重庆市工程建设标准
住建领域网络与数据安全基础共性标准
Common standard for network and data security
fundamentals in the housing and urban-rural
development area
DBJ50/T-543-2026
主编单位: 重庆市建设信息中心
批准部门:重庆市住房和城乡建设委员会
施行日期: 2 0 2 6 年 6 月 1 日
重庆市住房和城乡建设委员会文件渝建标〔2026〕1号
重庆市住房和城乡建设委员会
关于发布《住建领域网络与数据安全
基础共性标准》的通知
各区县(自治县)住房城乡建委,重庆高新区建设局,万盛经开区住房城乡建设局、双桥经开区建设局、经开区生态环境建管局,有关单位:
现批准《住建领域网络与数据安全基础共性标准》为我市工程建设地方标准,编号为DBJ50/T-543-2026, 自2026年6月1日起施行。标准文本可在标准备案后登录重庆市住房和城乡建设技术发展中心官网免费下载。
本标准由重庆市住房和城乡建设委员会负责管理,重庆市建设信息中心负责具体技术内容解释。
重庆市住房和城乡建设委员会
2026年2月5日
前言
根据重庆市住房和城乡建设委员会《关于下达2024年度重庆市工程建设标准制订修订项目立项计划的通知》(渝建科 〔2024〕17号)文件要求,标准编制组经广泛调查研究,认真总结工程实践经验,参考有关国内标准和国外先进标准,并在广泛征求意见的基础上,编制了本标准。
本标准主要分7章,主要技术内容包括:1.总则;2.术语;
3.基本规定;4.网络安全要求;5.数据安全要求;6.管理合规要求;7.领域细分要求;附录。
本标准由重庆市住房和城乡建设委员会负责管理,重庆市建设信息中心负责具体技术内容的解释。在本标准执行过程中,请各单位注意收集资料,总结经验,并将有关意见和建议反馈给重庆市建设信息中心(地址:重庆市渝中区长江一路58号,邮政编码:400014,电话:63672019)。
本标准主编单位、参编单位、主要起草人员和主要审查人员: 主编单位:重庆市建设信息中心
参编单位:重庆邮电大学
联通(重庆)产业互联网有限公司
河南省信息咨询设计研究有限公司重庆信息通信咨询设计院有限公司北京神州绿盟信息技术有限公司
重庆市住房公积金管理中心
重庆市铁路(集团)有限公司
中建三局集团有限公司
重庆数智产业经济发展研究院
主要起草人员:周长安谢厚礼陈轩王春乐金涛张顺董奇鑫何林衲王熠向姝璠杨呈祥赵长江陈安全袁青松王毅胡明林吕翔白金龙唐世泽陈旭钟江完绍琨裴劼周倡伟李海周之煜
主要审查人员:陈国荣刘四明李超傅译锋邓军梁郝悦吴鹏
1 总则
1.0.1 为贯彻落实国家网络安全、数据安全相关法律法规,适应 “数字重庆”建设体系,结合重庆市住建领域实际需求,制定本标准。
1.0.2 标准旨在明确基础通用的网络与数据安全防护要求,构建基础、系统化的安全防护体系本标准,适用于指导重庆市住建领域相关单位开展网络与数据安全管理工作。
1.0.3 住建领域网络与数据安全应覆盖物理环境、通信网络、区域边界、计算环境等关键技术领域,贯穿数据应用全生命周期业务环节,并涵盖网络与数据安全管理等方面。
1.0.4 住建领域相关单位在构建网络与数据安全体系时除应符合本标准外,尚应符合国家现行有关标准的规定。
2 术语
2.0.1 住建领域 housing and urban-rural development area 从事住房和城乡建设领域管理和经济活动的所有单位集合。
2.0.2 网络安全 cybersecurity
通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。
2.0.3 数据安全 data security
通过管理和技术措施,确保数据有效保护和合规使用的状态。
2.0.4 网络资产 network assets
在网络环境中支持网络运行的硬件和设备资源及具有经济价值的数字化资源。
2.0.5 最小化原则 minimization principle
数据共享与交换过程中,仅共享或交换为实现特定目的所必需的数据。
2.0.6 应急响应 emergency response
组织为应对突发/重大信息安全事件发生所做的准备,以及在事件发生后所采取的措施。
2.0.7 数据销毁 data destruction
通过不可恢复的技术手段彻底销毁不再需要的数据,以防止敏感数据的泄漏或非法恢复。
2.0.8 最小权限原则 minimum permission privilege
系统和数据访问控制中,用户、应用程序或服务仅被授予完成其职责或任务所必需的最低权限。
2.0.9 最小曝光原则 minimum exposure principle
在系统和数据保护中,尽可能减少系统、服务和数据暴露在外部环境中的范围,仅向必要的用户或服务开放所需的资源。
2.0.10 个人信息 personal information
以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。 2.0.11 个人敏感信息 personal sensitive information
一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。
3 基本规定
