炼石 CipherGoteway 110页幻灯片图解 重要数据处理安全要求 炼石网络2023年8月 烁石 CipherGateway 目录 《重要数据处理安全要求》(征求意见稿) 《重要数据识别规则》(征求意见稿) 三、《网络数据分类分级要求》(征求意见稿) CONTENT 四、《网络数据处理安全要求》(GB/T41479-2022) 重要数据处理安全要求 《重要数据处理安全要求》(征求意见稿)发布陈石 GB 中华人民共和国国家标准 NTXXOXJOCOX 信息安全技术重要数据处理安全要求 AI4UARPI ERECE X99:88-8J88 2023年8月25日,全国信息安全标准化技术委员会秘书处发布《信息安全技术重要数据处理安全要求》(征求意见稿),为确保标准质量,面向社会 广泛征求意见,旨在加强网络安全国家标准在国家网络安全保障工作中的 基础性、规范性、引领性作用。 《重要数据处理安全要求》(征求意见稿)起草过程陈石 店 三 草案V1.0 立项 草案V1.1 标准草案V1.2 标准试点应用启动 征求意见稿初稿 征求意 2022.3 2022.4 2022.6 2022.11 2023.4 2023.5 2023.8 见稿 标准经信安标委工作组“会议周,讨 根据信安标委统一安排和会议局建议,对 标准编制组组织参 与单位修改标准草 根据信安标委统一安,启动标准试点应 报据能解期试点反馈情况 和参缩单位提供的您改 根据标准会议展发 的意见对标准您 论通过,进入立项准备阶段, 标准草案进行修改, 再次提交标准草案 案V1.2,供12月份标准会议周上进行 用工作。 意见,形成征求意见梅 初稿,供标准会议周专 改完善,提交信安 标委专家会审议。 V1.1供专家评审,并 家研讨和修改。 经投票表决,标准 于2022年10月通过 征求意见精获得通 信安标委立项。 过,会后编制组根据专家意见对标准修改完善后提交信安标委秘书处,上 网公开征求意见, 基于前期研究项目成果进一步开屏广泛调研,研读国内外相关政策和标准文件,形成标准罩 案V1.0,开展标准 申报, 《重要数据处理安全要求》(征求意见稿)制定背景 练V石 CpheiCohn 随着数据成为国家基础性战略资源,其安全保护成为国家网络安全工作的一项重点。除涉密信息和个人信息外,还有一部分数据十分重要和敏感,即重要数据,其一旦被泄露、损缎、喜改、滥用,可能会带来严重后果,危害国家安全与公共利益。 大型工程施工设备取的教感工程物在线操供导就、电子商务、即时通信等服务时收集、产生的数据理位置、衡工土在方效步及经济、地理、人口、法人等可家基础信息的默据 科研成果及其相 涉密实体经 互联网科研美数护 信息济企业企业机构 具有相险 个人关娱信惠盗质或承 信息政务 基础设施医院、高报特定职 运营者在校等公共能的权威 部门内的重点服务机构专业机构 行业企业地理、地雷、天文、气 家等码学数据及真伤生 重要数据健康医疗数据宏观经济数据金融交易数据教育数据 合规要求全融监管数据美源生产和消费数控 合规要求 入口资薄数据关键信息基就设施资产数据 健康数据网招安全防护信息热法数排 交通运途数据 2017年6月1日起栋行2021年9月1日起施行2021年11月14日发布2022年9月14日发布 网络安全法数据安全法网络数据安全管理条例(征)信息安全技术网络数据分类分级要求(征) “重要数据”最早见诺提出制定重要数据提出重要数据的定义给出识别重要数据的基本原则和考虑因素,可便于各组织 2017年实施的《网络安具体目录的要求设立重要数据安全监管制度识别其处理的需要数揭,为重要数据安全保护工作提供支 全法第三十七条撑,也可为各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据相关标准规范和具体目录提供参考16 《重要数据处理安全要求(征求意见稿)》编制原则CpherGdhn 处理好两大关系 处理好数据安全与网络安全的关系处理好重要数据安全与数据安全的关系 传统上认为,网络安全分很多层面,例如物理安全、适信安全、边界安全、主机安全、数据安近几年,我国网络安全标准化工作加大对数据安全标准制修 全等。