炼石 ClpherGcrewa 110页幻灯片图解 重要数据处理安全要求 炼石网络2023年8月 炼石 CipherGatewoy 《重要数据处理安全要求》(征求意见稿) 目录《重要数据识别规则》(征求意见稿) 三、《网络数据分类分级要求》(征求意见稿) CONTENT 四、《网络数据处理安全要求》(GB/T41479-2022) 石 重要数据处理安全要求 《重要数据处理安全要求》(征求意见稿)发布 GB 中华人民共和国国家标准 X00:000XD 信息安全技术重要数据处理安全要求 sforrai 烁石 saatloi 2023年8月25日,全国信息安全标准化技术委员会秘书处发布《信息安全技术重要数据处理安全要求》(征求意见稿),为确保标准质量,面向社会 广泛征求意见,在加强网络安全国家标准在国家网络安全保障工作中的 基础性、规范性、引领性作用。 《重要数据处理安全要求》(征求意见稿)起草过程陈石 三 草案V1.0 立项 草案V1.1 标准草案V1.2 标准试点应用启动 征求意见稿初稿 征求意见 2022.3 2022.4 2022.6 2022.11 2023.4 2023.5 2023.8 稿 标准经信安标委工 根据信安标委统一安 标准综制组织参 根据信安标委统一安 根据前期试点反馈情况 根据标准会设反 作组“会议周”讨 排和会议周建议,对 与单位修改标准草 排,启动标准试点应 和参编单位提供的修改 债的意见对标准修 论通过,进入立项准备阶段。 标准草案进行修改, 再次提交标准草索 案V1.2,供12月份 标准会议固上进行 用工作。 意见,形成征求意见稿初稿,供标准会议同专 改完善,提交信安标委专家会审议 V1.1供专家评审,并 讨e 家研讨和修改。 经投票表决,标准 于2022年10月通过 征求意见蒋获得通 信安标委立项。 过。会后编制组根据专家意见对标准修改完善后提交信 安标委秘书处,上网公开征求意见。 基于前期研究项目成果进一步开展广泛调研,研读国内外柜关政策和标准文件,形成标准草 案V1.0,开展标准 申报。 《重要数据处理安全要求》(征求意见稿)制定背景烁石 随差数据成为国家基础性战略资源,其安全保护成为国家网络安全工作的一项重点。除涉密信息和个人信息外,还有一部分数据十分重要和敏感,即重要数据,其一旦被泄露、损毁、墓改、滥用,可能会带来严重后果,危害国家安全与公共利益。 大型工程南工设备获取的教索工焊物理立置、施工土石方数据 涉密实体经 在提供导航、电子商务、即时通信等服务时收集、产牛的数据沙及经济、地理、人口、法人等国索基础信息的数据 科研或果及其相 互联网科研关数据 信息济企业企业机构 具有相应 资质或承 个人关键信息 信息政务基础设施 医院、高担特定职 校等公共能的权威 部门 运营者在内的重点 服务机构专业机构 行业企业地理、地亮、天文、气 象等科学数掘及其衍生 重要数据健康医疗款递数托 宏观经济数据金融交易数部教育数据 合规要求会融监管数据能源三产和消最数据合规要求 人口盗欢数据健速数据 执法数据 交通运论欧据 关键信惠基知设流语产数据网络安全防护信息 2017年6月1日起施行 网络安全法 2021年9月1日起施行 数据安全法 2021午11月14日发布 网络数据安全管理条例(征) 2022年9月14日发布信息安全技术网络数据分类分级要求(征) “重要数据”最早见诸 提出制定重要数据 提出重要数据的定义 给出识别重要数据的基本原则和考虑因素,可便于各组织 2017年实施的《网络安且体目录的要求设立重要数据安全监管制度识别其处理的重要数揭,为重要敬揭安全保护工作提供支 全法第三十七条 撑,也可为各地区、各部门制定本地区、本部门以及相关 行业、领域的重要数揭相关标准规范和只体目录提供参考6 《重要数据处理安全要求(征求意见稿)》编制原则 处理好两大关系 陈石 CpherGetewoy 处理好数据安全与网络安全的关系处理好重要数据安全与数据安全的关系 传统上认为,网终安全分很多层面,例如物理安全、通信安全、边界安全、主机安全、数据安近几年,我国网络安全标准化工作加大对政据安全标准制情 全等。