110页幻灯片图解重要数据处理安全要求V1.0.0

炼石 CipherGateway 110页幻灯片图解 重要数据处理安全要求 炼石网络2023年8月 炼石 CipherGateway 《重要数据处理安全要求》（征求意见稿） 目录《重要数据识别规则》（征求意见稿） 三、《网络数据分类分级要求》（（征求意见稿） CONTENT 四、《网络数据处理安全要求》（GB/T41479-2022) 炼石 重要数据处理安全要求 《重要数据处理安全要求》（征求意见稿）发布 炼石 Ciphere KSK-4KGB 中华人民共和国国家标准 GB/TX000XX000X 信息安全技术重要数据处理安全要求 efydt 1年5月19日 XX-XX-XK.XX-XX-XJK8 2023年8月25日，全国信息安全标准化技术委员会秘书处发布《信息安全技术重要数据处理安全要求》（征求意见稿），为确保标准质量，面向社会 广泛征求意见，旨在加强网络安全国家标准在国家网络安全保障工作中的 基础性、规范性、引领性作用。 《重要数据处理安全要求》（征求意见稿）起草过程 炼石 Cipher 三 草案V1.0 立项 草案V1.1 标准草案V1.2 标准试点应用启动 征求意见稳初稿 征求意见 2022.3 2022.4 2022.6 2022.11 2023.4 2023.5 2023.8 稿 信安标委立项。 过。会后编制组根据专家意见对标准 修改完著后提交估 安标委稳书处，上网公开征求意见 基于前期研究项目标准经信安标委工根据信安标要统一安标准编制组组织参根据信安标要统一安根据前期试点反馈情况根据标准会议周反成果进一步开展广作组“会议周”讨排和会议周建议，对与单位修改标准草排，启动标准试点应和参编单位提供的修改馈的意见对标准修泛调研，研读国内论通过，进入立项标准草案进行像改，案V1.2，供12月份用工作。意见，形成征求意见稿改完善，提交信安外相关政策和标准准备阶段。再次提交标准草案标准会议周上进行初稿，供标准会议周专标委专家会审议。文件，形成标准草V1.1供专家评审，并讨论。家研讨和修改。经投票表决，标准案V1.0，开展标准于2022年10月通过证求意见精获得通 申报。 5 《重要数据处理安全要求》（征求意见稿）制定背景 炼石 CipherGectewa 随差数据成为国家基础性战略资源，其安全保护成为国家网络安全工作的一项重点。除涉密信息和个人信息外，还有一部分数据十分重要和敏感，即重要数据，其一旦被泄露、损毁、篡改、滥用，可能会带来严重后果，危害国家安全与公共利益。 大型工程施工设备获取的数感工程物在提供导航、电子高务、即时通信等服务时收售、产生的数据理位置、施工土石方数据涉及经济、地理、人口、法人等国家基础信息的数据 科研成果及其相 涉密实体经 互联网 科研关数超 信息济企业 企业机构具有相应 个人关键信息 资质或承 基础设施医院、高担特定职 信息政务运营者在校等公共能的权威 部门内的重点服务机构专业机构 行业企业地理、地露、天文、气 象等科学数据及其衍生 重要数据健康医疗数据数据 宏观经济数据金融交易数据教育数据 合规要求金融监管数据能源生产和消费数据 合规要求 人口资激数据关键信息基础设施资产数据 健康数据网络安全防护信息热法数据 交通运销数据 2017年6月1日起施行2021年9月1日起链行2021年11月14日发布2022年9月14日发布 网络安全法数据安全法网络数据安全管理条例（征）信息安全技术网络数据分类分级要求（征） “重要数据”最早见诸提出制定重要数据提出重要数据的定义给出识别重要数据的基本原则和考虑因素，可便于各组织 2017年实施的（网络安具体目录的要求设立重要数据安全监管制度识别其处理的重要数据，为重要数据安全保护工作提供支 全法》第三十七条撑，也可为各地区、各部门制定本地区、本部门以及相关 行业、领域的重要数据相关标准规范和具体目录提供参考6 《重要数据处理安全要求（征求意见稿）》编制原则CipherGeteway 处理好两大关系 处理好数据安全与网络安全的关系处理好重要数据安全与数据安全的关系 传统上认为，网络安全分很多层面，例如物理安全、通信安全、边界安全、主机安全、数据安近几年，我国网络安全标准化工作加大对数据安全标准制修 全等。