GB/T39477—2020 信息安全技术 政务信息共享 数据安全技术要求 Information security technology Government information sharing Data security technology requirements 中华人民共和国国家标准 发布：2020-11-19 实施：2021-06-01 国家市场监督管理总局 国家标准化管理委员会 前言 本标准按照GB/T1.1—2009给出的规则起草。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位包括国家信息中心、深圳奥联信息安全技术有限公司、中国电子技术标准化研究院、公安部信息安全等级保护评估中心等多家单位。本标准主要起草人包括程朝辉、徐春学、罗海宁、焦迪等。 引言 为解决政务信息共享交换过程中数据泄露、数据滥用等问题，本标准提出政务信息共享交换过程的数据安全技术要求，指导政务信息共享交换数据安全体系建设，增强数据安全保障能力。 1 范围 本标准规定了政务信息共享数据安全技术要求框架，涵盖共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施安全要求。本标准适用于各级政务信息共享交换平台的数据安全体系建设，并规范政务部门使用平台进行非涉密数据交换的安全保障工作。 2 规范性引用文件 GB/T22239—2019 信息安全技术 网络安全等级保护基本要求 GB/T25069 信息安全技术 术语 GB/T31168—2014 信息安全技术 云计算服务安全能力要求 GB/T35273 信息安全技术 个人信息安全规范 GM/T0054 信息系统密码应用基本要求 3 术语和定义 3.1 数据安全：采用技术和管理措施保护数据的保密性、完整性和可用性。 3.2 政务信息共享：因履行职责需要使用或提供政务信息资源的行为。 3.3 共享数据提供方：在政务信息共享中提供数据并承担资源责任的政务部门或机构。 3.4 共享数据交换服务方：为政务信息共享提供技术支持与服务的机构。 3.5 共享数据使用方：使用政务共享数据的政务部门或机构。 4 缩略语 略。 5 政务信息共享安全框架 规定政务信息共享交换业务模型及数据安全技术要求框架。 6 数据安全技术要求 6.1 共享数据准备安全要求：对数据进行分类分级、风险评估与安全处理。 6.2 共享数据交换安全要求：保障数据在传输过程中的完整性、机密性与可用性。 6.3 共享数据使用安全要求：规范数据访问控制与使用权限管理。 7 基础设施安全技术要求 7.1 通用要求：基础设施需符合网络安全等级保护要求。 7.2 基础网络：保障网络通信安全与隔离控制。 7.3 政务信息共享交换云平台：满足云安全与资源隔离要求。 7.4 前置交换子系统：确保数据交换过程安全可控。 7.5 资源共享网站：提供安全访问与审计能力。 附录A（资料性）政务信息共享交换平台一般框架 附录B（资料性）政务信息共享交换模式 参考文献