但显然不能单纯把数据安全看作网络安全的一部分,面是保护数据安全必须首先保护网 类络安别全。为此,理数据安全的四个内涵: 环境的安 数报折在团数所在的网绪与系统的安全,歌保安全与所外网缩和系统密切捐关,网缩和系统如果稳慢 安之不存毛将责附”,故在这一层面上,同络安全和数据安全是等同的。两老不能切 订的支持,每年均有相当大比例的指标用于委托编制数据安全标准,常规性的数据安全要求已不必在重要数据安全标准中费述。故《重要数据处理安全要求》从以下四个方面理解重要数据处理安全要求的特殊性: 数据白身主要体现在教据自身能吾防范被攻击、窃职、筹改等,传统上,这虽然也被认为是网结安全的 安全一够分,但却是压绕数据自身做文章,典型工作如加密、脱敢等。类别区别 安全保护强度严于一没数据 数据处理即数据处理活动要得合法律法规规定,一个机构即对款据做到了退好的保护,确保式不会受行为安全到外部既热:但加集出现自己道来蓝用的情况,反而是当前国家担心的大问题。 的安全 数据要表欧搭是新的生产要恶,这个费素作月的发挥涉及到数据确权、数授权、致据定价、数据开发管理制度严于一般效据 利用主体选择、数据开发利用过程监管等一系列新问题,这也是致据安全需要解决的痛点。 合规要求法律法规有明确的要求(对一般数据的合规 标准应该同时涉及重要数据处理的以上方面:但考虑到环境安全(网终与系统安全)已有大量我求则少得多 标准规范,此次不运多展开。但有三个方面需要实出: (1)数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传翰网络、数据 存储环境等安全防护,处理重要据的系统原则上应当滴足三级以上网络安全等级保护要求。 (2)整据处理者应当使用密码技术对重要数据进行保护, (3)数据处理者使,用的云应当符合国索云计算服务安全评估制度要求。 配合监管三要数据处理者负有特定的法律义务 除上述外,本标准重点解决第二类和第三类主要数据安全问题,同时适当兼顾第四类数拒安全部分来源:小说安全》 7 主要内容及其确定依据陈石 设施安全数据处理过程的安全运行与管理安全 描述了处理重要数据的信息系统、云重点突出重要数据全生命周期中,各处理过程应主要包括组织与人员、数据治理、供应链、审计平台应满足的安全要求满足的安全要求:、应急处置、风险评估、配合监督管理等运行安 收集:包括数据束源、识到、数据分类、数据分毁全要求: 、数据编目等要求,重点突出采集过程的合法性和,组织与人员:主要体现法律法规提出的相关要求 数据质量、落实国家数据安全分类分级制度要求等,包括安全负责人、安全管理机构、机构变化、管 内客;理制度、人员、培训等要求; 存储:包括存储保护、存储位置、存确期限、备份.致据治理设施:主要从数据治理二具本身、统一 与恢复等要求; 使用与加工:包括重要数据在使用和加工过程中应 进行的访问控制、评估、审批、保密审查等方面的 管理等角度措述数据治理设施的安全要求; 供应链管理:措述了重安数据处理者在采购管理 要求;、供应商管理、沪估等方面应遵循的要求,以更好 传输与提供:包括重要数据在对外提供和共享时应的应对复杂、严峻的国际网络空间安全威协; 遵循的安全要求,如法律文件、评估与审批、监暂应急响应:措达垂要数据处理者在应急预案、演 与保护、交品、接收方文务、向境外提供等内客:练计划、技术团队、处置机制等方面的要求; 公开:公开重要款掘及其加工结果对,数据处理者安全风险评估:描述了评估制要、评估内容、评 应采吸的安全要求;估时机等要求; 剧除:指述数据处理者如何安全地到除已凌异或超配合监督管理:包括流程规范、提供技术支持、出约定期限的重要数据,包括数据划除、介质销级配合整改措施等, 等。 