科學數(shù)據(jù)安全審計要求 編制說明

國家標準《科學數(shù)據(jù)安全審計要求》(征求意見稿)編制說明標準起草組2國家標準《科學數(shù)據(jù)安全審計要求》(征求意見稿)編制說明(一)任務(wù)來源2022年12月國家標準化管理委員會下達了“2022年第三批推薦性國家標準計劃及相關(guān)標準外文版計劃”，明確了國家標準《科學數(shù)據(jù)安全審計要求》的制定任務(wù)，計劃編號為20221227-T-306。該項標準的制定任務(wù)由中科院計算機網(wǎng)絡(luò)信息中心負責，本標準由科學技術(shù)部提出，由全國科技平臺標準化技術(shù)委員會(SACTC486)歸口。本標準主要起草單位包括中國科學院計算機網(wǎng)絡(luò)信息中心、中國標準化研究院、中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心、中國信通院、中國軟件測評中心、北京郵電大學、中國科學院高能物理研究所、中國科學院信息工程研究所、中國科學院理論物理研究所、阿里巴巴(中國)有限公司、華為技術(shù)有限公司、綠盟科技集團股份有限公司、北京金山云網(wǎng)絡(luò)技術(shù)有限公司、北京科創(chuàng)安銓科技有限公司、北京印刷學院、北京網(wǎng)信元科技。(二)目的意義《數(shù)據(jù)安全法》和《個人信息保護法》與《網(wǎng)絡(luò)安全法》共同構(gòu)成了我國網(wǎng)絡(luò)數(shù)據(jù)領(lǐng)域治理的基礎(chǔ)性法律，標志著與我國網(wǎng)絡(luò)大國、數(shù)字大國相匹配的制度建設(shè)逐步走向成熟，本標準的制定是切實提升科學數(shù)據(jù)領(lǐng)域信息保護與合規(guī)運用能力的重要保障?？茖W數(shù)據(jù)作為新時代傳播速度最快、影響面最寬、開發(fā)利用潛力最大的戰(zhàn)略性、基礎(chǔ)性科技資源，深刻影響著各國的經(jīng)濟發(fā)展、國家安全、科技進步和綜合競爭力?？茖W數(shù)據(jù)安全關(guān)乎國家安全，發(fā)達國家關(guān)注很早。2018年3月，國務(wù)院辦公廳正式國家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)安全管理辦法(征求意見稿)》，國家層面對數(shù)據(jù)安全愈發(fā)重視。3科學數(shù)據(jù)是科技創(chuàng)新的基礎(chǔ)，國家基礎(chǔ)性戰(zhàn)略資源，其安全、合規(guī)、有序流動將是推動科學數(shù)據(jù)的開放共享和創(chuàng)新應用的關(guān)鍵。當前，除從技術(shù)、管理角度實現(xiàn)科學數(shù)據(jù)的安全保護外，從審計監(jiān)管的角度對科學數(shù)據(jù)安全進行評估，是保護科學數(shù)據(jù)的重要手段?？茖W數(shù)據(jù)安全有別于一般的數(shù)據(jù)安全，除了有規(guī)模性、高速性、多樣性、價值性的特點之外，還具有共享性、長效性、積累性、增值性、公益性、資源性等特征，除面臨數(shù)據(jù)泄露等安全問題外，也關(guān)系到國家安全、數(shù)據(jù)主權(quán)等安全問題，因此審計標準能夠符合科學數(shù)據(jù)安全特征尤為重要。目前，國內(nèi)尚無針對科學數(shù)據(jù)安全審計的標準，現(xiàn)有標準無法針對特定的科學目標，實現(xiàn)對科學數(shù)據(jù)生存周期各業(yè)務(wù)環(huán)節(jié)及具體的科學數(shù)據(jù)安全需求實現(xiàn)直接的、標準化的安全審計指導，限制了對科學數(shù)據(jù)安全性、合規(guī)性的評估及監(jiān)管，從而限制了科學數(shù)據(jù)的有序流動和數(shù)據(jù)密集型科學研究范式的發(fā)展。