科学数据安全审计要求 编制说明

国家标准《科学数据安全审计要求》(征求意见稿)编制说明标准起草组2国家标准《科学数据安全审计要求》(征求意见稿)编制说明(一)任务来源2022年12月国家标准化管理委员会下达了“2022年第三批推荐性国家标准计划及相关标准外文版计划”，明确了国家标准《科学数据安全审计要求》的制定任务，计划编号为20221227-T-306。该项标准的制定任务由中科院计算机网络信息中心负责，本标准由科学技术部提出，由全国科技平台标准化技术委员会(SACTC486)归口。本标准主要起草单位包括中国科学院计算机网络信息中心、中国标准化研究院、中国网络安全审查技术与认证中心、中国信通院、中国软件测评中心、北京邮电大学、中国科学院高能物理研究所、中国科学院信息工程研究所、中国科学院理论物理研究所、阿里巴巴(中国)有限公司、华为技术有限公司、绿盟科技集团股份有限公司、北京金山云网络技术有限公司、北京科创安铨科技有限公司、北京印刷学院、北京网信元科技。(二)目的意义《数据安全法》和《个人信息保护法》与《网络安全法》共同构成了我国网络数据领域治理的基础性法律，标志着与我国网络大国、数字大国相匹配的制度建设逐步走向成熟，本标准的制定是切实提升科学数据领域信息保护与合规运用能力的重要保障。科学数据作为新时代传播速度最快、影响面最宽、开发利用潜力最大的战略性、基础性科技资源，深刻影响着各国的经济发展、国家安全、科技进步和综合竞争力。科学数据安全关乎国家安全，发达国家关注很早。2018年3月，国务院办公厅正式国家互联网信息办公室发布《数据安全管理办法(征求意见稿)》，国家层面对数据安全愈发重视。3科学数据是科技创新的基础，国家基础性战略资源，其安全、合规、有序流动将是推动科学数据的开放共享和创新应用的关键。当前，除从技术、管理角度实现科学数据的安全保护外，从审计监管的角度对科学数据安全进行评估，是保护科学数据的重要手段。科学数据安全有别于一般的数据安全，除了有规模性、高速性、多样性、价值性的特点之外，还具有共享性、长效性、积累性、增值性、公益性、资源性等特征，除面临数据泄露等安全问题外，也关系到国家安全、数据主权等安全问题，因此审计标准能够符合科学数据安全特征尤为重要。目前，国内尚无针对科学数据安全审计的标准，现有标准无法针对特定的科学目标，实现对科学数据生存周期各业务环节及具体的科学数据安全需求实现直接的、标准化的安全审计指导，限制了对科学数据安全性、合规性的评估及监管，从而限制了科学数据的有序流动和数据密集型科学研究范式的发展。《科学数据安全审计要求》是一项基础的科学数据安全标准，遵循现有相关数据审计和数据安全法律法规、标准，基于安全合规、客观公正等原则，对科学数据相关活动安全控制工作的实施及成效进行审计，以期客观反映科学数据相关活动安全控制的真实性、合法性、安全性及效益性。本标准的制定能够为科学数据安全的审计工作提供标准化解决方法，意义重大。(三)主要工作过程(1)2020年1月，标准起草组正式成立。由中科院计算机网络信息中心牵头，由中国标准化研究院、中国网络安全审查技术与认证中心等近20个单位参加的标准起草工作。(2)2020年6月，形成标准草案。起草组充分调研科学数据安全及其安全审计标准化现状，特别是《科学数据管理办法》和《数据安全法(征求意见稿)》的有关内容，根据国家级科学数据中心的实际需求，形成了标准草案。(3)2021年1月，意见征集。前往微生物和生态数据中心实地调研，对国家标准进行现场讨论和征求意见，特别分析标准实际对数据中心安全适用性。会后形成了标准草案的修改稿，并进行进一步征求意见。(4)2021年10月，形成标准立项稿。根据前期调研和征求意见的情况，起草组4进一步完善标准草案，形成标准立项稿，并报送全国科技平台标准化技术委员会(SAC/TC486)(5)2022年3月，进行立项答辩。标准进行了立项答辩，根据国标委审评中心立项评审专家建议，起草组根据专家的意见进一步修改了标准。(6)2022年9月，专家研讨会。邀请行业专家对标准的框架及内容进行逐条讨论，起草组根据专家意见，对标准的英文名称、主要内容等进行了修改和完善。