预期的经济效益、社会效益和生态效益 烁石 CipherGchewo 落实法律法规要求 本标准围绕主要数据收集、存储、使用、传输、共享、制除等处理过程中的安全要求,为数据处理 01合法、正当,以及安全地处理其掌谨的重要数据提供技术支撑知量最佳实践,将有助于中华人民共和国数据安全法》、&网络政据安全管理条例(征求意见稿)》等数据安全监管法律法规的落地实施。同时,也为重要数据蓝管者、测评人员等提供了实践招南。 预期效益02防范重要数据风险 本标准将为我国鼓据安全保护,特别是重要数据管理提供基础技术择撑,有助于防范要数据安全 风险、完善我国网络安全顶层设计,只有重大社会效益。 03促进数据跨境流动 本标准明确了款据处理者处理重要数据的安全要求,有助于数据交易、出境安全评估、安全审查等 制度的料学、有效实施,从而便利数据跨境流动、促进国际贸易,有利于经济发展与国际合作。 9 明确标准的适用范围及重要意义炼石 1.范压本文件规定了数据处理者处理重要数据的安全要求 2.规范性引用 文件 本文件适用于数据处理可供监管部门、评估机构或其 3.术语和定义 者对重要数据开展处理 0102 他有关组织对重要数据处理活 活动时参考。数据处理监管评估动实施安全监管、评估等活动 4.设施安全时参考。 5.数据处理活 动的安全 6.运行与管理 安全 解读为了配合《中华人民共和国政据安全法、《网络数据安全管理条例(征求意见稿)》等数据安全监管法律法规的 落地实施。本标准在题目中没有突出“网络数据”,但规范对象为电子形式存在的重要数据 与相关标准密切衔接,共同构成重要数据安全处理的指导性文件烁石 1.范压 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 其中,注E期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单) 适用于本文件。 2.规范性引用GBGBGB 文件中华人民共和家;:入t#国家中华人民共和国国家都浦 3.术语和定义兽息安全决求 4.设施安全 信息安全技术术语 信息安全技术网络安全 信息安全技术 GB/T25059-2022 等级保护基本要求数据分类分级规则 5.数据处理活GB/T22239-2019GB/TAAAAA2023 动的安全 6.运行与管理 解读目前,国际上没有重要数据处理安全要求的标准,无法互接采标或互接借鉴。但实际上,世界各国对各自关心的“数题信息” (非个人信息、非涉密系统)进行管理,且多敬拐出了数漏本地化存储要求,严格管控此类敬据的出境。此外,本标准还借鉴云计算、关基信息基础设施、人工智能等领域的国际标准涉及的数据安全相关经验。 安全本标准与信息安全技术网络数据分类分级规则3等标准规范共同构成了数据安全处理的重要技术文件。 明确关键术语和定义 1.范压 烁石 重要数据KeyData数据处理者DataProcessor 2.规范性引用特定领城、特定群体、特定区城或达到一定精度和在数据处理活动中自主决定处理目的、处理方式的 文件规模的数据,一旦被泄露或慕改、损毁,可能直接意吉国家安全、经济运行、社会稳定、公共健康和 安全。 3.术语和定义[来源;GB/TAAAAA2023,3.1] 组织和个人。 4.设施安全 数据处理DataProcessing委托处理EntrustProcessing 数据收集、存惜、使用、加工、传输、提供、数据处理者委托第三方按照约定的目的和方式开展 公开、删除等活动的总称。的数据处理活动。 5.数据处理活注:也称“数据处理活动”。 动的安全 6.运行与管理 安全 1.2 规定了处理重要数据的信息系统、云平台应满足的安全要求 1.范压 烁石 解读: 关于重要数据处理云平台是否需要通过国家评估 2.规范性引用标准草稿曾提出,处 文件 系统安全 云计算服务平台安全 理重要数据的云平台应当通过国家网信部门率头实施的云计算服务安全评估,多家 3.术语和定义处理重要数据的系统应符合GB/T22239-2019云计算服务商对表