數(shù)據(jù)存儲、數(shù)據(jù)備份、數(shù)

據(jù)銷毀、數(shù)據(jù)監(jiān)管等環(huán)節(jié)的安全技術(shù)要求。其中數(shù)據(jù)處理包括身份鑒別、訪問控

制、授權(quán)管理、數(shù)據(jù)脫敏、數(shù)據(jù)加密、數(shù)據(jù)防泄露、分布處理安全、數(shù)據(jù)處理溯

源、數(shù)據(jù)分析安全、安全審計等方面的安全技術(shù)要求；數(shù)據(jù)存儲包括存儲安全、

數(shù)據(jù)防護、數(shù)據(jù)加密、安全審計等方面的安全技術(shù)要求；數(shù)據(jù)備份包括備份方式、

備份頻度、保存與恢復等方面的安全技術(shù)要求；數(shù)據(jù)銷毀包括銷毀授權(quán)、審計、

銷毀方式等要求；數(shù)據(jù)監(jiān)管包括包括數(shù)據(jù)使用行為記錄、行為分析、安全策略匹

配、監(jiān)管反饋等技術(shù)要求。

4.基礎(chǔ)設(shè)施安全要求。包括針對政務(wù)信息共享交換云平臺、前綴交換系統(tǒng)、

基礎(chǔ)網(wǎng)絡(luò)環(huán)境、資源共享網(wǎng)站的安全技術(shù)要求。

5.政務(wù)信息共享交換業(yè)務(wù)模型、交換模式與共享交換平臺一般框架。共享

交換業(yè)務(wù)模型包括共享數(shù)據(jù)準備、共享交換、共享數(shù)據(jù)使用三個階段，由共享數(shù)

據(jù)提供方、共享交換服務(wù)方與共享數(shù)據(jù)使用方三方參與；共享交換模式包括直通

模式、代理模式及服務(wù)模式；共享交換平臺一般框架包括資源共享網(wǎng)站、資源目

錄系統(tǒng)、共享資源管理系統(tǒng)、資源交換系統(tǒng)以及歸集資源管理系統(tǒng)等。

四、知識產(chǎn)權(quán)情況說明

本標準不涉及專利及知識產(chǎn)權(quán)問題。

五、產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達到的經(jīng)濟效果

隨著國家數(shù)據(jù)共享交換平臺的建設(shè)，數(shù)據(jù)正在源源不斷、常態(tài)化、大量地聚集

到共享平臺或通過共享平臺交換。這些數(shù)據(jù)有如下特點：一是敏感性。大量數(shù)據(jù)是

與國民經(jīng)濟發(fā)展、社會管理緊密相關(guān)的信息以及大量的個人隱私、商業(yè)機密信息、

國家機密信息。二是受控性。提供數(shù)據(jù)源的單位曾對數(shù)據(jù)采取了嚴格授權(quán)管理，標

記了數(shù)據(jù)的敏感性和查詢或發(fā)布范圍。三是流動性。中央政務(wù)部門和地方政府通過

共享平臺獲得國家數(shù)據(jù)的共享，將來數(shù)據(jù)交互規(guī)模不容小覷。數(shù)據(jù)的不斷歸集與交

國家標準報批資料

換將帶來諸多亟待解決的安全問題，尤其是數(shù)據(jù)的安全性是國家政務(wù)部門極度關(guān)注

的問題，也是影響國家政務(wù)信息資源進行共享交換的業(yè)務(wù)開展的重要因素。數(shù)據(jù)保

護處理不當會給數(shù)據(jù)提供單位、數(shù)據(jù)使用單位，以及公眾個人帶來損害，乃至對國

家政治經(jīng)濟安全穩(wěn)定帶來危害，因此急需研究制定相關(guān)的安全標準。

本標準在國家各級政府電子政務(wù)領(lǐng)域進行推廣，可以有效提升政務(wù)信息資源采

集、共享、使用過程的安全防護能力，全面保障政務(wù)信息資源共享交換數(shù)據(jù)安全。

六、采用國際標準和國外先進標準情況

無。

七、與現(xiàn)行相關(guān)法律、法規(guī)、規(guī)章及相關(guān)標準的協(xié)調(diào)性

(一)貫徹國家有關(guān)政策與法規(guī)

本標準中涉及的密碼算法應(yīng)遵循國家商用密碼的有關(guān)規(guī)定。

（二）與相關(guān)國內(nèi)相關(guān)標準的關(guān)系

本標準參照GB/T35274—2017《信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》，

針對政務(wù)信息共享領(lǐng)域特點，遵循數(shù)據(jù)生命周期各階段安全要求，提出政務(wù)信息共

享數(shù)據(jù)流轉(zhuǎn)過程的數(shù)據(jù)安全技術(shù)要求，滿足GB/T30271—2013《信息安全技術(shù)數(shù)

據(jù)安全能力成熟度模型