3.0.1 网络与数据安全应遵循系统性、适应性、全生命周期管理的原则,结合住建领域特点,制定差异化的安全保护方案。
3.0.2 住建领域信息系统分级保护应符合现行国家标准《信息安全技术网络安全等级保护基本要求》GB/T 22239以及《信息安全技术网络安全等级保护定级指南》GB/T 22240等的规定。
3.0.3 住建领域相关单位应每年至少进行一次全面的网络与数据安全风险评估,评估内容应包含系统脆弱性、潜在安全威胁等安全问题和风险隐患。
3.0.4 住建领域信息系统应对所有安全相关操作进行日志记录,留存的日志应不少于6个月,互联网政务应用留存的日志应不少于1年。
3.0.5 住建领域相关单位应建立网络与数据安全管理体系,明确组织架构和安全管理职责,设立专门的安全管理部门或岗位。
4 网络安全要求
4.1 一般规定
4.1.1 网络安全管理应单位全员参与,并进行分级管理、持续改进。
4.1.2 网络安全管理应覆盖网络资产的全生命周期,包括资产的采购、部署、运行、维护和报废阶段。
4.1.3 住建领域相关单位应对网络安全管理工作进行持续监测和评估,应每年开展安全检查和风险评估,及时修复漏洞,重要时期开展重点防护。
4.1.4 住建领域相关单位应建立网络安全应急响应机制,制定网络安全应急预案。
4.1.5 住建领域相关单位应加强对外部合作方的网络安全管理,明确安全责任。
4.2 物理环境
4.2.1 住建领域相关单位机房应设置在安全区域,避免靠近公共区域或易受漏水、粉尘、油烟、振动、电磁场干扰等影响的场所。
4.2.2 机房入口应配备门禁系统,采用身份验证控制人员出入权限。
4.2.3 机房应配置防火、防水、防尘设施,应配备不间断电源和备用电源。
4.2.4 关键设备应安装在受保护的机柜内,并对机柜进行加锁管理。
4.2.5 机房管理人员应对机房和物理设备的访问行为进行审查。
4.3 通信网络
4.3.1 住建领域相关单位应对通信网络进行分层设计,核心层、 汇聚层和接入层应分别部署安全策略。
4.3.2 应对网络传输中的数据使用符合国家密码标准的加密算法进行端到端加密。
4.3.3 应在网络边界部署防火墙、入侵检测系统和入侵防御系统,实时监控流量并阻断恶意行为。
4.3.4 远程访问系统的用户应采取加密通讯,并对重要操作进行实时监控。
4.4 区域边界
4.4.1 住建领域相关单位应对网络区域边界进行隔离管理,可采用物理隔离、虚拟局域网和逻辑隔离等技术,对高安全级别区域和低安全级别区域进行分离。
4.4.2 应在区域边界部署访问控制设备,通过动态访问控制列表限制跨区域流量。
4.4.3 应用的授权与访问控制应按照最小权限原则并配置安全策略。
4.4.4 所有跨区域访问行为应记录日志,包括访问来源、时间、 资源和操作行为,留存的日志应不少于6个月,互联网政务应用留存的日志不少于1年。
4.4.5 安全管理人员应对日志记录进行审查,发现异常行为及时报警并处理。
4.5 计算环境
4.5.1 住建领域相关单位对计算环境中的设备和系统进行安全防护时应符合下列要求:
1 操作系统、数据库和应用程序应定期更新补丁,修复已知漏洞 ;
2 应安装终端检测与响应工具,实时监控终端行为并阻断异常操作;
3 应禁用未授权外设;
4 应禁用不必要的服务和端口。
4.5.2 用户权限应采用基于角色的访问控制,特权账号应启用多因素认证。
4.5.3 应配置安全信息与事件管理系统,实时监控计算环境中的安全事件。
4.5.4 应制定安全事件响应流程,包括事件评估、监测、处置和恢复步骤。
5 数据安全要求
5.1 一般规定
5.1.1 数据安全管理工作应将数据分类分级,重点数据进行保护,根据业务发展进行动态调整、持续改进。
5.1.2 住建领域相关单位应建立数据安全管理体系,覆盖数据的全生命周期,包括数据的采集、传输、存储、交换、销毁等环节。
5.1.3 数据分类与分级工作应保持动态更新,结合业务变化、数据性质变化和相关法规调整,及时更新数据分类分级结果,并同步调整安全管理措施。
5.1.4 数据安全管理应覆盖内部数据与外部数据、纸质数据和电子数据,住建领域相关单位在与外部机构共享或交换数据时, 应明确双方的数据安全责任。
5.1.5 住建领域相关单位应建立数据安全风险评估机制,对数据安全状况进行评估,识别潜在风险。
5.2 数据分类分级
5.2.1 数据分类分级应遵循科学实用、边界清晰、就高从严、点面结合、动态更新的原则。
5.2.2 /住建领域相关单位数据分类应符合本标准附录A 的有关规定,同时应符合下列要求:
1 业务条线:分为基础数据、住房和房地产、城乡建设、建筑业等四个业务条线;
2 关键业务:按照业务范围,对各业务条线的关键业务进行
分类 ;
3 业务属性:根据需要,可将数据设置多个业务属性,包括但不限于:业务领域、责任部门、描述对象、流程环节、数据主体、 内容主题、数据用途、数据处理、数据来源、共享属性。
5.2.3 根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,住建领域数据分级应符合本标准附录B 的有关规定,并从高到低分为核心数据、重要数据、 一般数据三个级别:
1 核心数据:对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、 一定深度的重要数据, 一旦被非法使用或共享,可能直接影响政治安全的重要数据。主要包括关系国家安全重点领域的数据,关系国民经济命脉,重要民生和重大公共利益的数据,经评估确定的其他数据;
