《数据安全防护技术要求》编制说明.pdfVIP

数据安全防护技术要求

编制说明

标准起草工作组

2024年12月

—1—

1必要性

本标准的制定旨在为信息系统中的数据安全防护提供系

统性、规范化的指导，确保数据在整个生命周期内（从采集、

存储到销毁）得到全方位的安全保障。通过确立基本原则和技

术要求，帮助各类信息系统尤其是涉及敏感数据的系统在各个

环节有效识别和防范数据安全风险。本文件还旨在推动数据安

全在设计阶段的前置落实，将安全需求嵌入系统架构中，减少

因事后补救而产生的漏洞和隐患，为系统的长效安全管理奠定

坚实基础。此外，本文件为第三方评估机构提供了评估依据，

有助于在数据安全评估和审核中形成统一的标准，保障数据安

全的客观性和一致性。

通过本标准的制定，一是能够全面提升行业整体数据安全

水平，降低数据泄露、丢失、篡改等风险，推动数据安全防护

设计在各类系统中标准化落地，保障数据的完整性、保密性和

可用性。二是随着数据隐私保护法律法规日益完善，本标准为

数据合规管理提供了有效指导，确保数据在全生命周期内的合

法使用，帮助企业和机构履行数据合规义务，避免法律风险。

三是推动了数据安全治理体系建设，强调多部门协作和跨组织

的数据安全管理，有助于实现数据的合规共享和创新应用。作

为国家信息安全和数字经济发展的一部分，本标准的技术要求

为数字产业化和产业数字化奠定了坚实的数据安全保障基础，

有助于构建信任环境，推动数字经济繁荣发展。为独立评估机

—3—

构提供了统一的标准和评估依据，提升了数据安全审查的规范

性和一致性，使企业和组织能够更精准地识别和应对潜在的安

全风险。

2工作简述

2.1任务来源

本标准根据四川省网络空间安全协会数据安全团体标准

制修订计划立项，由四川省网络空间安全协会归口，由成都信

息工程大学牵头组织编制。

2.2起草单位

本标准牵头起草单位：成都信息工程大学；

本标准参加起草单位：杭州安恒信息技术有限公司、深信

服科技股份有限公司、四川省数字产业有限责任公司、中国民

用航空西南地区空中交通管理局、北京雪诺科技有限公司。

2.3起草过程

2024年7月，成都信息工程大学向四川省网络空间安全

协会提交《数据安全防护技术要求》团体标准项目建议书；

2024年8月，由四川省网络空间安全协会邀请专家对《数

据安全防护技术要求》立项评审，标准立项，成立标准起草工

作组。

2024年9月，召开《数据安全防护技术要求》团体标准

启动会议，会议讨论了标准的主要目标与技术要求，确定了标

—4—

准起草的总体框架、主要内容、人员分工。会议明确了标准的

制定方向，确保能够全面涵盖数据安全防护的关键技术点，并

考虑到当前行业面临的挑战和未来发展的需求。

2024年10月，完成了数据安全团体标准《数据安全防护

技术要求》草案稿编写；

2024年12月，专家对标准征求意见稿进行了评审，《数

据安全防护技术要求》标准质量达到征求意见稿发布要求。

3标准编制原则和主要内容

3.1编制原则

本标准的制定工作遵循以下基本原则：

(1)合法合规原则：所有数据处理活动必须符合国家及地

区的法律法规和行业标准。特别是涉及个人信息和敏感数据时，

必须遵循相关的法律要求，确保数据处理的合法性和合规性。

数据的采集、使用和共享必须经过合法授权，符合隐私保护的

要求。

(2)数据分类分级原则：根据数据的重要性、敏感性和潜

在风险，数据应进行科学的分类分级。不同等级的数据应采取

差异化的防护措施，确保高敏感、高价值数据的安全需求得到

优先保障。

(3)动态更新原则：数据安全防护措施应具备动态调整能

力，能够根据技术、业务和安全威胁的发展不断进行优化和更

新，确保系统具备应对新型安全威胁的能力。