但量然不能单纯把数超安全看作网络安全的一部分,而是保护数据安全必须首先保护网 络安全。为此,杭理数据安全的四个内涵: 致担所往即数跟所在的网结与系绕的安全,数据安全与所处网络和系统墨切相关,网络和系统如果接使环境的安入彩购是,,值皮没之必不存要毛切将请用,故在这一层面上,网格安全和数挑安全是等尚的。两老不能切 数据自身主要体现在数据自身能香防范换攻击、别取、幕改等,传统上,这虽然也被认为是网络安全的 订的支持,每年均有相当大比例的指标用于要托编制数据安全标准,常规性的数据安全要求已不必在重要款据安全标准中费述。故《重要数据处理安全要求》从以下四个方面理解重要数据处理安全要求的特殊性: 安全一部分,但却是困绕数据自身做文室,典型工作如加密、脱款等。类别区别 数据处理即数握处理活动恶符合法净法规规定,一个机构即使对款据做罚了说好的保护,销保只不会受安全保护强度严于一股据 行为安全到外部我的,但如果出现自己普来普用的情况,反而是当的国家担心的大问器。 致据费素致据是新的生产要素,这个塑素作用的发挥涉及到数据璃权、数摆授权、数据定价、数据开发管理制度严于一般数据 利用主体选择、敢感开发利用过程监管等一系列斯问联,这也是致据安全需要期决的痛点, 合规要求 法律法规有明确的要求(对一般数据的合规 标准应该同时涉及重要款据处理的以上方面。但考虑到环安全(网络与系统安全)已有大量要求则少得多 标准规范,此次不过多展开。但有三个方面需要突出: (1)数据处理者皮端按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储不境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护要求。 (2)数据处理者应当使用密码技术对重要数据进行保护 (3)数据处理者使用的云应当符合国家云计算服务安全评估制度要求。 除上述外,本标准重点解决第二类和第三类重要数据安全问超,同时适尚兼第四类款据安全 配合监管重费数据处理者负有特定的法律义务 7 主要内容及其确定依据陈石 设施安全数据处理过程的安全运行与管理安全 描述了处理重要数据的信息系统、云 重点突出重要数据全生命周期中,各处理过程应 主要包括维织与人员、数据治理、供应链、审计 平台应满足的安全要求 满足的安全要求: 、应急处置、风险评估、配合监督管理等运行安 ,收集:包活数据来源、识别、数据分类、数据分级、数超编自等要求,重点突出采集过程的合法性和 全要求: 组织与人员:主要体现法律法规提出的相关要求 数据质量、落实国家数据安全分类分级制度要求等,包括安全负责人、安全管理机构、机构变化、管 内;理制度、人员、培训等要求: 存储:包活存储保护、存储位置、存储期限、备分.数据治理设施:主要从数据治理工典本身、统一 与恢复等要求; 使用与加工:包括重要数据在使用和加工过程中应 进行的访问控制、萍估、审批、保密审查等方面的 管理等角度播述敌据治理设施的安全要求; 供应链管理:措述了重要数据处理者在采购管理 要求;、供应商管理、评估等方面应遵循的要求,以更好 ,传输与提供:包括重要数据在对外提供和共享时应的皮对复杂、严破的国际网络空间安全就助; 遵循的安全费求,如法律文件、评估与审批、监警应急响应:据述重要数据处理者在应急预案、演 与保护、交易、接收方义务、向项外提供等内容:练计划、技术团队、处置机制摩方面的要求; 公开:公开重要数据及基加工结黑时:数据处理者安全风险详估:描速了评估制虚、评估内容、评 应采取的安全要求;估时机等要求; 制除:措数据处理者如何安全地刷除已废弃或超配合监督管理:包括流程规范、提供技术支持、出约定期限的重要数据,包括数据到除、介质钢圾配合整改措施等。 等。 