(7)2022年12月，接到标准的制定任务，计划编号为20221227-T-306。(四)主要参加单位和工作组成员及其所做的工作中国科学院计算机网络信息中心、中国标准化研究院、中国网络安全审查技术与认证中心、中国信通院、中国软件测评中心、北京邮电大学、中国科学院高能物理研究所、中国科学院信息工程研究所、中国科学院理论物理研究所、阿里巴巴(中国)有限公司、华为技术有限公司、绿盟科技集团股份有限公司、北京金山云网络技术有限公司、北京科创安铨科技有限公司、北京印刷学院、北京网信元科技。核心工作组成员所做工作如下：龙春：负责国家标准的起草工作，重点承担标准技术架构起草，标准技术内容起草，进行各起草单位的协调以及国家标准的应用研究，技术文档的主要执笔人。廖方宇：协助负责国家标准的起草工作，承担标准技术架构和重点章节起草。负责各起草单位的协调以及国家标准的应用研究。魏金侠：参与国家标准的起草工作，重点承担标准技术架构起草，部分章节起草，参与组织国家标准的立项申报工作。赵静：参与国家标准的起草工作，标准技术架构起草，部分章节起草，参与组织国家标准的立项申报工作。李婧：协助负责国家标准的起草工作，承担标准技术架构和内容的文献调研和基础技术内容的研究工作，标准技术架构起草，重点章节起草。5胡良霖：协助负责国家标准的起草工作，承担标准技术架构起草以及重点章节起草。负责各起草单位的协调以及国家标准的应用研究，以及部分技术内容的测试研究工作朱艳华：参与国家标准的起草工作，标准技术架构起草，部分章节起草，部分技术内容的测试研究工作。准编制原则和主要内容(一)编制原则1、基础性原则从基础研究角度，以应用需求为导向，全面提出科学数据安全审计要求所涵盖的主要内容，使标准为科学数据安全审计工作发挥基础性作用。2、满足重点需求的原则以科学数据中心、科技平台资源共享、科学数据管理的数据安全需求为重点，及当前法律法规的对个人信息保护及重要数据保护的合规性要求，提出标准的主要内容。随着科学数据共享与服务的开展与实践，科学数据中心建设运维，将逐步对标准进行更新。3、可操作性原则标准充分考虑了我国现形法律、政策环境下数据安全方面可操作性，同时对相关的国家标准、行业标准等诸多因素给予了应有的关注，以确保本标准与有关法律法规、其他标准的兼容性和一致性。4、国际性原则本标准参考了国际上主要的科学数据管理以及数据安全的内容，为将来同国际接轨奠定了基础。(二)标准主要内容本文件规定了科学数据安全审计的相关要求，包括总体要求、一般审计要求、专项审计要求。本文件适用于本文件适用于对科学数据相关活动中所涉及的安全问题进行审计。科学数据安全审计技术内容主要包括一般审计要求和专项审计要求两个方面。一般审计要求旨在从科学数据通用业务流程角度进行安全审计，即从科学数据安全治理、6科学数据安全管理、科学数据生存周期业务流程对组织科学数据安全进行通用性指导；专项审计要求旨在从个人信息安全审计、重要数据安全审计、汇交审计、数据平台(系统)审计等方面，对组织的专项科学数据活动的安全控制工作进行审计。以期客观反映组织科学数据相关活动安全控制执行情况，从科学数据的保密性、可用性、完整性、可控性、可追溯性、合规性等方面给出组织科学数据安全保护的评价。三、主要试验(或验证)情况本文件在中国科学院计算机网络信息中心、国家基础学科公共科学数据中心、国家海洋科学数据中心等单位对标准的主要技术内容进行了技术验证和应用研究。分别对科学数据安全审计要求进行了技术验证。在对试验研究和应用研究结果分析的基础上，对标准的技术内容进行了必要的修改完善。本文件不涉及专利问题。五、预期达到的社会效益、对产业发展的作用等情况其经济效果是间接的，标准针对科学数据自身特性及安全需求，梳理科学数据相关活动各个环节的数据安全风险，提出针对性的安全审计要求建议。有助于指导各监管部门审计活动的实施，规范科学数据的审计工作；建设完备的信息安全审计体系，为数据中心、科技平台资源的审计与安全管理提供有力支撑；推进自主可控的科学数据安全标准体系的建立，填补我国相关技术标准缺失的空白，加快数据安全相关的法律法规的落地。与国际、国外对比情况本文件与数据安全信息安全方面国际标准、国家标准保持一致。，特别是强制性标准的协调性本