《公安监管数据资源 第7部分 数据安全管理规范》

ICS35.040

A90

团体标准

T/FSASX.7-2020

公安监管数据资源

第7部分数据安全管理规范

PoliceSupervisionDataResources

Part7Datamanagementspecification

（征求意见稿）

2021-01-XX发布2021-01-XX实施

佛山市标准化协会发布

T/FSASX.7-2020

目次

前言...................................................................................II

1范围...................................................................................1

2规范性引用文件.........................................................................1

3术语和定义.............................................................................1

4总体要求...............................................................................1

4.1数据安全管理依据...................................................................1

4.2数据安全管理原则...................................................................2

4.3数据安全管理机构...................................................................2

4.4数据安全管理制度...................................................................2

4.5数据安全管理人员...................................................................2

4.6数据安全建设管理...................................................................2

4.7数据安全运维管理...................................................................3

5数据采集安全...........................................................................4

5.1基本要求...........................................................................4

5.2数据分级...........................................................................4

5.3数据源管理.........................................................................4

5.4数据质量管理.......................................................................5

6数据传输安全...........................................................................5

7数据存储安全...........................................................................5

7.1基本要求...........................................................................5

7.2数据逻辑存储.......................................................................5

7.3数据备份与恢复.....................................................................5

7.4数据访问控制.......................................................................6

8数据处理安全...........................................................................6

8.1基本要求...........................................................................6

8.2数据脱敏...........................................................................6

8.3数据分析...........................................................................6

8.4数据使用...........................................................................7

9数据共享安全...........................................................................7

9.1基本要求...........................................................................7

9.2无条件共享数据共享安全.............................................................7

9.3有条件共享数据共享安全.............................................................7

9.4涉密不共享数据共享安全.............................................................7

10数据销毁安全.........................................................................7

T/FSASX.7-2020

前  言

T/FSASX-2020《公安监管数据资源》系列标准分为7个部分：

——第1部分：总则

——第2部分：公共基础数据规范

——第3部分：物联感知数据规范

——第4部分：业务事项数据规范

——第5部分：交换比对数据规范

——第6部分：数据采集和共享管理规范

——第7部分：数据安全管理规范

本部分为T/FSASX-2020的第7部分。

本文件按照GB/T1.1-2020给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本文件由佛山市公安局监所管理支队提出。

本文件由佛山市公安局归口。

本文件起草单位：

本文件起草人：

II

T/FSASX.7-2020

1范围

本文件规定了公安监管数据安全管理的总体要求及数据归集安全、数据传输安全、数据存储安全、

数据处理安全、数据共享安全和数据销毁安全要求。

本文件适用于公安监管数据资源的规划、建设和管理。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T22239信息安全技术网络安全等级保护基本要求