2 重要数据:特定领域、特定群体、特定区域或达到一定精度和规模的数据, 一旦被泄露或篡改、损毁,其可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据;
3 一般数据:核心数据、重要数据之外的其他数据。
5 . 3 数据采集
5.3.1 住建领域相关单位在数据采集过程中应满足真实性、有效性和最少够用等原则要求,并明确数据采集渠道、规范数据格式。
5.3.2 数据采集过程应符合下列要求:
1 通过加密传输防止采集数据被窃听或篡改;
2 实施数据校验机制,采集数据应具有完整性和真实性;
3 对敏感和机密数据的采集过程,应建立审计机制,记录采集来源和操作过程。
5.4 数据传输
5.4.1 核心数据、重要数据的传输过程应采用加密技术,优先使用符合国家密码标准的加密算法。
5.4.2 数据传输协议应支持传输层加密或端到端加密,防止数据在传输链路中被窃听或篡改。
5.4.3 数据传输双方必须进行身份验证,禁止未授权的设备或用户参与数据传输。
5.4.4 数据传输过程应进行完整性校验,确保数据未被篡改。
5.4.5 数据传输行为应进行详细日志记录,包括传输时间、传输对象、传输内容类型和传输方式等信息,日志文件应进行完整性保护,留存的日志应不少于6个月,互联网政务应用留存的日志应不少于1年。
5.5 数据存储
5.5.1 核心数据、重要数据,存储时应采用加密技术,优先使用符合国家密码标准的加密算法。
5.5.2 数据存储系统应采用基于角色的访问控制。
5.5.3 数据备份应符合下列要求:
1 数据备份应按照数据分类分级结果,对核心数据、重要数据进行备份;
2 备份数据应存储在独立的物理或逻辑隔离环境中,并采用加密存储;
3 备份数据应每半年进行一次恢复测试。
5.5.4 数据存储系统应记录所有访问和操作行为,包括用户身份、操作时间、操作内容等信息,留存的日志应不少于6个月,互联网政务应用留存的日志应不少于1年。
5.6 数据交换
5.6.1 数据交换前,应对接收方的安全性进行评估,采取符合国家标准的加密和安全传输措施。
5.6.2 数据交换应遵循最小化原则,对涉及个人隐私或敏感信息的数据,在交换前应进行脱敏处理。
5.6.3 住建部门对外提供数据服务应符合下列要求:
1 对拟发布/共享的数据应开展合法性与必要性评估,依据数据分类分级原则确定开放范围与精度,建立开放清单与负面清单 ;
2 应与数据使用方签署数据使用协议,明确使用目的、范围与期限、保密与违规处置等条款,并对接收方安全能力进行评估并记录;
3 应通过统一数据发布/共享平台提供服务,实施实名注册与分级授权;
4 应对数据调用进行在线审核、全链路日志与完整性校验,实时告警异常访问与超范围调用,配置限流、熔断、隔离等应对策略。
5.6.4 企业间数据交换应符合下列要求:
1 开展数据交换前应依据数据分类分级原则确定共享范围与控制措施;
2 接口调用应进行身份鉴别,并符合最小权限原则;
3 应建立数据泄露与交换中断的分级响应预案,包含影响范围评估、隔离与遏制方法、证据保全与取证措施、临时控制与连续性保障措施、监管通报及预案更新等。
5.7 数据销毁
5.7.1 数据达到保存期限或不再需要时,应按照相关标准和规
定进行销毁,同时应使用经过网络安全专用产品认证的销毁产品。
5.7.2 销毁技术与审计应符合下列要求:
1 数据销毁应采用经过认证的安全工具完成;
2 销毁过程应全程记录,并进行审计。
5.7.3 数据销毁完成后,应形成销毁记录,包括销毁时间、销毁方式、销毁对象、责任人等信息。
6 管理合规要求
6.1 一般规定
6.1.1 住建领域相关单位应制定包含网络与数据安全的管理制度。
6.1.2 住建领域相关单位应建立网络与数据安全风险管理体系,开展风险识别、评估、控制和监测,针对高风险事项采取有效控制措施,并建立安全事件监控机制、告警机制及应急处置机制。
6.1.3 住建领域相关单位应每年进行网络与数据安全评估,并根据评估报告进行整改。
6.2 组织结构
6.2.1 住建领域相关单位应成立专门的网络与数据安全管理部门,明确网络与数据安全的管理职责,设立专门的安全管理岗位,负责制定和审议安全策略、统筹网络与数据安全的管理与执行。
6.2.2 住建领域相关单位应明确安全主管及业务使用部门的安全责任制与具体的安全责任人。
6.2.3 住建领域相关单位应配备具备网络与数据安全相关技能的技术团队,也可委托具有相应资质的第三方安全服务机构开展网络与数据安全工作。
6.3 制度建设
6.3.1 安全管理制度应包括但不限于:网络安全管理制度、数据
安全管理制度、应急响应预案、供应链安全协议、访问控制策略以及安全审计规程等。
6.3.2 安全管理制度应每年至少开展一次评估与更新。
6.3.3 安全管理制度应覆盖供应链管理,应对供应商和合作伙伴进行网络与数据安全审查。
6.3.4 住建领域相关单位应对安全管理制度的执行情况进行审计,并根据审计结果进行整改。
6.4 教育培训
6.4.1 住建领域相关单位应建立网络与数据安全意识培训机制,应每年至少开展一次面向全体员工的网络与数据安全培训。
6.4.2 安全意识培训应覆盖单位内所有员工,包括管理层、技术人员及普通员工,并应根据不同岗位职责制定相应的培训内容和要求。
