《信息安全技术 重要数据处理安全要求》编制说明.docx

国家标准《信息安全技术 重要数据安全处理要求》 （征求意见稿）编制说明 一、工作简况 1.1 任务来源 为加强网络安全国家标准在国家网络安全保障工作中的基础性、规范性、引领性作用，全国信息安全标准化技术委员会（以下简称：信安标委）调研国家网络安全重点工作和技术产业发展需求，研究形成了2022年网络安全国家标准需求清单，含《信息安全技术 重要数据处理安全要求》。2022年3月，中国科学技术大学联合相关单位参与申报，于2022年10月份通过信安标委立项。2023年8月6日，国家标准委下达了该标准的计划T-469。 1.2 制定背景 随着数据成为国家基础性战略资源，其安全保护成为国家网络安全工作的一项重点。除涉密信息和个人信息外，还有一部分数据十分重要和敏感，即重要数据，其一旦被泄露、损毁、篡改、滥用，可能会带来严重后果，危害国家安全与公共利益。 这些数据可能分布在政务部门（如宏观经济数据、金融监管数据、人口资源数据、健康数据、执法数据、交通运输数据等），关键信息基础设施运营者在内的重点行业企业（如金融交易数据、能源生产和消费数据、关键信息基础设施资产数据、网络安全防护信息等），医院、高校等公共服务机构（如健康医疗数据、教育数据等），具有相应资质或承担特定职能的权威专业机构（如地理、地震、天文、气象等科学数据及其衍生数据等），科研机构（如科研成果及其相关数据等），互联网企业（如在线提供导航、电子商务、即时通信等服务时收集、产生的数据，涉及经济、地理、人口、法人等国家基础信息的数据等）或实体经济企业（如大型工程施工设备获取的敏感工程物理位置、施工土石方数据等）。 近年来，我国对重要数据已多次提出相关保护要求。2021年9月1日，《中华人民共和国数据安全法》实施，提出了制定重要数据具体目录的要求。2021年11月14日，国家互联网信息办对《网络数据安全管理条例》公开征求意见，提出了重要数据的定义，并设立了一系列重要数据安全监管制度。因此，迫切需要制定一部国家标准，对处理重要数据提出安全要求。 保护重要数据的前提是识别重要数据。国家标准《信息安全技术 网络数据分类分级要求》已处于报批稿阶段，其给出了识别重要数据的基本原则和考虑因素，可便于各组织识别其处理的重要数据，为重要数据安全保护工作提供支撑，也可为各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据相关标准规范和具体目录提供参考。 本标准则规定了数据处理者处理重要数据的安全要求。同时，也可供有关组织对重要数据处理活动实施安全监管或安全评估时参考。 1.3 起草过程 按照项目进度要求，编制组首先对相关法律法规及国内外标准文件进行深入阅读与理解，查阅有关资料，编写标准编制提纲，在完成提纲交流和修改的基础上，开始具体的编制工作。 2022年3月，基于前期研究项目成果进一步开展广泛调研，研读国内外相关政策和标准文件，形成标准草案V1.0，开展标准申报。 2022年4月，标准经信安标委工作组“会议周”讨论通过，进入立项准备阶段。 2022年6月，根据信安标委统一安排和会议周建议，对标准草案进行修改，再次提交标准草案V1.1供专家评审，并于2022年10月通过信安标委立项。 2022年11月，标准编制组组织参与单位修改标准草案V1.2，供12月份标准会议周上进行讨论。 2023年4月，根据信安标委统一安排，启动标准试点应用工作。 2023年5月，根据前期试点反馈情况和参编单位提供的修改意见，形成征求意见稿初稿，供标准会议周专家研讨和修改。 2023年8月，根据标准会议周上反馈的意见对标准修改完善，提交信安标委专家会审议。经投票表决，标准征求意见稿获得通过。会后编制组根据专家意见对标准修改完善后提交信安标委秘书处，上网公开征求意见。 二、标准编制原则、主要内容及其确定依据 2.1 标准编制原则 本标准旨在指导数据处理者落实《中华人民共和国数据安全法》及重要数据安全保护制度的相关要求。编制组首先对两方面问题做了把握，这决定了标准的定位与标准内容边界。 一是明确与基础性网络安全要求的区别。编制组从四个方面理解数据安全的内涵： 环境安全（网络与系统的安全） 资产安全（数据自身的安全） 行为安全（数据处理活动的合规性） 生产要素安全（解决确权、开发利用、运营等问题） 标准应该同时涉及重要数据安全的以上各个方面，不能仅从数据收集处理的生命周期来理解数据处理安全需求。鉴于环境安全已有大量标准规范，故标准不在网络与信息系统安全方面过多展开。但有以下三个方面需要突出： 数据处理者应当按照网络安全等级保护的要求，加强数据处理系统、数据传输网络、数据存储环境等安全防护，处理重要数据的系统原则上应当满足三级以上网络安全等级保护要求。（《网络数据安全管理条例（征求意见稿）》） 数据处理者应当使