《科學數(shù)據(jù)安全審計要求》是一項基礎(chǔ)的科學數(shù)據(jù)安全標準，遵循現(xiàn)有相關(guān)數(shù)據(jù)審計和數(shù)據(jù)安全法律法規(guī)、標準，基于安全合規(guī)、客觀公正等原則，對科學數(shù)據(jù)相關(guān)活動安全控制工作的實施及成效進行審計，以期客觀反映科學數(shù)據(jù)相關(guān)活動安全控制的真實性、合法性、安全性及效益性。本標準的制定能夠為科學數(shù)據(jù)安全的審計工作提供標準化解決方法，意義重大。(三)主要工作過程(1)2020年1月，標準起草組正式成立。由中科院計算機網(wǎng)絡(luò)信息中心牽頭，由中國標準化研究院、中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心等近20個單位參加的標準起草工作。(2)2020年6月，形成標準草案。起草組充分調(diào)研科學數(shù)據(jù)安全及其安全審計標準化現(xiàn)狀，特別是《科學數(shù)據(jù)管理辦法》和《數(shù)據(jù)安全法(征求意見稿)》的有關(guān)內(nèi)容，根據(jù)國家級科學數(shù)據(jù)中心的實際需求，形成了標準草案。(3)2021年1月，意見征集。前往微生物和生態(tài)數(shù)據(jù)中心實地調(diào)研，對國家標準進行現(xiàn)場討論和征求意見，特別分析標準實際對數(shù)據(jù)中心安全適用性。會后形成了標準草案的修改稿，并進行進一步征求意見。(4)2021年10月，形成標準立項稿。根據(jù)前期調(diào)研和征求意見的情況，起草組4進一步完善標準草案，形成標準立項稿，并報送全國科技平臺標準化技術(shù)委員會(SAC/TC486)(5)2022年3月，進行立項答辯。標準進行了立項答辯，根據(jù)國標委審評中心立項評審專家建議，起草組根據(jù)專家的意見進一步修改了標準。(6)2022年9月，專家研討會。邀請行業(yè)專家對標準的框架及內(nèi)容進行逐條討論，起草組根據(jù)專家意見，對標準的英文名稱、主要內(nèi)容等進行了修改和完善。(7)2022年12月，接到標準的制定任務(wù)，計劃編號為20221227-T-306。(四)主要參加單位和工作組成員及其所做的工作中國科學院計算機網(wǎng)絡(luò)信息中心、中國標準化研究院、中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心、中國信通院、中國軟件測評中心、北京郵電大學、中國科學院高能物理研究所、中國科學院信息工程研究所、中國科學院理論物理研究所、阿里巴巴(中國)有限公司、華為技術(shù)有限公司、綠盟科技集團股份有限公司、北京金山云網(wǎng)絡(luò)技術(shù)有限公司、北京科創(chuàng)安銓科技有限公司、北京印刷學院、北京網(wǎng)信元科技。核心工作組成員所做工作如下：龍春：負責國家標準的起草工作，重點承擔標準技術(shù)架構(gòu)起草，標準技術(shù)內(nèi)容起草，進行各起草單位的協(xié)調(diào)以及國家標準的應用研究，技術(shù)文檔的主要執(zhí)筆人。廖方宇：協(xié)助負責國家標準的起草工作，承擔標準技術(shù)架構(gòu)和重點章節(jié)起草。負責各起草單位的協(xié)調(diào)以及國家標準的應用研究。魏金俠：參與國家標準的起草工作，重點承擔標準技術(shù)架構(gòu)起草，部分章節(jié)起草，參與組織國家標準的立項申報工作。趙靜：參與國家標準的起草工作，標準技術(shù)架構(gòu)起草，部分章節(jié)起草，參與組織國家標準的立項申報工作。李婧：協(xié)助負責國家標準的起草工作，承擔標準技術(shù)架構(gòu)和內(nèi)容的文獻調(diào)研和基礎(chǔ)技術(shù)內(nèi)容的研究工作，標準技術(shù)架構(gòu)起草，重點章節(jié)起草。5胡良霖：協(xié)助負責國家標準的起草工作，承擔標準技術(shù)架構(gòu)起草以及重點章節(jié)起草。負責各起草單位的協(xié)調(diào)以及國家標準的應用研究，以及部分技術(shù)內(nèi)容的測試研究工作朱艷華：參與國家標準的起草工作，標準技術(shù)架構(gòu)起草，部分章節(jié)起草，部分技術(shù)內(nèi)容的測試研究工作。