6.4.3 培训内容应涵盖网络与数据安全基础知识、常见安全威胁、密码管理、数据保护以及相关法律法规要求。
6.5 建设管理
6.5.1 住建领域涉及网络或数据安全的方案设计应符合下列要求:
1 应根据安全风险评估选择基础安全措施;
2 安全方案需经安全专家评审,并明确密码技术应用要求和系统可信验证策略;
3 应指定专人负责工程实施管理,确保安全措施与设计方案一致。
6.5.2 住建领域涉及网络或数据安全产品应符合“网络关键设备和网络安全专用产品安全认证”要求。
6.5.3 住建领域涉及网络或数据安全工程实施应符合下列要求:
1 应指定专门部门或人员负责工程实施管理;
2 宜由具备国家规定的安全资质认证的专业人员承担。
6.5.4 住建领域涉及网络或数据安全测试验收应符合下列要求:
1 应根据设计要求的项目,按照国家现行的相关标准进行测试 ;
2 应根据国家相关验收标准和单位要求进行验收。
6.5.5 住建领域涉及网络或数据安全的供应商选择应符合下列要求:
1 应确保服务供应商的选择符合国家和重庆市的有关规定;
2 应与选定的服务供应商签订与安全相关的协议,明确约定相关责任。
6.6 运维管理
6.6.1 环境运维管理应符合下列要求:
1 应设立专职管理部门,负责机房物理安全管控,实施出入审批登记制度;
2 应建立供配电设施、空调系统、消防装置及环境监测设备的周期性维护规程;
3 应对介质存储环境实行分区管控,核查存储介质目录清单与实体一致性。
6.6.2 设备运维管理应符合下列要求:
1 应编制涵盖主用设备、冗余设备及通信线路的全生命周期维护计划;
2 应实施设备维护双人作业制,关键操作应留存工单记录;
3 宜建立智能建筑设备专项维保技术标准项。
6.6.3 漏洞和风险运维管理应符合下列要求:
1 应构建基于住建领域特征的漏洞扫描机制,应每季度开
展系统脆弱性评估;
2 应建立风险处置分级响应机制;
3 应实现隐患整改闭环管理,留存完整的风险评估报告。
6.6.4 网络与数据安全运维管理应符合下列要求:
1 应将网络运维人员按照系统管理员、安全审计员、安全管理员进行分别设置;
2 应建立特权账户审批制度,特权操作经技术负责人书面授权。
6.7 风险管理
6.7.1 住建领域网络与数据安全风险管理包括风险识别、风险评估、风险处置、风险跟踪与改进。
6.7.2 风险识别过程应符合下列要求:
1 每年应至少进行一次全领域范围内的风险识别,包括供应链安全评估以及潜在的数据泄露风险分析等;
2 应开展全面的风险识别,涵盖信息系统中所有的网络资产;
3 风险识别应遵循系统化方法,考虑可能的威胁源,如人为误操作、恶意攻击、系统故障和自然灾害等;
4 应在系统升级、环境变化或新威胁出现时,及时更新风险清单。
6.7.3 风险评估应符合下列要求:
1 风险评估应基于识别出的威胁,将风险按可能性和影响程度进行定量或定性评估,形成风险矩阵;
2 /风险评估结果宜分级成高、中、低三级,明确优先级并确保资源的有效配置;
3 应建立风险评估报告,记录风险评估的过程和结果,并提交至网络与数据安全管理部门审核。
6.7.4 风险处置应符合下列要求:
1 针对风险评估结果,采取风险规避、转移、消减、接受等处置措施,将风险影响降低到最小程度;
2 风险处置措施应基于“最小权限原则”和“最小曝光原则”,限制非必要的系统和数据访问;
3 应每年审查风险处置措施,针对不断变化的外部环境和新兴威胁更新风险控制策略。
6.7.5 风险跟踪与改进应符合下列要求:
1 应对已处置的风险进行持续跟踪和复查;
2 应建立风险反馈机制,将安全事件和日常管理中的风险发现反馈至风险清单,及时更新风险信息;
3 可每年度开展一次风险管理效果评估,分析风险管理中的薄弱环节,形成改进报告并纳入下一年度的风险管理计划中。
6.8 应急管理
6.8.1 住建领域网络与数据安全应急预案的制定与维护应符合下列要求:
1 应急预案类型应覆盖数据泄露、网络攻击、自然灾害等突发事件类型;
2 应急预案应包含事件响应目标、响应团队职责分工、应急资源清单、关键设备和系统的恢复步骤等内容;
3 应急预案应保持更新,宜每年审查并更新;
4 任何系统变更、升级、业务流程调整等重大变动后,均应对应急预案进行更新。
6.8.2 应急响应流程应符合下列要求:
1 事件检测:系统应部署安全监控和告警机制,确保对可疑事件的实时监控和快速识别;
2 事件报告:在检测到安全事件时,相关责任人应立即向应急管理小组报告,并按预案启动相应的响应流程;
3 事件隔离与初步响应:根据事件严重性,采取隔离措施, 如断开网络连接、封锁受影响的系统区域,控制事态扩大;
4 事件处理:在初步隔离完成后,启动详细的事件处理措施,如修复漏洞、恢复数据、强化防护。
6.8.3 事后恢复与评估应符合下列要求:
1 事件处理结束后,应对所有受影响的系统和数据进行全面检查,确保功能恢复正常;
2 恢复过程中,应对关键数据进行完整性验证;
3 应制定详细的事件报告,记录事件发生的原因、处理过程、恢复情况和改进建议;
4 应至少每年组织一次应急演练,模拟真实事件验证应急预案的可行性;
5 将应急事件的经验反馈至风险管理流程中,形成闭环的安全管理体系。
7 领域细分要求
7.1 市、区县住建部门
7.1.1 市、区县住建部门应根据地方政策与行业标准,制定并实施网络与数据安全管理制度。
