国家标准《信息安全技术 重要数据安全处理要求》（征求意见稿）编制说明

一、工作简况1.1任务来源为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用，全国信息安全标准化技术委员会（以下简称：信安标委）调研国家网络安全重点工作和技术产业发展需求，研究形成了2022年网络安全国家标准需求清单，含《信息安全技术重要数据处理安全要求》。2022年3月，中国科学技术大学联合相关单位参与申报，于2022年10月份通过信安标委立项。2023年8月6日，国家标准委下达了该标准的计划号20230792-T-469。1.2制定背景随着数据成为国家基础性战略资源，其安全保护成为国家网络安全工作的一项重点。除涉密信息和个人信息外，还有一部分数据十分重要和敏感，即重要数据，其一旦被泄露、损毁、篡改、滥用，可能会带来严重后果，危害国家安全与公共利益。这些数据可能分布在政务部门（如宏观经济数据、金融监管数据、人口资源数据、健康数据、执法数据、交通运输数据等），关键信息基础设施运营者在内的重点行业企业（如金融交易数据、能源生产和消费数据、关键信息基础设施资产数据、网络安全防护信息等），医院、高校等公共服务机构（如健康医疗数据、教育数据等），具有相应资质或承担特定职能的权威专业机构（如地理、地震、天文、气象等科学数据及其衍生数据等），科研机构（如科研成果及其相关数据等），互联网企业（如在线提供导航、电子商务、即时通信等服务时收集、产生的数据，涉及经济、地理、人口、法人等国家基础信息的数据等）或实体经济企业（如大型工程施工设备获取的敏感工程物理位置、施工土石方数据等）。近年来，我国对重要数据已多次提出相关保护要求。2021年9月1日，《中华人民共和国数据安全法》实施，提出了制定重要数据具体目录的要求。2021年11月14日，国家互联网信息办对《网络数据安全管理条例》公开征求意见，提出了重要数据的定义，并设立了一系列重要数据安全监管制度。因此，迫切需要制定一部国家标准，对处理重要数据提出安全要求。保护重要数据的前提是识别重要数据。国家标准《信息安全技术网络数据分类分级要求》已处于报批稿阶段，其给出了识别重要数据的基本原则和考虑因素，可便于各组织识别其处理的重要数据，为重要数据安全保护工作提供支撑，也可为各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据相关标准规范和具体目录提供参考。本标准则规定了数据处理者处理重要数据的安全要求。同时，也可供有关组织对重要数据处理活动实施安全监管或安全评估时参考。1.3起草过程按照项目进度要求，编制组首先对相关法律法规及国内外标准文件进行深入阅读与理解，查阅有关资料，编写标准编制提纲，在完成提纲交流和修改的基础上，开始具体的编制工作。2022年3月，基于前期研究项目成果进一步开展广泛调研，研读国内外相关政策和标准文件，形成标准草案V1.0，开展标准申报。2022年4月，标准经信安标委工作组“会议周”讨论通过，进入立项准备阶段。2022年6月，根据信安标委统一安排和会议周建议，对标准草案进行修改，再次提交标准草案V1.1供专家评审，并于2022年10月通过信安标委立项。2022年11月，标准编制组组织参与单位修改标准草案V1.2，供12月份标准会议周上进行讨论。2023年4月，根据信安标委统一安排，启动标准试点应用工作。2023年5月，根据前期试点反馈情况和参编单位提供的修改意见，形成征求意见稿初稿，供标准会议周专家研讨和修改。2023年8月，根据标准会议周上反馈的意见对标准修改完善，提交信安标委专家会审议。经投票表决，标准征求意见稿获得通过。会后编制组根据专家意见对标准修改完善后提交信安标委秘书处，上网公开征求意见。二、标准编制原则、主要内容及其确定依据2.1标准编制原则本标准旨在指导数据处理者落实《中华人民共和国数据安全法》及重要数据安全保护制度的相关要求。编制组首先对两方面问题做了把握，这决定了标准的定位与标准内容边界。一是明确与基础性网络安全要求的区别。编制组从四个方面理解数据安全的内涵：环境安全（网络与系统的安全）资产安全（数据自身的安全）行为安全（数据处理活动的合规性）生产要素安全（解决确权、开发利用、运营等问题）标准应该同时涉及重要数据安全的以上各个方面，不能仅从数据收集处理的生命周期来理解数据处理安全需求。鉴于环境安全已有大量标准规范，故标准不在网络与信息系统安全方面过多展开。但有以下三个方面需要突出：数据处理者应当按照网络安全等级保护的要求，加强数据处理系统、数据传输网络、数据存储环境等安全防护，处理重要数据的系统原则上应当满足三级以上网络安全等级保护要求。（《网络数据安全管理条例（征求意见稿）》）数据处理者应当使用密码对重要数据和核心数据进行保护。（《网络数据安全管理条例（征求意见稿）》）数据处理者使用的云应当符合国家关于云计算服务安全管理的规定。二是明确与普通数据处理的差异性要求，从四个方面理解重要数据处理的特殊安全要求：在安全保护的强度上，要严格于普通数据。在管理制度上，要严格于普通数据。在合规要求上，法律法规有明确的要求，均应通过标准予以细化。在配合监管上，重要数据处理者有特定的法律义务。经以上分析，标准组决定不再赘述数据安全基础要求，而是突出以上四个方面。2.2主要内容及其确定依据本标准主要技术内容包括以下方面：（1）设施安全，描述了处理重要数据的信息系统、云平台应满足的安全要求。