110页幻灯片图解重要数据处理安全要求

炼石网络2023年8月 《重要数据处理安全要求》（征求意见稿） 目录CONTENT 《重要数据识别规则》（征求意见稿） 三、《网络数据分类分级要求》（征求意见稿） 四、《网络数据处理安全要求》（GB/T41479-2022） 重要数据处理安全要求 《重要数据处理安全要求》（征求意见稿）发布 中华人民共和国国家标准X00:000X D 信息安全技术重要数据处理安全要求 saatloi sforrai 2023年8月25日，全国信息安全标准化技术委员会秘书处发布《信息安全技术重要数据处理安全要求》（征求意见稿），为确保标准质量，面向社会广泛征求意见，在加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用。 《重要数据处理安全要求》（征求意见稿）起草过程 征求意见稿初稿2023.5 标准试点应用启动2023.4 征求意见稿2023.8 基于前期研究项目成果进一步开展广泛调研，研读国内外柜关政策和标准文件，形成标准草案V1.0，开展标准申报。 根据信安标委统一安排和会议周建议，对标准草案进行修改，再次提交标准草索V1.1供专家评审，并于2022年10月通过信安标委立项。 根据前期试点反馈情况和参编单位提供的修改意见，形成征求意见稿初稿，供标准会议同专家研讨和修改。 标准综制组织参与单位修改标准草案V1.2，供12月份标准会议固上进行讨e 标准经信安标委工作组“会议周”讨论通过，进入立项准备阶段。 根据信安标委统一安排，启动标准试点应用工作。 根据标准会设反债的意见对标准修改完善，提交信安标委专家会审议经投票表决，标准征求意见蒋获得通过。会后编制组根据专家意见对标准修改完善后提交信安标委秘书处，上网公开征求意见。 《重要数据处理安全要求》（征求意见稿）制定背景 随差数据成为国家基础性战略资源，其安全保护成为国家网络安全工作的一项重点。除涉密信息和个人信息外，还有一部分数据十分重要和敏感，即重要数据，其一旦被泄露、损毁、墓改、滥用，可能会带来严重后果，危害国家安全与公共利益。 信息安全技术网络数据分类分级要求（征） 给出识别重要数据的基本原则和考虑因素，可便于各组织识别其处理的重要数揭，为重要敬揭安全保护工作提供支行业、领域的重要数揭相关标准规范和只体目录提供参考撑，也可为各地区、各部门制定本地区、本部门以及相关6 《重要数据处理安全要求（征求意见稿）》编制原则 处理好两大关系 处理好重要数据安全与数据安全的关系 处理好数据安全与网络安全的关系 传统上认为，网终安全分很多层面，例如物理安全、通信安全、边界安全、主机安全、数据安全等。但显然不能单纯把数据安全看作网络安全的一部分，面是保护数据安全必须首先保护网络安全。为此，理数据安全的四个内涵：类别 近几年，我国网络安全标准化工作加大对政据安全标准制情订的支持，每年均有相当大比例的指标用于委托编制数据安全标准，常规性的数据安全要求已不必在重要数据安全标准中费述。故《重要数据处理安全要求》从以下四个方面理解重要数据处理安全要求的特殊性： 标准应该同时涉及重要数据处理的以上方面：但考虑到环境安全（网终与系统安全）已有大量标准规范，此次不运多展开。但有三个方面需要实出： （1）数据处理者应当按照网络安全等级保护的要求，加强数据处理系统、数据传翰网络、数据存储环境等安全防护，处理重要据的系统原则上应当滴足三级以上网络安全等级保护要求。 （2）整据处理者应当使用密码技术对重要数据进行保护， （3）数据处理者使,用的云应当符合国索云计算服务安全评估制度要求。 