7.1.2 市、区县住建部门应每年开展网络与数据安全培训与宣传,提高工作人员和相关单位对网络与数据安全的认知,防止数据泄露或滥用。
7.1.3 市、区县住建部门应设立专门的网络与数据安全监督管理机构,负责日常的安全监督管理工作。
7.1.4 市、区县住建部门应加强与公安、网信等部门的协作,每年开展网络与数据安全应急演练,提高应对重大安全事件的快速响应能力。
7.1.5 市、区县住建部门信息系统应建立网络与数据安全等级保护并应符合本标准附录C 的有关规定。
7.2 房地产开发企业
7.2.1 房地产开发企业在项目规划与实施过程中,宜对外部合作方开展针对网络共享链接和数据交换的安全评估。
7.2.2 房地产开发企业在个人信息管理中,应严格遵守国家相关法律,保护个人敏感信息,宜采用符合国家标准的加密算法对个人信息进行存储和传输,并实行网络系统的权限访问控制。
7.2.3 房地产开发企业宜建立动态更新的网络资产清单,部署必要的网络安全防护工具。对业务过程涉及的数据采取分类分
级保护。
7.3 勘察设计企业
7.3.1 勘察设计企业在使用建筑图纸、建筑信息模型等数据时, 宜采取多因素认证及基于角色的访问控制。
7.3.2 勘察设计企业在处理重要数据、核心数据时,应使用符合国家标准的加密算法对数据进行存储和传输并建立密钥管理机制。
7.4 施工企业
7.4.1 施工企业在施工现场部署的监控系统、物联网设备、信息应用终端、网络基础设施设备等,应支持固件和软件的安全更新。
7.4.2 施工企业处理施工现场产生的数据应符合国家信息安全的规定,对不同使用人员进行身份认证,实现分权分域管理。
7.5 物业管理企业、房地产经纪企业
7.5.1 物业管理企业在处理小区业主信息、物业服务合同等个人信息时,应严格遵守《中华人民共和国个人信息保护法》,保护个人敏感信息,采用符合国家标准的加密算法对个人信息进行存储和传输。
7.5.2 房地产经纪企业在处理房屋交易合同、买卖双方等个人信息时,应严格遵守《中华人民共和国个人信息保护法》,保护个人敏感信息,采用符合国家标准的加密算法对个人信息进行存储与传输。
附录A 数据分类规则
A.0.1 基础数据
基础数据包括房屋建筑和市政设施主要属性数据等,分类数据可包含下列内容:
1 房屋建筑基础数据:房屋建筑基本信息;
2 市政设施基础数据:市政道路普查基本信息、市政桥梁普查基本信息等。
A.0.2 住房和房地产数据
房地产、保障房等在开发、建设、交易、租赁、使用、改造等各项活动中收集和产生的数据,包括房地产项目数据、房屋交易租赁数据、保障房数据、公积金数据等,分类数据可包含下列内容:
1 房地产项目数据:房地产预售项目基本信息、房地产预售项目建设情况信息、房地产预售项目房屋明细信息、房地产预售资金监管信息等;
2 房屋交易数据:新建商品房合同信息、新建商品房屋信息、新建商品房房地产开发企业信息、新建商品房买受人信息、二手房合同信息、二手房房屋信息、二手房出卖人信息、二手房买受人信息、二手房资金监管信息等;
3 物业服务数据:物业区域基础信息、物业服务合同基本信息、小区业委会基础信息、小区经营性收支信息等;
4 房屋租赁监管数据:房屋租赁合同信息、房屋租赁房屋信息、房屋租赁主体信息等;
5 房屋征收与补偿数据:国有土地上房屋征收情况信息;
6 房地产从业主体数据:房地产开发企业基本信息、房地产开发企业审批过程信息、物业服务企业信息、房地产估价机构信息、房
地产估价师信息、房地产经纪企业信息、房地产经纪人信息等;
7 保障房数据:保障房项目计划信息、保障房项目基本信息、保障房项目进度信息、保障房项目楼栋信息、保障房项目房屋信息、保障房资格申请信息、保障房合同信息、保障房补贴信息、 保障房对象信息等;
8 城市危旧房调查整治信息:房屋基本信息、房屋产权人信息、房屋安全鉴定信息、房屋安全整治信息等;
9 公积金数据:公积金缴存信息、住房公积金缴存及使用情况统计信息、公共维修资金缴存信息等。
A.0.3 城乡建设数据
在城乡建设、城市更新、基础设施运行、城市管理等各项活动中收集和产生的数据,包括城市基础设施建设运行数据、老旧小区改造数据、城市管理数据等,分类数据可包含下列内容:
1 市政设施运行数据:海绵城市项目信息、海绵城市项目建设进展信息、城市易涝点信息、城市易涝点整治信息、黑臭水体基本信息、黑臭水体整治信息、城市排水项目信息、城市排水项目进展信息、污水厂基本信息、污水厂月度运行信息、城市轨道项目信息、城市轨道项目规划信息、地下综合管廊基本信息、地下综合管廊建设进展信息等;
2 园林绿化数据:园林企业信息、园林企业从业人员信息、 园林项目信息等;
3 城市管理数据:城市预警信息、城市预警处置过程信息等;
4 环境卫生数据:垃圾处理信息;
5 老旧小区改造数据:老旧小区改造数据;
6 村庄建设数据:村庄建设统计调查信息;
7 农村危房改造数据:危房改造基本信息;
8 房屋和市政设施调查数据:城镇住宅建筑普查基本信息、 城镇非住宅建筑普查基本信息、农村独立住宅普查基本信息、农村集合住宅普查基本信息、农村非住宅建筑普查基本信息、市政
道路普查基本信息、市政道路普查基本信息-道路分段信息、市政道路普查基本信息-附属点设施信息、市政道路普查基本信息-附属线设施信息、市政桥梁普查基本信息等;
9 自建房安全整治数据:自建房房屋排查信息、自建房安全鉴定信息、自建房安全整治信息、自建房安全整治销号信息等;