準編制原則和主要內(nèi)容(一)編制原則1、基礎(chǔ)性原則從基礎(chǔ)研究角度，以應用需求為導向，全面提出科學數(shù)據(jù)安全審計要求所涵蓋的主要內(nèi)容，使標準為科學數(shù)據(jù)安全審計工作發(fā)揮基礎(chǔ)性作用。2、滿足重點需求的原則以科學數(shù)據(jù)中心、科技平臺資源共享、科學數(shù)據(jù)管理的數(shù)據(jù)安全需求為重點，及當前法律法規(guī)的對個人信息保護及重要數(shù)據(jù)保護的合規(guī)性要求，提出標準的主要內(nèi)容。隨著科學數(shù)據(jù)共享與服務(wù)的開展與實踐，科學數(shù)據(jù)中心建設(shè)運維，將逐步對標準進行更新。3、可操作性原則標準充分考慮了我國現(xiàn)形法律、政策環(huán)境下數(shù)據(jù)安全方面可操作性，同時對相關(guān)的國家標準、行業(yè)標準等諸多因素給予了應有的關(guān)注，以確保本標準與有關(guān)法律法規(guī)、其他標準的兼容性和一致性。4、國際性原則本標準參考了國際上主要的科學數(shù)據(jù)管理以及數(shù)據(jù)安全的內(nèi)容，為將來同國際接軌奠定了基礎(chǔ)。(二)標準主要內(nèi)容本文件規(guī)定了科學數(shù)據(jù)安全審計的相關(guān)要求，包括總體要求、一般審計要求、專項審計要求。本文件適用于本文件適用于對科學數(shù)據(jù)相關(guān)活動中所涉及的安全問題進行審計?？茖W數(shù)據(jù)安全審計技術(shù)內(nèi)容主要包括一般審計要求和專項審計要求兩個方面。一般審計要求旨在從科學數(shù)據(jù)通用業(yè)務(wù)流程角度進行安全審計，即從科學數(shù)據(jù)安全治理、6科學數(shù)據(jù)安全管理、科學數(shù)據(jù)生存周期業(yè)務(wù)流程對組織科學數(shù)據(jù)安全進行通用性指導；專項審計要求旨在從個人信息安全審計、重要數(shù)據(jù)安全審計、匯交審計、數(shù)據(jù)平臺(系統(tǒng))審計等方面，對組織的專項科學數(shù)據(jù)活動的安全控制工作進行審計。以期客觀反映組織科學數(shù)據(jù)相關(guān)活動安全控制執(zhí)行情況，從科學數(shù)據(jù)的保密性、可用性、完整性、可控性、可追溯性、合規(guī)性等方面給出組織科學數(shù)據(jù)安全保護的評價。三、主要試驗(或驗證)情況本文件在中國科學院計算機網(wǎng)絡(luò)信息中心、國家基礎(chǔ)學科公共科學數(shù)據(jù)中心、國家海洋科學數(shù)據(jù)中心等單位對標準的主要技術(shù)內(nèi)容進行了技術(shù)驗證和應用研究。分別對科學數(shù)據(jù)安全審計要求進行了技術(shù)驗證。在對試驗研究和應用研究結(jié)果分析的基礎(chǔ)上，對標準的技術(shù)內(nèi)容進行了必要的修改完善。本文件不涉及專利問題。五、預期達到的社會效益、對產(chǎn)業(yè)發(fā)展的作用等情況其經(jīng)濟效果是間接的，標準針對科學數(shù)據(jù)自身特性及安全需求，梳理科學數(shù)據(jù)相關(guān)活動各個環(huán)節(jié)的數(shù)據(jù)安全風險，提出針對性的安全審計要求建議。有助于指導各監(jiān)管部門審計活動的實施，規(guī)范科學數(shù)據(jù)的審計工作；建設(shè)完備的信息安全審計體系，為數(shù)據(jù)中心、科技平臺資源的審計與安全管理提供有力支撐；推進自主可控的科學數(shù)據(jù)安全標準體系的建立，填補我國相關(guān)技術(shù)標準缺失的空白，加快數(shù)據(jù)安全相關(guān)的法律法規(guī)的落地。與國際、國外對比情況本文件與數(shù)據(jù)安全信息安全方面國際標準、國家標準保持一致。，特別是強制性標準的協(xié)調(diào)性本