T/FSAS49（所有部分）公安监管数据资源

3术语和定义

下列术语与定义适用于本文件。

3.1

数据安全DataSecurity

通过采取必要措施，防范对系统的攻击、侵入、干扰、破坏和非法使用以及意外事故，使系统处于

稳定可靠运行的状态，以及保障系统数据的完整性、保密性、可用性的能力。

3.2

数据安全管理Datasecuritymanagement

对数据采集、传输、存储、处理、共享和销毁等数据管理流程环节进行安全管理。

3.3

数据分级Dataclassification

按照一定的分级原则、分级方法，对数据分为无条件共享数据等级、有条件共享数据等级、涉密不

共享数据等级三个等级。

3.4

数据脱敏Datadesensitization

通过一系列数据处理方法，对数据进行处理以屏蔽敏感信息的一种数据保护方法。

4总体要求

4.1数据安全管理依据

公安监管数据安全管理应符合GB/T22239、T/FSAS49（所有部分）的相关要求。

1

T/FSASX.7-2020

4.2数据安全管理原则

公安监管数据安全管理应采取主动防御、综合防范方针，坚持保障数据安全与促进创新应用相协调、

管理与技术并重的原则，实行统一协调、分工负责、分级管理。各公安监管机构数据安全和信息化工作

应同步规划、同步建设、同步运行。

4.3数据安全管理机构

公安监管数据主管单位应建立公安监管数据安全管理机构，并应满足以下要求：

a)建立公安监管数据安全领导小组，指定小组组长，并明确组长责任与权力；

b)建立公安监管数据安全执行小组，按照职责分离与权限最小化原则设置相关职能岗位；

c)建立独立的公安监管安全监督管理机构，对各参与单位数据操作行为进行安全监督管理；

d)制定公安监管数据安全岗位的工作规范，明确各职能岗位之间的协作关系、运行配合机制。

4.4数据安全管理制度

公安监管数据主管单位应按照网络安全等级保护要求制定公安监管数据安全管理制度，制定实施系

统配置技术管理规程、软件采购使用限制策略和外部组件使用安全策略，规定配置管理的审批、操作流

程，提供符合标准规范的管理与服务，并应满足以下要求：

a)制定满足公安监管业务需求的安全策略，明确安全方针、安全目标和安全原则；

b)基于安全策略建立相关的制度规程，形成以数据为核心的公安监管数据安全制度体系；

c)制定策略、规程的评审和发布流程，明确适当的频率和时机对策略和规程进行更新。

4.5数据安全管理人员

各参与单位应根据自身角色和职责对公安监管数据安全管理人员进行管理，并应满足以下要求：

a)固化员工入职、转岗、离职的人力资源流程，及时将人员的变更通知到相关方；

b)及时调整人员变化所涉及的账号权限的赋权、更改和回收；

c)制定与各参与单位相关人员的标准合同协议，以约束相关人员与组织的数据安全责任；

d)建立离任审计机制，对关键人员离任进行审查，及时回收相关资源和授权，并对其在任期中行

为进行评估，分析是否存在滥用职权、弄虚作假、以权谋私等情况

e)建立数据安全培训制度，每年至少一次对系统建设、运维、使用和从业人员进行数据安全培训。

4.6数据安全建设管理

4.6.1数据供应链管理

公安监管数据主管单位应对公安监管数据建设进行管理，并应符合以下安全要求：

a)建立公安监管数据提供单位、数据使用单位、数据建设和运维单位安全管理规范，定义公安监

管数据安全目标、原则和范围，明确各参与单位的安全责任和义务，并建立监督审核机制；

b)与各参与单位签署协议，明确公安监管数据的使用目的、供应方式、保密约定等；

c)对各参与单位行为进行相关记录并进行合规性审核与监督；

d)建立公安监管数据供应链和相关数据字典规则库，监测实际数据流动情况，分析数据流向与数

据供应链遵循情况，发现异常自动报警。

2

T/FSASX.7-2020

4.6.2数据外包服务管理

4.6.2.1各公安监管机构采用外包服务提供商参与相关数据工作时，应依法与其签订数据处理协议和保

密协议，并对其所有数据操作行为进行监督，每季度至少一次审计操作日志。

4.6.2.2外包服务提供商应具备相应资质，建立和落实数据安全管理、个人隐私保护、应急管理等管理

制度和技术防护措施。

4.6.2.3外包服务提供商应按照数据处理协议和保密协议要求开展相关数据工作，不得违反规定将公安

监管机构所提供的数据扩散或传播；服务结束后，应立即清除公安监管机构所提供的账户、密码及数据。

4.7数据安全运维管理

4.7.1数据资产管理

各公安监管机构应根据自身角色和职责对公安监管数据资产进行管理，并应符合以下安全要求：

a)制定公安监管数据资产安全管理制度，明确数据资产的安全管理目标和安全原则、全生命周期

管理要求、资产登记要求和分类标记要求，并对其执行定期审核和更新；

