国家标准《数据安全技术 政务数据处理安全要求》正式发布 明确多项密码要求

　　近日，《数据安全技术 政务数据处理安全要求》（GB/T 45396—2025，点击查看全文）经国家市场监督管理总局、国家标准化管理委员会正式批准发布。标准由国家信息中心牵头，联合江西省大数据局等近20家业内优秀产学研机构共同编制，面向政务数据处理活动，对全国各级政务部门开展广泛调研，与国内政务、数据安全等领域专家进行了充分交流，旨在规范政务数据处理活动，强化各级政务部门数据安全保护能力，为各地方、各行业部门提升政务数据安全保障水平提供参考指引。

▲ 政务数据处理安全框架

　　《数据安全技术 政务数据处理安全要求》首次聚焦政务数据收集、存储、使用、加工、传输、提供、公开及销毁全流程，面向数据安全管理、数据处理活动、数据安全技术和个人信息保护，系统化提出政务数据处理安全技术与管理要求。秉持“客观性、可复现、可控性、最小影响、保密性”原则，规定了政务数据安全合规评估方法与评价指标体系，从安全制度规范、安全技术防护和安全运行管理三个维度，对政务数据处理安全合规提出符合性验证要求，共包含3项一级指标、24项二级指标、87项三级指标，适用于规范政务部门和技术支撑机构的政务数据处理活动，以及主管、监管部门、第三方机构进行监督管理和评估。标准将于2025年10月1日起正式实施。

　　该标准明确多项密码要求。

　　要求一：在“安全制度规范”维度中的“政务数据处理安全组织”里的密码要求

▲政务数据处理安全组织

　　·决策层具有明确政务数据处理的安全方针、目标和原则，制定政务数据处理的安全发展规划等职责；

　　·管理者具有统筹网络安全等级保护、信息系统密码应用安全、政务数据安全合规评估、政务数据安全风险评估、政务数据安全风险监测、政务数据安全预警通报、政务数据安全应急处置、数据　　安全事件上报和数据安全事件溯源分析等工作的职责；

　　·执行层具有开展网络安全等级保护、信息系统密码应用安全、政务数据安全合规评估、政务数据安全风险评估、政务数据安全风险监测、政务数据安全预警通报、政务数据安全应急处置、数据安全事件上报和数据安全事件溯源分析等工作的职责；

　　·协作层应负责为管理层和执行层在其职责范围内开展工作提供必要的配合和协助；

　　·监督层具有监督网络安全等级保护、信息系统密码应用安全、政务数据安全合规评估、政务数据安全风险评估、政务数据安全风险监测、政务数据安全预警通报、政务数据安全应急处置、数据安全事件上报和数据安全事件溯源分析等工作的执行情况的职责。

　　要求二：在“安全制度规范”维度中的“制度体系”里的密码要求

　　制度体系包括“对于处理政务数据的信息系统，应建立密码应用安全管理制度，并符合 GB/T 39786对应级别要求”等要求。

　　要求三：在“安全技术防护要求”维度中的“数据存储”里的密码要求

　　数据存储包括“应基于密码技术提供重要数据的机密性保护”“应基于密码技术提供政务数据的完整性保护”等要求。

　　要求四：在“安全技术防护要求”维度中的“数据使用”里的密码要求

　　数据使用包括“应采用数字签名和多因素身份鉴别等技术，提供细粒度的身份鉴别和访问控制”“应采用密码技术保障数据接口传输数据的机密性和完整性”等要求。

　　要求五：在“安全技术防护要求”维度中的“数据传输”里的密码要求

　　数据传输包括“应部署安全通道并采用密码技术，符合数据传输过程的机密性和完整性要求”等要求。

　　要求六：在“安全技术防护要求”维度中的“数据公开”里的密码要求

　　数据公开包括“应采用技术手段建立数据溯源能力，并采用校验技术或密码技术保护溯源数据的完整性”等要求。

　　……

扫码进入全国标准信息公共服务平台

查看标准全文

　　随着数字政府建设的深入推进，政务数据在跨部门、跨层级共享与应用中面临日益复杂的安全挑战与威胁。《数据安全技术 政务数据处理安全要求》紧紧围绕政务大数据体系建设总体需要，进一步完善政务数据安全治理体系，细化落实《数据安全法》《个人信息保护法》等法律法规要求和安全监管需要，助力政务数据安全治理迈入规范化新阶段，促进政务数据从“粗放管理”向“精细化治理”转型，催生数据安全新业态，促进合规服务标准化，助力构建“安全可控、高效流通”的政务数据生态体系。

　　信息来源：国家信息中心、全国标准信息公共服务平台