但显然不能单纯把数据安全看作网络安全的一部分，而是保护数据安全必须首先保护网订的支持，每年均有相当大比例的指标用于委托编制数据安 类别 络安全。为此，梳理数据安全的四个内涵： 割，拍没必要动乳 数据所在印数据所在的网络与系绕的安全，款据安全与所处网络和系统率切相关，网络和系统如果按慢环境的安入如是“皮之不存毛将需附”，故在这一层面上，网络安全和数据安全是等同的：两者不能切 数据自身主要体现在据自身能否防范被攻击、窃取、等改等，传统上，这虽然也被认为是网络安全的 全标准，常规性的数据安全要求已不必在重要数据要全标准中费述。故《重要数据处理安全要求》从以下四个方面理解重要数据处理安全要求的特殊性： 安全一部分，但却是围烧数帮自身做文章，典型工作如加密、脱款等。类别区别 数据处理即数据处理活动要符合法律法规规定。一个机构即使对数据做到了很好的保护，确保其不会受安全保护强度严于一般数据 行为安全到外部威助，但如果出现自己消采用的情况，反而是当前国家担心的大问题。 的安全 致探要素数超是新的生产要素，这个要素作用的发择涉及到数据确权，数据授权、致据定价、致据开发管理制度严于一段数据 利用主体选择、政据开发利用过程监管等一系列新问题，这也是欲据安全需要解决的痛点。 合观要求法律法规有明确的要求（对一般数据的合规 标准应该同时涉及重要数据处理的以上方面。但考虑到环境安全（网络与系统安全）已有大量要求则少得多） 标准规范，此次不过多展开。但有三个方面需要突出： （1）数据处理者应当按照网络安全等级保护的要求，加强数据处理系统、数据传输网络、数据存储环境等安全防护，处理重要数据的系统原则上应当满足三级以上网络安全等级保护要求。 （2）数据处理者应当使用密码技术对重要数据进行保护。 (3）数据处理者使用的云应当符合国家云计算服务安全评估制度要求， 配合监管审要数据处理者负有特定的法律义务 除上述外，本标准重点解决第二类和第三类重要数据安全间题，同时适当兼第四类数据安全“部分来源：（小贝政安全） 问题。7 主要内容及其确定依据 陈石 Cipher 设施安全数据处理过程的安全运行与管理安全 描述了处理重要数据的信息系统、云重点突出重要数据全生命周期中，各处理过程应主要包括组织与人员、数据治理、供应链、审计平台应满足的安全要求满足的安全要求：应急处置、风险评估、配合监督管理等运行安 ，收集：包括数据来源、识别、数据分类、数据分级全要求： 、数据编目等要求，重点突出采集过程的合法性和组织与人员：主要体现法律法规提出的相关要求 数据质量、落实国家数据安全分类分级制度要求等 内容； ，包括安全负责人、安全管理机构、机构变化、管 理制度、人员、培训等要求； 存储：包括存储保护、存储位置、存储期限、备份数据治理设施：主要从款据治理工具本身、统一 与恢复等要求；管理等角度描述数据治理设施的安全要求； 使用与加工：包括重要数据在使用和加工过程中应 进行的访问控制、评估、审批、保密审查等方面的 供应链管理：描述了重要数据处理者在采购管理 要求；、供应商管理、评估等方面应遵循的要求，以更好 传输与提供：包括重要数据在对外提供和共享时应的应对复杂、严快的国际网络空问安全威胁； 遵循的安全要求，如法律文件、评估与审批、监督应急响应：描述重要数据处理者在应急预累、演 与保护、交易、接收方义务、向境外提供等内容：练计划、技术团队、处置机制等方面的要求； 公开：公开重要数据及其加工结果时，数据处理者安全风险评估：描述了评估制宽、评估内容、评 应采取的安全要求；估时机等要求； 删除：描述数据处理者如何安全地刊除已弃或起配合监督管理：包括流程规范、提供技术支持、出约定期限的重要数据，包括数据到除、介质钥毁配合整改措施等。 