110页幻灯片图解重要数据处理安全要求

炼石网络2023年8月 《重要数据处理安全要求》（征求意见稿）《重要数据识别规则》（征求意见稿）三、《网络数据分类分级要求》（征求意见稿）四、《网络数据处理安全要求》（GB/T41479-2022） 目录CONTENT 重要数据处理安全要求 《重要数据处理安全要求》（征求意见稿）发布 2023年8月25日，全国信息安全标准化技术委员会秘书处发布《信息安全技术重要数据处理安全要求》（征求意见稿），为确保标准质量，面向社会广泛征求意见，旨在加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用。 《重要数据处理安全要求》（征求意见稿）起草过程 征求意见稿2023.8 征求意见稿初稿2023.5 标准试点应用启动2023.4 草案V1.12022.6 标准草案V1.22022.11 草案V1.02022.3 基于前期研究项目成果进一步开屏广泛调研，研读国内外相关政策和标准文件，形成标准罩案V1.0，开展标准申报， 报据能解期试点反馈情况和参缩单位提供的您改意见，形成征求意见梅初稿，供标准会议周专家研讨和修改。 根据标准会议展发的意见对标准您改完善，提交信安标委专家会审议。经投票表决，标准征求意见精获得通过，会后编制组根据专家意见对标准修改完善后提交信安标委秘书处，上网公开征求意见， 标准编制组组织参与单位修改标准草案V1.2，供12月份标准会议周上进行 根据信安标委统一安，启动标准试点应用工作。 根据信安标委统一安排和会议局建议，对标准草案进行修改，再次提交标准草案V1.1供专家评审，并于2022年10月通过信安标委立项。 标准经信安标委工作组“会议周，讨论通过，进入立项准备阶段， 《重要数据处理安全要求》（征求意见稿）制定背景 随着数据成为国家基础性战略资源，其安全保护成为国家网络安全工作的一项重点。除涉密信息和个人信息外，还有一部分数据十分重要和敏感，即重要数据，其一旦被泄露、损缎、喜改、滥用，可能会带来严重后果，危害国家安全与公共利益。 信息安全技术网络数据分类分级要求（征） 给出识别重要数据的基本原则和考虑因素，可便于各组织识别其处理的需要数揭，为重要数据安全保护工作提供支撑，也可为各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据相关标准规范和具体目录提供参考16 《重要数据处理安全要求（征求意见稿）》编制原则 处理好两大关系 处理好重要数据安全与数据安全的关系 处理好数据安全与网络安全的关系 传统上认为，网络安全分很多层面，例如物理安全、适信安全、边界安全、主机安全、数据安全等。但量然不能单纯把数超安全看作网络安全的一部分，而是保护数据安全必须首先保护网络安全。为此，杭理数据安全的四个内涵： 近几年，我国网络安全标准化工作加大对数据安全标准制修订的支持，每年均有相当大比例的指标用于要托编制数据安全标准，常规性的数据安全要求已不必在重要款据安全标准中费述。故《重要数据处理安全要求》从以下四个方面理解重要数据处理安全要求的特殊性： 标准应该同时涉及重要款据处理的以上方面。但考虑到环安全（网络与系统安全）已有大量标准规范，此次不过多展开。但有三个方面需要突出： （1）数据处理者皮端按照网络安全等级保护的要求，加强数据处理系统、数据传输网络、数据存储不境等安全防护，处理重要数据的系统原则上应当满足三级以上网络安全等级保护要求。 （2）数据处理者应当使用密码技术对重要数据进行保护 （3）数据处理者使用的云应当符合国家云计算服务安全评估制度要求。 