除上述外，本标准重点解决第二类和第三类主要数据安全问题，同时适当兼顾第四类数拒安全 主要内容及其确定依据 数据处理过程的安全 运行与管理安全 设施安全 主要包括组织与人员、数据治理、供应链、审计、应急处置、风险评估、配合监督管理等运行安全要求： 重点突出重要数据全生命周期中，各处理过程应满足的安全要求： 描述了处理重要数据的信息系统、云平台应满足的安全要求 收集：包括数据束源、识到、数据分类、数据分毁、数据编目等要求，重点突出采集过程的合法性和数据质量、落实国家数据安全分类分级制度要求等内客；存储：包括存储保护、存储位置、存确期限、备份与恢复等要求；使用与加工：包括重要数据在使用和加工过程中应进行的访问控制、评估、审批、保密审查等方面的要求；传输与提供：包括重要数据在对外提供和共享时应遵循的安全要求，如法律文件、评估与审批、监暂与保护、交品、接收方文务、向境外提供等内客：公开：公开重要款掘及其加工结果对，数据处理者应采吸的安全要求；剧除：指述数据处理者如何安全地到除已凌异或超出约定期限的重要数据，包括数据划除、介质销级等。 ，组织与人员：主要体现法律法规提出的相关要求，包括安全负责人、安全管理机构、机构变化、管理制度、人员、培训等要求；.致据治理设施：主要从数据治理二具本身、统一管理等角度措述数据治理设施的安全要求；供应链管理：措述了重安数据处理者在采购管理、供应商管理、沪估等方面应遵循的要求，以更好的应对复杂、严峻的国际网络空间安全威协；应急响应：措达垂要数据处理者在应急预案、演练计划、技术团队、处置机制等方面的要求；安全风险评估：描述了评估制要、评估内容、评估时机等要求；配合监督管理：包括流程规范、提供技术支持、配合整改措施等， 预期的经济效益、社会效益和生态效益 落实法律法规要求 本标准围绕主要数据收集、存储、使用、传输、共享、制除等处理过程中的安全要求，为数据处理合法、正当，以及安全地处理其掌谨的重要数据提供技术支撑知量最佳实践，将有助于中华人民共和国数据安全法》、&网络政据安全管理条例（征求意见稿）》等数据安全监管法律法规的落地实施。同时，也为重要数据蓝管者、测评人员等提供了实践招南。 防范重要数据风险 本标准将为我国鼓据安全保护，特别是重要数据管理提供基础技术择撑，有助于防范要数据安全风险、完善我国网络安全顶层设计，只有重大社会效益。 促进数据跨境流动 本标准明确了款据处理者处理重要数据的安全要求，有助于数据交易、出境安全评估、安全审查等制度的料学、有效实施，从而便利数据跨境流动、促进国际贸易，有利于经济发展与国际合作。 明确标准的适用范围及重要意义 可供监管部门、评估机构或其他有关组织对重要数据处理活动实施安全监管、评估等活动时参考。 解读 为了配合《中华人民共和国政据安全法、《网络数据安全管理条例（征求意见稿）》等数据安全监管法律法规的落地实施。本标准在题目中没有突出“网络数据”，但规范对象为电子形式存在的重要数据 与相关标准密切衔接，共同构成重要数据安全处理的指导性文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 其中，注E期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 2.规范性引用文件 目前，国际上没有重要数据处理安全要求的标准，无法互接采标或互接借鉴。但实际上，世界各国对各自关心的“数题信息”（非个人信息、非涉密系统）进行管理，且多敬拐出了数漏本地化存储要求，严格管控此类敬据的出境。此外，本标准还借鉴云计算、关基信息基础设施、人工智能等领域的国际标准涉及的数据安全相关经验。 本标准与信息安全技术网络数据分类分级规则3等标准规范共同构成了数据安全处理的重要技术文件。 明确关键术语和定义 重要数据KeyData 数据处理者DataProcessor 特定领城、特定群体、特定区城或达到一定精度和规模的数据，一旦被泄露或慕改、损毁，可能直接意吉国家安全、经济运行、社会稳定、公共健康和安全。 在数据处理活动中自主决定处理目的、处理方式的组织和个人。 [来源; GB/T AAAAA2023,3.1] 委托处理EntrustProcessing 数据处理DataProcessing 数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。 