预期的经济效益、社会效益和生态效益炼石 落实法律法规要求 本标准围绕重要数据收集、存储、使用、传输、共享、除等处理过程中的安全要求，为数据处理 01者合法、正当，以及安全地处理其掌握的重要数据提供技术支撑和佳实践，将有助于（中华人民共和国数据安全法》、《网络数据安全管理条例（征求意见稿）》等数据安全监管法律法规的落地实施。同时，也为重要数据监管者、测评人员等提供了实践指南。 预期效益02防范重要数据风险 本标准将为我国数据安全保护，特别是重费数据管理提供基础技术支择，有助于防范重要数据安全 风险、完善我国网络安全顶层设计，具有重大社会效益 03促进数据跨境流动 本标准明确了数据处理者处理重要数据的安全要求，有助于数据交易、出境安全评估、安全审查等 制度的科学、有效实施，从而便利数据跨境流动、促进国际贸易，有利于经济发展与国际合作。 9 明确标准的适用范围及重要意义炼石 1.范围本文件规定了数据处理者处理重要数据的安全要求 2.规范性引用 文件 本文件适用于数据处理可供监管部门、评估机构或其 3.术语和定义 者对重要数据开展处理 0102 他有关组织对重要数据处理活 活动时参考。数据处理监管评估动实施安全监管、评估等活动 4.设施安全时参考。 5.数据处理活 动的安全 6.运行与管理 安全 解读为了配合《中华人民共和国数据安全法》、《网络数据安全管理条例（征求意见稿）》等数据安全监管法律法规的 落地实施。本标准在题目中没有突出“网络数据”，但规范对象为电子形式存在的重要数据 炼石 与相关标准密切衔接，共同构成重要数据安全处理的指导性文件Cipher 1.范围 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单 适用于本文件。 2.规范性引用GBGBGB 文件中华人民共和国国家标准中华人民共和国国家标准中华人民共和国国家标福 3.术语和定义 价息安业损术信安全技水网格费提分美分损资家实终安全养总保护基本要学 4.设施安全 信息安全技术术语 信息安全技术网络安全 信息安全技术 GB/T25069-2022 等级保护基本要求数据分类分级规则 5.数据处理活GB/T22239-2019GB/TAAAAA-2023 动的安全 6.运行与管理 解读目前，国际上没有重要数据处理安全要求的标准，无法直接采标或直接借鉴。但实际上，世界各国都对各自关心的“教感信息” （非个人信息、非涉密系统）进行管理，且多数提出了数据本地化存储要求，严格管控此类数据的出境。此外，本标准还借鉴云 计算、关基信息基础设施、人工智能等领域的国际标准涉及的数据安全相关经验。 安全本标准与信息安全技术网络数据分类分级规则》等标准规范共同构成了数据安全处理的重要技术文件。 明确关键术语和定义 1.范图 炼石 重要数据KeyData数据处理者DataProcessor 2.规范性引用特定领域、特定群体、特定区域或达到一定精度和在数据处理活动中自主决定处理目的、处理方式的 文件规模的数据，一旦被泄露或悬改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和 安全。 3.术语和定义[来源:GB/TAAAAA—2023,3.1] 组织和个人。 4.设施安全 数据处理DataProcessing委托处理EntrustProcessing 数据收集、存储、使用、加工、传输、提供、数据处理者委托第三方按照约定的目的和方式开展 公开、剧除等活动的总称。的数据处理活动。 5.数据处理活注：也称“数据处理活动”。 动的安全 6.运行与管理 安全 12 炼石 规定了处理重要数据的信息系统、云平台应满足的安全要求Ciphere 1.范围 解读： 关于重要数据处理云平台是否需要通过国家评估 文件 2.规范性引用标准草稿曾提出，处 理重要数据的云平台