附全文 | 国家标准《重要数据处理安全要求》征求意见

数据安全域 2024-01-09

2023年08月25日，全国信息安全标准化技术委员会秘书处发布关于国家标准《信息安全技术重要数据处理安全要求》征求意见稿征求意见的通知。为确保标准质量，信安标委秘书处面向社会广泛征求意见。

本标准旨在指导数据处理者落实《中华人民共和国数据安全法》及重要数据安全保护制度的相关要求。编制组首先对两方面问题做了把握，这决定了标准的定位与标准内容边界。

以下为标准编制原则

一是明确与基础性网络安全要求的区别。编制组从四个方面理解数据安全的内涵：

1、环境安全（网络与系统的安全）2、资产安全（数据自身的安全）3、行为安全（数据处理活动的合规性）4、生产要素安全（解决确权、开发利用、运营等问题）

标准应该同时涉及重要数据安全的以上各个方面，不能仅从数据收集处理的生命周期来理解数据处理安全需求。鉴于环境安全已有大量标准规范，故标准不在网络与信息系统安全方面过多展开。但有以下三个方面需要突出：

1、数据处理者应当按照网络安全等级保护的要求，加强数据处理系统、数据传输网络、数据存储环境等安全防护，处理重要数据的系统原则上应当满足三级以上网络安全等级保护要求。（《网络数据安全管理条例（征求意见稿）》）

2、数据处理者应当使用密码对重要数据和核心数据进行保护。（《网络数据安全管理条例（征求意见稿）》）

3、数据处理者使用的云应当符合国家关于云计算服务安全管理的规定。

二是明确与普通数据处理的差异性要求，从四个方面理解重要数据处理的特殊安全要求：

1、在安全保护的强度上，要严格于普通数据。

2、在管理制度上，要严格于普通数据。

3、在合规要求上，法律法规有明确的要求，均应通过标准予以细化。

4、在配合监管上，重要数据处理者有特定的法律义务。

经以上分析，标准组决定不再赘述数据安全基础要求，而是突出以上四个方面。

以下为主要内容及其确定依据

本标准主要技术内容包括以下方面：

（1）设施安全，描述了处理重要数据的信息系统、云平台应满足的安全要求。

（2）数据处理过程的安全，重点突出重要数据全生命周期中，各处理过程应满足的安全要求：

（3）运行与管理安全，主要包括组织与人员、数据治理、供应链、审计、应急处置、风险评估、配合监督管理等运行安全要求。

以下为要求全文：

来源：全国信安标委

END
往期推荐

继续滑动看下一个

数据安全域