数据收集、存惜、使用、加工、传输、提供、公开、删除等活动的总称。注：也称“数据处理活动”。 规定了处理重要数据的信息系统、云平台应满足的安全要求 解读： 关于重要数据处理云平台是否需要通过国家评估 标准草稿曾提出，处理重要数据的云平台应当通过国家网信部门率头实施的云计算服务安全评估，多家云计算服务商对表达了不同意见。 云计算服务平台安全 系统安全 处理重要数据的系统应符合GB/T22239-2019第三级安全要求：并酒过网络安全等级保护三级（含）以上测评。 使用时：使用社会化云计算服务平台处理重要数据前应进行风险评估，论证重费数据上云的必要性，并重点评估云计算服务提供者的安全可信性，以及云计算服务平台的安全状况。 考虑到这一要求只有行政色彩，而目前政策文件中并未有类似规定，故编制组最终删除了相关要求。但，重要教据率竞有其特殊性，标准仍规定了重要数据处理者应自行对重要数据上云的必要性、安全性进行判断，并重点评估云计算服务商是否安全可信。 GB/T22239-2019第三级安全要求相关内容详见下页 ，已使用：已使用社会化云计算服务平台处理重要数据的，应定期对云计算服务平台进行安全评估： ，存在风险时：数据处理者认为云计算服务平台安全存在不可接受的安全风险时，应停止使用其处理重要数据。 扩展：处理重要数据的系统应符满足GB/T22239一2019第三级安全要求 安全通用要求 云计算安全扩展要求 安全运维管理 安全计算环境 安全计算环境 数据完整性和保密性 设备维护管理 数据完整性 产项要求包括： 本项要求包括： a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性，包括但不限千鉴别数括、重要业务数提、重要审计数据、重要配置数据、重要视预数据和查系个人信息等；b)应采用校验技术或密码技术保证需要数据在存梯过程中的完整性，包括但不限于鉴别数据、重要业务政据、重要审计敌据、重要配置数据、重要视须数据和重要个人信息等。 本项要求包括： a）皮对各种设备（包括备份和几余设备）、线路等指定专门的部门或人员定期进行维护管理b)应建立配套设施、软硬件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的患任、雄像和服务的审批、维修过程的监督控制等；c)信息处理设备应经过审批才能带高机房或办公地点，合有存储介质的设备带出工作环境时其中重要数据应加密：d）含有存储介质的设备在报废或重用前，应进行完全清除或被安全覆盖，保证该设备上的教感数据和授权软件无法被恢复重用。 a）皮确保云服务客户数据、用户个人信息等存储于中国境内：如需出境皮遵后国索相关规定：b）应确保只有在云服务客户授权下，云服务商或第三方才具有云服务客户数据的管理权限；c）应使用校验码或密码技术确保虚拟机迁移过程中重要敌据的完整性，并在检测到完整性受到破坏时采取必要的恢复措施；解决方案，保证云股务客户自行实现款据的加解案过程 数据保密性 云项要求包括：a）应采用密码技术保证重要数据在传输过程中的保密性，包括但不限于鉴别数据、重要业务放据和重要个人信息等：b)应采用密码技术保证重要散据在存储过程中的保空性，包括但不限千鉴别数据、重要业务数据和查要个人信息等。 数据备份恢复 公项费求包括：a)应提供重要数据的本地数据备份与恢复功能；b）应提供异地实时备份功能，利用通信网络将重要款据实时备份至备份场地C应提供重要数据处理系统的热几余，保证系统的高可用性。 收集环节的数据来源，识别重要数据安全要求 存储 便用与加工 注：在数好处理活励的阶段划分方面，《散据安全法和《个人信息保护法》不一致，编制组最终采用了《个人信息保护法》的表，即增加了“阅除”活。 识别重要数据 数据来源 数据处理者应： 【制定数据收集程序】明确数据攻集目的、规模、方式、范围、类型、存储期限、存储地点等，以及数据格式、质量准则和评价方式等要求； 【