10 农村房屋安全隐患排查数据:农村房屋排查信息、农村房屋安全隐患信息等。
A.0 .4 建筑业数据
在工程建设、招投标、质量安全管理等活动中收集和产生的数据,包括项目审批数据、从业人员数据、安全事故数据等,分类数据可包含下列内容:
1 工程建设项目审批数据:项目信息基本信息、相关责任主体信息、事项办理信息等;
2 建筑市场监管数据:勘察企业资质信息、设计企业资质信息、施工企业资质信息、监理企业资质信息、造价咨询企业信息、 企业资质审批信息、勘察设计工程师人员信息、建造师人员信息、 建筑师人员信息、监理工程师人员信息、造价工程师人员信息、人员执业资格审批信息等;
3 建筑工人数据:建筑工人所在企业信息、建筑工人所在项目信息、建筑工人个人信息、建筑工人合同信息、建筑工人考勤信息等;
4 工程质量安全监管数据:事故信息、事故相关单位信息、 事故相关人员信息、事故调查信息、事故处罚信息、建筑施工企业安全生产许可证信息、建筑施工特种作业操作资格证书信息、建筑施工企业安全生产管理人员考核合格证书信息、项目安全监管信息项目基本信息、项目安全监管信息项目参建单位、建筑起重机械设备产权备案信息、建筑起重机械安装或拆卸告知信息、建筑起重机械安装或拆卸专职安全生产管理人员、建筑起重机械检验检测信息、建筑起重机械检验检测人员信息、建筑起重机械使用登记信息、危大工程监管信息、安全生产标准化企业考评信息、
安全生产标准化项目考评信息、安全监管机构信息安全监管机构基本信息、安全监管机构信息安全监管机构人员情况、安全监管机构信息安全监管机构经费情况、勘察设计施工图审查机构、勘察设计施工图审查人员、勘察设计工程项目施工图审查项目基本信息、勘察设计工程项目施工图审查项目基本信息-实施单位信息、勘察设计工程项目施工图审查项目基本信息-施工图审查信息、建筑起重机械使用登记证书-电子证照等;
5 建筑节能数据:民用建筑能源资源统计信息。
A.0.5 数据分类示例
住建领域数据详细分类可参考表 A.0.5 住建领域数据分类示例表:
表A.0.5 住建领域数据分类示例表
续表A.0.5
续表A.0.5
续表A.0.5
续表A.0.5
附录 B 数据分级规则
B.0.1 核心数据
满足以下任一条件的数据,识别为核心数据:
1 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、 非法共享,直接对国家安全造成特别严重危害或严重危害;
2 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、 非法共享,直接对经济运行、社会秩序、公共利益造成特别严重危害 ;
3 对领域、群体、区域具有较高覆盖度,或达到较高精度、较大规模、较高重要性或深度,直接影响政治安全的重要数据;
4 经有关部门评估确定的核心数据。
B.0.2 重要数据
满足以下任一条件的数据,识别为重要数据:
1 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、 非法共享,直接对国家安全造成一般危害;
2 数据一旦遭到泄露、篡改、损毁或者非法获取、非法使用、 非法共享,直接对经济运行、社会秩序、公共利益造成严重危害;
3 数据直接关系国家安全、经济运行、社会稳定、公共健康和安全的特定领域、特定群体或特定区域;
4 数据达到一定精度、规模、深度或重要性,直接影响国家安全、经济运行、社会稳定、公共健康和安全;
5 涉及军事单位、重要行政单位等敏感信息的;
6 对住房城乡建设行业造成严重危害,发生重大数据安全事件,产生重大社会负面影响;
7 涉及10万人以上个人敏感信息,或涉及100万人以上个
人信息;
8 涉及100万套以上房屋建筑调查、监管明细信息的;
9 涉及10万个以上市政设施调查、监管明细信息的;
10 其他经评估确定的重要数据。
B.0.3 一般数据
未识别为核心数据、重要数据的其他数据,确定为一般数据。
表B-1 数据级别确定规则表
表B-2 住建领域数据分级示例表
续表B-2
附录C 住建领域网络与数据安全等级保护要求
C.0.1 安全保护等级
根据等级保护对象在国家安全、经济建设、社会生活中的重要程度,以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后,对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素,等级保护对象的安全保护等级分为以下五级:
1 第一级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成损害,但不危害国家安全、社会秩序和公共利益;
2 第二级,等级保护对象受到破坏后,会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害,或者对社会秩序和公共利益造成危害,但不危害国家安全;
3 第三级,等级保护对象受到破坏后,会对社会秩序和公共利益造成严重危害,或者对国家安全造成危害;
4 第四级,等级保护对象受到破坏后,会对社会秩序和公共利益造成特别严重危害,或者对国家安全造成严重危害;
5 第五级,等级保护对象受到破坏后,会对国家安全造成特别严重危害。
C.0.2 不同级别的安全保护能力
不同级别的等级保护对象应具备的基本安全保护能力如下:
1 第一级安全保护能力:应能够防护免受来自个人的,拥有很少资源的威胁源发起的恶意攻击、 一般的自然灾难,以及其他相当危害程度的威胁所造成的关键资源损害,在自身遭到损害后,能够恢复部分功能;
2 第二级安全保护能力:应能够防护免受来自外部小型组织的、拥有少量资源的威胁源发起的恶意攻击、一般的自然灾难, 以及其他相当危害程度的威胁所造成的重要资源损害,能够发现重要的安全漏洞和处置安全事件,在自身遭到损害后,能够在一段时间内恢复部分功能;
3 第三级安全保护能力:应能够在统一安全策略下防护免受来自外部有组织的团体,拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难,以及其他相当危害程度的威胁所造成的主要资源损害,能够及时发现、监测攻击行为和处置安全事件,在自身遭到损害后,能够较快恢复绝大部分功能;
4 第四级安全保护能力:应能够在统一安全策略下防护免受来自国家级别的、敌对组织的、拥有丰富资源的威胁源发起的恶意攻击、严重的自然灾难,以及其他相当危害程度的威胁所造成的资源损害,能够及时发现、监测发现攻击行为和安全事件,在自身遭到损害后,能够迅速恢复所有功能;
5 第五级安全保护能力:略。
本标准用词说明
1 为便于在执行本标准条文时区别对待,对要求严格程度不同的用词说明如下:
1)表示很严格,非这样做不可的:
正面词采用“必须”,反面词采用“严禁”;
2)表示严格,在正常情况下均应这样做的:
正面词采用“应”,反面词采用“不应”或“不得”;
3)表示允许稍有选择,在条件许可时首先应这样做的:
正面词采用“宜”,反面词采用“不宜”;
4) 表示有选择,在一定条件下可以这样做的,采用“可”。
2 条文中指明应按其他有关标准执行的写法为:“应符合……的规定”或“应按……执行”。
引用标准名录
《信息安全技术信息系统安全评估指南》GB/T 20984
《信息安全技术网络安全事件分类分级指南》GB/T 20986 《信息技术安全技术信息安全管理体系要求》GB/T 22080 《信息安全技术信息系统安全等级保护基本要求》GB/T
22239
《信息安全技术网络安全等级保护定级指南》GB/T 22240 《信息安全技术信息安全风险管理实施指南》GB/T 24364 《信息安全技术网络安全等级保护实施指南》GB/T 25058 《信息安全技术术语》GB/T 25069
《信息安全技术个人信息安全规范》GB/T 35273
《数据管理能力成熟度评估模型》GB/T 36073
《信息安全技术数据安全能力成熟度模型》GB/T 37988 《信息技术大数据大数据分类指南》GB/T 38667
《数据安全技术数据分类分级规则》GB/T 43697
《住房和城乡建设领域信息化系统工程技术标准》DBJ50/T- 257
《住房和城乡建设领域数字化评价标准》DBJ50/T-460
重庆市工程建设标准
住建领域网络与数据安全基础共性标准
DBJ50/T-543-2026
条文说明
1 总则
1.0.3 网络与数据安全不仅覆盖网络技术领域,还贯穿数据的采集、传输、存储、交换、销毁等全生命周期。
2 术语
2.0.2 引用《信息安全技术信息系统安全等级保护基本要求》 GB/T 22239的术语定义。
2.0.3 引用《信息安全技术数据安全能力成熟度模型》GB/T 37988的术语定义。
2.0.6 引用《信息安全技术术语》GB/T 25069的术语定义。
3 基本规定
3.0.1 网络与数据安全管理应当从整体出发,遵循系统性原则, 将安全要求融入住建领域信息化建设的各个环节;根据住建领域特点和技术发展,体现适应性,动态调整安全策略;并覆盖信息系统和数据的全生命周期,包括规划、设计、建设、运行、维护和报废等阶段。住建领域相关单位应结合行业特性和业务需求,制定差异化的安全保护方案,确保安全策略既满足通用要求,又能针对行业特有风险提供有效防护。
3.0.4 住建领域信息系统应记录所有与安全相关的操作日志, 包括用户登录、权限变更、数据访问、系统异常等操作。日志数据应保存不少于6个月,互联网政务应用留存的日志应不少于1 年,并采取措施防止日志被篡改或删除,以便在发生安全事件时提供溯源依据。
4 网络安全要求
4.1 一般规定
4.1.1 网络安全管理应全体人员共同参与,并对网络资产实施分级管理,同时定期评估和优化安全管理措施,确保网络安全管理体系的动态适应性和有效性。
4.1.2 网络安全管理应贯穿网络资产的全生命周期,在资产采购阶段考虑安全性要求;在部署阶段落实安全配置;在运行和维护阶段实施安全监控、漏洞修复和定期审计;在报废阶段确保资产中的数据被彻底清除或销毁,防止信息泄露。通过全生命周期管理,确保网络资产的安全性和可控性。
4.1.3 住建领域相关单位应建立网络安全监测和评估机制,持续监控网络运行状态,定期识别潜在的安全威胁和风险。每年至少开展一次全面的安全检查,包括资产扫描、风险评估等,及时进行漏洞修复,以确保及时发现和解决安全隐患,不断提升网络安全防护能力。
4.1.5 外部合作方主要指如外包单位、供应商等。
4.2 物理环境
4.2.1 / 机房作为信息系统的核心物理环境,应避免选址在公共区域或易受漏水、粉尘、油烟、振动、电磁场干扰等影响的场所,确保机房的物理安全性。机房位置应经过充分的风险评估,选择具有低风险、高安全性的位置。
4.2.2 机房入口应配备门禁系统,采用身份验证,身份验证方式