b)建立公安监管数据资产登记机制，形成公安监管数据资产清单，明确数据资产安全责任主体及

相关方，并及时更新数据资产相关信息；

c)制定和实施公安监管数据资产分类和标记规范，建立相应的标记策略、访问控制、数据加解密、

数据脱敏等安全机制和管控措施。

4.7.2元数据管理

公安监管数据主管单位应对公安监管元数据进行管理，并应符合以下安全要求：

a)建立公安监管元数据语义统一规范和管理规则；

b)建立公安监管元数据安全管理规范，如口令策略、权限列表、授权策略；

c)建立公安监管元数据访问控制策略，明确元数据管理角色及其授权控制机制，对元数据管理角

色进行授权和访问管理；

d)建立公安监管元数据操作审计制度，明确采集元数据操作日志，确保元数据操作的可追溯。

4.7.3数据运行监管

公安监管数据运维单位应对公安监管数据运行进行监管，并应符合以下安全要求：

a)制定公安监管数据生命周期各阶段数据访问和操作的日志记录规范要求和监管要求，对公安监

管数据采集、传输、存储、处理、销毁等过程进行有效日志记录，实现公安监管数据共享全链

路的可追溯；

b)建立统一的公安监管数据访问和操作的日志记录和分析技术工具，对各类数据访问和操作的日

志进行统一处理和分析，实现对公安监管数据滥用、违规使用、越权使用等行为的识别、监控

和追责；

c)建立公安监管敏感数据动态可持续的数据风险监管体系，对公安监管敏感数据面临的安全威胁、

安全措施有效性等内容进行周期性风险评估。

4.7.4终端数据管理

各公安监管机构应根据自身角色和职责对公安监管终端数据进行管理，并应符合以下安全要求：

3

T/FSASX.7-2020

a)制订面向终端的公安监管数据安全管理规范，明确终端层面的数据防泄漏管理要求；

b)建立并实施公安监管终端安全解决方案，实现终端设备与组织机构内部员工的有效绑定，并按

照统一的部署标准在终端系统上安装各类防控软件，对终端系统上的数据进行风险监控。

4.7.5数据防泄漏管理

公安监管数据主管单位应对公安监管数据防泄漏进行管理，并应符合以下安全要求：

a)制定公安监管数据防泄露规范，明确公安监管数据泄露防护处理的应用场景和处理方法：

b)建立基于终端使用、动态传输、静态存储的公安监管综合数据泄露防护机制；

c)提供能够面向不同业务场景的公安监管数据泄露防护策略的设置与部署；

d)提供公安监管数据防泄漏处理过程的日志记录,满足公安监管数据防泄漏处理安全审计要求。

4.7.6数据应急管理

公安监管数据主管单位应建立数据安全应急工作机制，制定公安监管数据安全事件应急预案，每年

至少一次组织演练。各公安监管机构应建立应急协同机制。

5数据采集安全

5.1基本要求

5.1.1公安监管数据主管单位应制定公安监管数据分级标准、数据源管理制度和数据质量监控规则，

对公安监管数据实行分级管理，对公安监管数据源进行识别和溯源，对公安监管数据质量进行监控。

5.1.2公安监管数据提供单位应确保本部门所提供的数据质量符合T/FSAS49系列标准和数据主管单

位的相关要求，并对数据采集的环境、设施、网络、系统等采取必要的安全防护措施，不得利用私人设

备采集公安监管数据。

5.2数据分级

5.2.1数据分级原则

公安监管数据分级原则应符合以下要求：

a)按照本文件规定的数据分级方法，对公安监管数据进行分级；

b)在公安监管数据确定级别后，应明确相应级别的公安监管数据共享安全要求。

5.2.2数据分级方法

公安监管数据应按数据敏感度划分等级，划分原则如下：

a)非敏感数据为无条件共享数据等级；

b)涉及用户隐私数据为有条件共享数据等级；

c)涉及国家秘密数据为涉密不共享数据等级。

5.3数据源管理

公安监管数据源管理应符合以下安全要求：

4

T/FSASX.7-2020

a)在数据采集过程中，公安监管数据主管单位应制定公安监管数据源管理制度，针对不同的数据

采集场景定义数据溯源策略和机制，并提供有效工具对外部采集的数据和数据源进行识别和记

录，确保数据管理人员能追踪其加工和计算数据的原始数据来源；

b)公安监管数据提供单位应确保所提供的数据来源真实有效、合法正当，并明确数据共享范围和

用途；

c)公安监管数据提供单位应保留数据原始表，不做任何加工清洗，以满足溯源、数据质量核查

等需求。

5.4数据质量管理

公安监管数据主管单位应建立数据质量监控规则，明确数据质量监控范围及监控方式，并对在线和

离线采集的数据进行监控，实现对异常数据的告警。

6数据传输安全

公安监管数据提供单位应合理选择传输渠道，采取必要的安全措施防止数据被窃取、泄露或篡改，

并应符合以下安全要求：

a)明确需要传输加密的业务场景，支持对个人信息和重要数据的加密传输；

b)提供对传输通道两端进行主体身份鉴别和认证的技术方案和工具；

c)提供对传输数据的完整性进行检测并执行恢复控制的技术方案和工具；