除上述外，本标准重点解决第二类和第三类重要数据安全问超，同时适尚兼第四类款据安全 主要内容及其确定依据 数据处理过程的安全 设施安全 运行与管理安全 主要包括维织与人员、数据治理、供应链、审计、应急处置、风险评估、配合监督管理等运行安全要求： 重点突出重要数据全生命周期中，各处理过程应满足的安全要求： 描述了处理重要数据的信息系统、云平台应满足的安全要求 ，收集：包活数据来源、识别、数据分类、数据分级、数超编自等要求，重点突出采集过程的合法性和数据质量、落实国家数据安全分类分级制度要求等内；存储：包活存储保护、存储位置、存储期限、备分与恢复等要求；使用与加工：包括重要数据在使用和加工过程中应进行的访问控制、萍估、审批、保密审查等方面的要求；，传输与提供：包括重要数据在对外提供和共享时应遵循的安全费求，如法律文件、评估与审批、监警与保护、交易、接收方义务、向项外提供等内容：公开：公开重要数据及基加工结黑时：数据处理者应采取的安全要求；制除：措数据处理者如何安全地刷除已废弃或超出约定期限的重要数据，包括数据到除、介质钢圾等。 组织与人员：主要体现法律法规提出的相关要求，包括安全负责人、安全管理机构、机构变化、管理制度、人员、培训等要求：.数据治理设施：主要从数据治理工典本身、统一管理等角度播述敌据治理设施的安全要求；供应链管理：措述了重要数据处理者在采购管理、供应商管理、评估等方面应遵循的要求，以更好的皮对复杂、严破的国际网络空间安全就助；应急响应：据述重要数据处理者在应急预案、演练计划、技术团队、处置机制摩方面的要求；安全风险详估：描速了评估制虚、评估内容、评估时机等要求；配合监督管理：包括流程规范、提供技术支持、配合整改措施等。 预期的经济效益、社会效益和生态效益 落实法律法规要求 本标准围绕重要数据收集、存储、使用、传输、共享、翻除等处理过程中的安全要求，为数据处理者合法、正当，以及安全地处理其学辈的重要数据提供技术支择和最佳实群，将有助于（中华人民共和国数据安全法》《网络数据安全管理条例（征求意见稿）》等数据安全监管法律法规的落地买施。回时，也为重要数据蓝管者、满评人员等提供了实践指南。 预期效益 防范重要数据风险 本标准将为我国数据安全保护，特别是重费数据管理提供基础技术支，有助于防范重要数据安全风险、完首我国网络安全顶层设计，具有重大社会效益。 促进数据跨境流动 本标准明确了效据处理者处理重要数据的安全要求，有助于数据交易、出境安全评估、安全审变等制度的科学、有效实雄，从而使利数据跨境流动、促进国际贸易，有利于经济发展与国际合作 明确标准的适用范围及重要意义 可供监管部门、评估机构或其他有关组织对重要数据处理活动实施安全监管、评估等活动时参考。 为了配合《中华人民共和国数据安全法》、《网络数据安全管理条例（征求意见稳）等数据安全监管法律法规的落地实施。本标准在题目中没有突出“网络数据”，但规范对象为电子形式存在的重要数据 与相关标准密切衔接，共同构成重要数据安全处理的指导性文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 其中，注日期的引用文件，仅该日期对应的版本适用于本文件：不注日期的引用文件，其最新版本（包活所有的终改单适用于本文件。 2.规范性引用文件 目前，国际上没有重要数据处理安全要求的标准，无法直接采标或直接借整。但实际上，世界各国都对各自关心的“感值息非个人信息、非涉密系统）进行管理，且多数提出了数据本地化存储要求，严格管控此类数掘的出境。此外，本标准还借鉴云计算、关基信息基础设施、人工智能等领域的国际标准及的数据安全相关经验。 本标准与信息安全技术网络数据分类分级规则》等标游规范共同构成了数据安全处理的重要技术文件。 明确关键术语和定义 1.范国 重要数据KeyData 数据处理者DataProcessor 特定领城、特定群体、特定区城或达到一定精度和规模的数据，一亘被泄露或整改、损吸，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。 在数据处理活动中自主决定处理目的、处理方式的组织和个人。 [来源：GB/TAAAAA—2023,3.1] 3.