可采用如 IC 卡、指纹或面部识别等控制人员出入权限。
4.2.4 关键设备主要指的如服务器、存储设备、安全设备、数据备份设备等。
4.3 通信网络
4.3.2 数据在网络传输过程中应使用符合国家密码标准的加密算法进行端到端加密,确保数据在传输过程中不被窃取或篡改。 加密算法应定期更新以防止因算法过时导致的安全风险。
4.3.3 住建领域相关单位应在网络边界部署防火墙、入侵检测系统和入侵防御系统,实时监控网络流量,发现并阻断恶意行为。
4.4 区域边界
4.4.5 日志记录应由专人定期审查,发现异常行为(如未经授权的访问)应及时报警并采取处置措施。
4.5 计算环境
4.5.2 用户权限应采用基于角色的访问控制,根据用户的职责分配权限。特权账号(如管理员账号)应启用多因素认证,以提高账号安全性。
4.5.4 在安全事件发生前应分析各种信息安全事件发生时对业务功能可能产生的影响,加强信息安全监测,安全事件发生后,及时根据流程进行处置和恢复。
5 数据安全要求
5.1 一般规定
5.1.1 数据安全管理工作应以分类分级为基础,对不同类型和级别的数据实施重点保护,并根据业务需求、技术发展和法规变化,动态调整安全措施。同时,应持续优化和改进数据安全管理体系,以提升整体安全性。
5.1.3 住建领域相关单位的数据分类与分级工作应根据业务变化、数据敏感性变化和法规要求及时更新,确保分类分级结果与实际情况保持一致。同时,数据分类分级结果的变化应同步调整相关安全管理措施,以保障数据安全。
5.1.4 住建领域相关单位在进行数据共享或交换时,应确保数据安全管理措施覆盖内部数据和外部数据、纸质数据和电子数据。数据共享与交换往往涉及多方合作,因此需要在各方之间明确数据安全责任,以防止因责任不清而导致的安全隐患。
5.1.5 住建领域相关单位应建立数据安全风险评估机制,并定期评估其数据安全状况,识别并预防潜在的风险。这是防止数据泄露、损失和滥用的基础。通过风险评估机制,住建领域相关单位能够识别潜在的安全隐患,如系统漏洞、操作失误、恶意攻击等,并根据评估结果,采取适当的风险控制措施。
5.2 数据分类分级
5.2.1 住建领域相关单位的数据分类分级应以科学性和实用性为基础,确保数据边界清晰,分类分级结果能够准确反映数据的
重要性和敏感性。分类分级工作应遵循“就高从严”的原则,对敏感数据采取更严格的保护措施,同时结合业务需求进行动态更新。
5.2.2 住建领域相关单位应根据数据的业务条线、关键业务、业务属性等维度进行分类,确保分类维度能够全面反映数据的特点和安全需求。分类维度的选择应结合住建领域的业务特点和数据管理需求,分类示例应参考附录A。 业务属性中的描述对象可包含如用户数据、业务数据、经营管理数据、系统运维数据等,共享属性分为如无条件共享、有条件共享和不予共享等。
5.2.3 住建领域相关单位应对数据进行分级管理,根据数据在经济社会发展中的重要程度,以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享,对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度,将数据从高到低分为核心数据、重要数据、 一般数据三个级别。分级结果应作为数据安全保护措施的依据,对高等级数据采取更严格的安全保护措施,分级示例应参考附录B。
5.3 数据采集
5.3.1 在采集相关数据的过程中,应明确采集数据的目的和用途,确保满足数据源的真实性、有效性和最少够用等原则要求,并明确数据采集渠道、规范数据格式以及相关的流程和方式,从而保证数据采集的合规性、正当性、一致性。
5.4 数据传输
5.4.5 数据传输行为的日志记录是审查和追溯的重要依据,应记录详细信息,并对日志文件进行完整性保护,确保日志数据可靠且不被篡改,保存期限应不少于6个月,互联网政务应用留存的日志应不少于1年。
5.5 数据存储
5.5.4 数据存储系统应记录所有访问和操作行为,形成完整日志,以便后续审查和追溯。日志文件应保存不少于6个月,互联网政务应用留存的日志应不少于1年。
5.6 数据交换
5.6.3 通过业务系统、产品对外部组织提供数据时,以及通过合作的方式与合作伙伴交换数据时执行共享数据的安全风险控制, 以降低数据共享场景下的安全风险。
5.7 数据销毁
5.7.1 通过建立针对数据的删除、净化机制,实现对数据的有效销毁,防止因对存储媒体中的数据进行恢复而导致的数据泄漏风险。
6 管理合规要求
6.2 组织结构
6.2.2 住建领域相关单位应落实安全责任制,将网络与数据安全责任分解到各级部门和人员,确保安全管理覆盖到所有业务环节。
6.3 制度建设
6.3.1 住建领域相关单位的安全管理制度应覆盖多各方面,多个维度,确保制度的完整性。
6.5 建设管理
6.5.2 安全产品应符合“网络关键设备和网络安全专用产品安全认证”中规定的国家强制性标准要求。
6.7 风险管理
6.7.1 住建领域相关单位的风险管理体系应覆盖风险识别、评估、处置和跟踪改进等全过程。通过系统化的风险管理流程,全面掌握单位的网络与数据安全风险状况,并采取针对性的防控措施。
6.8 应急管理
6.8.1 住建领域相关单位应建立网络与数据安全应急预案,明
确应急响应的组织架构和职责分工,确保在发生安全事件时能够快速响应和有效处置。应急预案应包括事件发现、响应、处置和恢复的全过程,并明确所需的资源保障措施。