d)提供对数据传输安全策略的变更进行审核和监控的技术方案和工具，对通道安全策略配置、密

码算法配置、密钥管理等保护措施进行审核及监控。

7数据存储安全

7.1基本要求

7.1.1公安监管数据主管单位应确保市级相关平台或系统的数据存储安全，对共享的公安监管数据进

行备份和恢复，并建立公安监管数据安全访问策略。

7.1.2公安监管数据使用单位应确保本部门相关平台或系统的数据存储安全，并对本部门公安监管数

据进行备份与恢复，并按照数据主管单位的相关要求建立本部门公安监管数据安全访问策略。

7.2数据逻辑存储

公安监管数据逻辑存储应符合以下安全要求：

a)建立公安监管数据存储系统安全配置规则，支撑公安监管数据存储系统安全管理；

b)定期检查公安监管数据存储系统安全配置以符合基线的一致性要求；

c)定期探查存储系统的数据是否符合相关合规性的要求；

d)采用碎片化分布式离散存储技术保存数据资源，并具有完整性验证机制；

e)支持采用符合国家认定的密码算法对高敏感数据进行加密存储，平台服务商不得掌握密钥。

7.3数据备份与恢复

公安监管数据备份与恢复应符合以下安全要求：

5

T/FSASX.7-2020

a)建立公安监管数据存储冗余策略、管理制度与规程，明确定义数据复制、备份和恢复的范围、

频率、工具、过程、日志记录规范、数据保存时长等；

b)建立数据备份、恢复的统一技术工具，并将具体备份策略固化到工具中，保证相关工作自动化

执行；

c)建立数据复制、数据备份与恢复的定期检查和更新工作程序，包括数据副本更新频率、保存期

限等，确保数据副本或备份数据的有效性。

7.4数据访问控制

公安监管数据访问控制应符合以下安全要求：

a)建立公安监管数据安全访问策略，由授权主体进行访问策略配置，授予数据使用单位为完成各

自任务所需要的最小权限；

b)采用基于用户组或角色的方法，保障数据使用单位访问数据资源时权限明确；

c)采用多种方式对数据资源访问主体的身份进行鉴别；

d)采用必要的措施使数据使用单位的访问和修改等行为具有不可抵赖性。

8数据处理安全

8.1基本要求

8.1.1公安监管数据主管单位应制定数据脱敏处理规范，并由公安监管数据使用单位明确数据脱敏处

理的应用场景和处理方法。

8.1.2公安监管数据使用单位应确保数据分析安全、数据使用安全，并提供以下的数据处理环境：

a)用户在使用数据处理系统或平台前已获得授权，对不同数据使用者在数据处理平台中的数据、

功能等资源进行隔离控制；

b)建立数据处理日志管理工具，记录用户在数据处理平台上的加工操作，以备后期追溯；

c)定期审计用户数据操作行为，确定用户对数据加工未超出前期申请数据时的目的。

8.1.3在公安监管数据处理过程中，未经数据提供单位同意，不得改变原始数据值。

8.2数据脱敏

公安监管数据脱敏应符合以下安全要求：

a)建立公安监管数据脱敏规范，明确数据脱敏处理的应用场景和处理方法；

b)提供面向使用者的定制化数据脱敏功能，可基于场景需求自定义脱敏规则；

c)提供数据脱敏处理过程日志记录,满足数据脱敏处理安全审计要求。

8.3数据分析

公安监管数据分析应符合以下安全要求：

a)对数据分析结果进行风险评估，避免分析结果输出中包含可恢复的个人信息、重要数据等数据

和结构标识，确保衍生数据不超过原始数据的授权范围和安全使用要求；

b)对数据分析过程进行日志记录，对分析结果质量、真实性和合规性进行数据溯源；

c)对平台数据分析算法的变更进行风险评估。

6

T/FSASX.7-2020

8.4数据使用

公安监管数据使用应符合以下安全要求：

a)制定公安监管数据权限管理制度，规定各参与单位身份及访问权限的授予、变更、撤销等流程，

以及数据全生命周期的管理要求和责任制；

b)定义并执行统一的身份及访问管理流程，并定期审核当前数据资源访问权限是否符合身份及访

问管理的规范要求；

c)建立数据使用正当性的监督审核机制，保证在数据使用声明的目的和范围内对受保护的个人信

息、重要数据等数据进行使用和分析处理；

d)基于统一的身份及访问管理，对各系统的用户和数据资源进行权限管理，遵循做小够用的原则，

并依据数据使用目的建立相应强度或粒度的访问控制机制；

e)关键的系统采用多因素认证的方式进行身份认证，如可信的数字证书、生物识别方式等。

9数据共享安全

9.1基本要求

9.1.1公安监管数据主管单位应建立数据共享安全规范，明确数据使用单位的数据获取方式、服务接

口、授权机制和数据使用的权限范围等。

9.1.2公安监管数据主管单位应建立规范的数据共享流程，确保没有超出数据提供者所允许的数据授

权使用范围。数据共享流程应符合T/FSAS49.6-2020的相关要求。

9.1.3公安监管数据使用单位应采用数据服务接口方式