术语和定义 委托处理EntrustProcessing 数据处理 DataProcessing 数挺处理者委托第三方按照约定的目的和方式开展的数据处理活动。 数据收集、存储、使用、加工、传输、提供、公开、副除等活动的总称。注：也称“数据处理活动”。 规定了处理重要数据的信息系统、云平台应满足的安全要求 解读： 关于重要数据处理云平台是否需要通过国家评估 标准草稿理出，处理重要数据的云平台应当通过国家网信部门牵头实能的云计牌服务安全冲活，多家云计算服务商对表达了不同载见 云计算服务平台安全 系统安全 处理重要数据的系统应符合GB/T22239-2019第三级安全要求，并通过网络安全等级保护三级（含）以上测评。 ：使用时：使用社会化云计算服务平台处理重要数据前应进行风险评估，论证重要数据上云的必要性，并重点评估云计算服务提供者的安全可信性，以及云计算服务平台的安全状况。 ·已使用：已使用社会化云计算服务平台处理重要数据的，应定期对云计算服务平台进行安全评估。，存在风险时：数据处理者认为云计算服务平台安全存在不可接受的安全风险时，应停止使用其处理重要数据。 考脂到这一要求具有文件中并未有类似行政色彩，而目前政规定，故编制组最终除了相关要求，但是，重要敢据车意有其特殊性，标准仍规定了重要数据处理者应自行对重要数据上云的必要性、安全性进行判断，并重点评估云计算服务商是香安全可信。 4.设施安全 GB/T22239-2019第三级安全要求相关内容详见下页 扩展：处理重要数据的系统应符满足GB/T22239一2019第三级安全要求 安全通用要求 云计算安全扩展要求 安全运维管理 安全计算环境 安全计算环境 数据完整性和保密性 设备维护管理 数据完整性 本项要求包括： 本项要求包括： 本项要求包括： a)应采用校验技术或密码技术保证重要数据在传辅过程中的完整性，包括但不眼千鉴别数据、重要业务数据、重要审计故据、重要配置数据、重爱视频致据和重要个人信息等；b皮采用校验技术或密码技术保证重要数据在存健过程中的完整性，包括但不假于鉴别数屏、重要业务数据、重要审计数抵、重要配置数据、重要视缴数据和重要个人信息等。 a）应对各种设备（包括备份和穴余设备）、线路等指定专门的部门或人贵定期进行维护管理b）应建立配套设施、软摄件维护方面的管理制度，对其维护进行有效的管理，包括明确维护人员的责任，维修和服务的审批、维修过程的监督控制等；信息处理设备应经过审批才能带离机房或办公地点，合有存储介医的设签带出工作环境时其中革要数据应加密d)合有存储介质的设备在报或重用前，应进行完全清除或被安全覆盖，保证该设备上的敏感数据和授权软件无法被嵌复重用， a)应确保云服务客户数据、用户个人售惠等存储于中国境内：如需出境应遵需国象相关规定；b)应确保只有在云服务客户授权下，云服务商或第三方才具有云服务客户数据的管理权限C).应使用校验码减密码技术确保虚拟机迁移过程中重要款抵的究整性，并在检减到完整性受到破坏时来取必要的恢复措施；d）应支持云服务客户部需密销管理解决方案，保证云服务客户自行实现数据的加解密过程。 数据保密性 a)应采用密码技术保证重要数据在传输过程中的保密性，包括本项要求包括：但不限于生别数揭、重要业务数据和重要个人信息等：b)应用密码技术保证重要数据在存储过程中的保密性，包括但不限千坚别数揭、重要业务数据和重要个人信息等。 数据备份恢复 本项要求包括：a）应提供重要数据的本地数据备份与恢复功能；b）应提供降地实时备份功能，利用通信网络将车要数据实时备份至备份场地；C)应提供重要数框处理系统的热允余，保证系统的高可用性。 收集环节的数据来源、识别重要数据安全要求收集 存储 使用与加工 注：在敢据处理活动的阶设分方面，（敢据安全法》和《个人信息保护法》不一致，编时组最终采电了《个人信意保护法》的表述，职增加了“谢除”活改 识别重要数据 数据来源 【制定并定期更新】根据国家和行业主管监管部门有关重要数据识别的规定，和《GB/TAAAAA-2023信息安全技术数据分类分级规则》