陈石 预期的经济效益、社会效益和生态效益CpherGoo 落实法律法规要求 本标准围绕重要数据收集、存储、使用、传输、共享、翻除等处理过程中的安全要求,为数据处理 01者合法、正当,以及安全地处理其学辈的重要数据提供技术支择和最佳实群,将有助于(中华人民 共和国数据安全法》《网络数据安全管理条例(征求意见稿)》等数据安全监管法律法规的落地 买施。回时,也为重要数据蓝管者、满评人员等提供了实践指南。 预期效益02防范重要数据风险 本标准将为我国数据安全保护,特别是重费数据管理提供基础技术支,有助于防范重要数据安全 风险、完首我国网络安全顶层设计,具有重大社会效益。 03促进数据跨境流动 本标准明确了效据处理者处理重要数据的安全要求,有助于数据交易、出境安全评估、安全审变等制度的科学、有效实雄,从而使利数据跨境流动、促进国际贸易,有利于经济发展与国际合作 9. 明确标准的适用范围及重要意义陈石 1.范围本文件规定了数据处理者处理重要数据的安全要求 2.规范性引用 文件 本文件适用于数据处理可供监管部门、评估机构或其 3.术语和定义 者对重要数据开展处理 0102 他有关组织对重要数据处理活 活动时参考。数据处理监管评估动实施安全监管、评估等活动 4.设施安全时参考。 5.数据处理活 动的安全 6.运行与管理 安全 解读为了配合《中华人民共和国数据安全法》、《网络数据安全管理条例(征求意见稳)等数据安全监管法律法规的落地实施。本标准在题目中没有突出“网络数据”,但规范对象为电子形式存在的重要数据 与相关标准密切衔接,共同构成重要数据安全处理的指导性文件陈石 1.范国 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款 其中,注日期的引用文件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包活所有的终改单 适用于本文件。 2.规范性引用GBGBGB 文件中华人共和国家标祖中华人民共和国国家标 3.术语和定义 4.设施安全 信息安全技术术语 信息安全技术网络安全 信息安全技术 GB/T25069-2022 等级保护基本要求数据分类分级规则 5.数据处理活GB/F22239-2019GB/TAAAAA-2023 动的安全 6.运行与管理 解读目前,国际上没有重要数据处理安全要求的标准,无法直接采标或直接借整。但实际上,世界各国都对各自关心的“感值息 非个人信息、非涉密系统)进行管理,且多数提出了数据本地化存储要求,严格管控此类数掘的出境。此外,本标准还借鉴云 计算、关基信息基础设施、人工智能等领域的国际标准及的数据安全相关经验。 安全本标准与信息安全技术网络数据分类分级规则》等标游规范共同构成了数据安全处理的重要技术文件。 明确关键术语和定义 1.范国 陈石 重要数据KeyData数据处理者DataProcessor 2.规范性引用特定领城、特定群体、特定区城或达到一定精度和在数据处理活动中自主决定处理目的、处理方式的 组织和个人。 文件规模的数据,一亘被泄露或整改、损吸,可能直接危害国家安全、经济运行、社会稳定、公共健康和 安全。 3.术语和定义[来源:GB/TAAAAA—2023,3.1] 4.设族安全 数据处理DataProcessing委托处理EntrustProcessing 数据收集、存储、使用、加工、传输、提供、数挺处理者委托第三方按照约定的目的和方式开展 公开、副除等活动的总称。的数据处理活动。 5.数据处理活注:也称“数据处理活动”。 动的安全 6.运行与管理 安全 12 规定了处理重要数据的信息系统、云平台应满足的安全要求 1.范围 练V石 解读: 关于重要数据处理云平台是否需要通过国家评估 2.规范性引用标准草稿理出,处 文件 系统安全 云计算服务平台安全 理重要数据的云平台应当通过国家网信部门牵头实能的云计牌 服务安全冲活,多家 3.术语和定义处理重要数据的系统应符合GB/T22239-2019云计算服务商对表达 :使用时:使用社会化云计算服务平台处理重要数了