（2）数据处理过程的安全，重点突出重要数据全生命周期中，各处理过程应满足的安全要求：收集：包括数据来源、识别、数据分类、数据分级、数据编目等要求，重点突出采集过程的合法性和数据质量、落实国家数据安全分类分级制度要求等内容；存储：包括存储保护、存储位置、存储期限、备份与恢复等要求；使用与加工：包括重要数据在使用和加工过程中应进行的访问控制、评估、审批、保密审查等方面的要求；传输与提供：包括重要数据在对外提供和共享时应遵循的安全要求，如法律文件、评估与审批、监督与保护、交易、接收方义务、向境外提供等内容；公开：公开重要数据及其加工结果时，数据处理者应采取的安全要求；删除：描述了数据处理者如何安全地删除已废弃或超出约定期限的重要数据，包括数据删除、介质销毁等。（3）运行与管理安全，主要包括组织与人员、数据治理、供应链、审计、应急处置、风险评估、配合监督管理等运行安全要求。组织与人员：主要体现法律法规提出的相关要求，包括安全负责人、安全管理机构、机构变化、管理制度、人员、培训等要求；数据治理设施：主要从数据治理工具本身、统一管理等角度描述数据治理设施的安全要求；供应链管理：描述了重要数据处理者在采购管理、供应商管理、评估等方面应遵循的要求，以更好的应对复杂、严峻的国际网络空间安全威胁；应急响应：描述重要数据处理者在应急预案、演练计划、技术团队、处置机制等方面的要求；安全风险评估：描述了评估制度、评估内容、评估时机等要求；配合监督管理：包括流程规范、提供技术支持、配合整改措施等。2.3修订前后技术内容的对比[适用于国家标准修订项目]不适用。三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效益和生态效益3.1试验验证的分析、综述报告本标准给出了重要数据处理的安全要求，为数据处理者合法、正当，以及安全地处理其掌握的重要数据提供技术支撑和最佳实践，将有助于国家数据安全法律法规的落地实施。经实验验证，标准内容具备合理性和可操作性，可有力支撑数据分类分级制度落地实施。标准试点应用由标准牵头单位中国科学技术大学组织实施，总体负责各参与方的协调管理、试点应用的工作推进。国家工业信息安全发展研究中心作为标准应用推广的牵头单位，具体负责试点单位的选取、沟通协调等工作。标准试验验证主要包括以下内容：确定试点单位。根据实施应用方案，确定承担试点应用的具体单位和具体实施细则。检查和评估。成员单位根据《信息安全技术重要数据处理安全要求》评估试点单位重要数据安全防护状况，验证是否满足标准要求，以及与标准要求的能力差距，并给出整改建议。分析总结。成员单位对实施应用工作进行总结，梳理并分析检查和评估结果，形成标准实施应用总结报告。专家评审。专家组根据标准实施应用总结报告，评估标准的科学性、合理性、完备性和可操作性，形成实施应用总结分析报告。一方面，报告为试点企业的重要数据安全管理和合规提出了建议和改进措施，另一方面，也为完善标准文本、促进落地实施给出了建议和最佳实践。3.2预期的经济效益、社会效益和生态效益本标准围绕重要数据收集、存储、使用、传输、共享、删除等处理过程中的安全要求，为数据处理者合法、正当，以及安全地处理其掌握的重要数据提供技术支撑和最佳实践，将有助于《中华人民共和国数据安全法》、《网络数据安全管理条例（征求意见稿）》等数据安全监管法律法规的落地实施。同时，也为重要数据监管者、测评人员等提供了实践指南。本标准将为我国数据安全保护，特别是重要数据管理提供基础技术支撑，有助于防范重要数据安全风险、完善我国网络安全顶层设计，具有重大社会效益。本标准明确了数据处理者处理重要数据的安全要求，有助于数据交易、出境安全评估、安全审查等制度的科学、有效实施，从而便利数据跨境流动、促进国际贸易，有利于经济发展与国际合作。四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、样机的有关数据对比情况目前，国际上没有重要数据处理安全要求的标准，无法直接采标或直接借鉴。但实际上，世界各国都对各自关心的“敏感信息”（非个人信息、非涉密系统）进行管理，且多数提出了数据本地化存储要求，严格管控此类数据的出境。此外，云计算、关基信息基础设施、人工智能等领域的国际标准也在不同程度上涉及数据安全问题，可为本标准的编制提供经验借鉴。五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标准，并说明未采用国际标准的原因不适用。六、与有关法律、行政法规及相关标准的关系本标准的编制目的是为了配合《中华人民共和国数据安全法》、《网络数据安全管理条例（征求意见稿）》等数据安全监管法律法规的落地实施。本标准在题目中没有突出“网络数据”，但规范对象为电子形式存在的重要数据。本标准与《信息安全技术网络数据分类分级规则》等标准规范共同构成了数据安全处理的重要技术文件。标准编制组与国家互联网信息办网络数据管理局保持了密切沟通，且编制组主要成员与《信息安全技术网络数据分类分级规则》高度重合，工作有很好的继承性。标准申报组涵盖了国家互联网信息办、工业和信息化部、国家市场监管总局在数据安全监管方面的技术支撑单位。同时，还包括评估机构、认证机构、研究机构、企业、行业用户单位，在重要数据安全评估、标准制定与推广应用、行业重要数据分类分级管理与实践等方面有深入研究，经验丰富，为本标准制定提供了很好的基础。七、重大分歧意见的处理经过和依据无。八、涉及专利的有关说明本标准不涉及专利。九、实施国家标准的