《信息技術(shù)應(yīng)用創(chuàng)新 數(shù)據(jù)安全通用技術(shù)規(guī)范》征求意見稿編制說明

1《信息技術(shù)應(yīng)用創(chuàng)新數(shù)據(jù)安全通用技術(shù)規(guī)范》（工作組討論稿）一、工作簡況（一）任務(wù)來源為進(jìn)一步鞏固創(chuàng)新在我國現(xiàn)代化建設(shè)全局中的核心地位，加強(qiáng)信息技術(shù)應(yīng)用創(chuàng)新領(lǐng)域標(biāo)準(zhǔn)制定，中國基本建設(shè)優(yōu)化研究會結(jié)合信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)實際建設(shè)需求和當(dāng)下發(fā)展趨勢，于2023年5月31日提出了《信息技術(shù)應(yīng)用創(chuàng)新》系列團(tuán)體標(biāo)準(zhǔn)編制計劃并予以立項。本項團(tuán)體標(biāo)準(zhǔn)為《信息技術(shù)應(yīng)用創(chuàng)新數(shù)據(jù)安全通用技術(shù)規(guī)范》，計劃編號為：P2023—12。本標(biāo)準(zhǔn)由中國基本建設(shè)優(yōu)化研究會提出并歸口。本標(biāo)準(zhǔn)由牽頭起草單位為數(shù)據(jù)通信科學(xué)技術(shù)研究所。（二）主要工作過程1)項目預(yù)研項目前期，主編單位、中國基本建設(shè)優(yōu)化研究會、北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司通過資料查證和企業(yè)走訪，對行業(yè)現(xiàn)狀進(jìn)行調(diào)研，形成了標(biāo)準(zhǔn)立項建議書和標(biāo)準(zhǔn)草案框架。2023年5月29日召開了立項評估會，經(jīng)專家論證，同意該標(biāo)準(zhǔn)立項。中國基本建設(shè)優(yōu)化研究會于2023年5月31日下達(dá)了標(biāo)準(zhǔn)制定計劃。2)啟動會暨首次研討會計劃下達(dá)后，標(biāo)委會面向行業(yè)進(jìn)行了廣泛的參編單位征集，隨后由主編單位牽頭成立了標(biāo)準(zhǔn)編制工作組，對數(shù)據(jù)安全行業(yè)現(xiàn)狀進(jìn)行了調(diào)查研究，廣泛搜集和檢索了信創(chuàng)體系與數(shù)據(jù)安全的相關(guān)技術(shù)資料，并對二者進(jìn)行了大量研究分析和資料查證工作，結(jié)合實際應(yīng)用經(jīng)驗，起草了《信息技術(shù)應(yīng)用創(chuàng)新數(shù)據(jù)安全通用技術(shù)規(guī)范》草案稿。2023年6月27日，由中國基本建設(shè)優(yōu)化研究會主辦、北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司承辦的《信息技術(shù)應(yīng)用創(chuàng)新》系列8項團(tuán)體標(biāo)準(zhǔn)啟動會暨首次研討會在北京召開，來自主編單位、參編單位的代表和特邀行業(yè)專家參加了啟動儀式及標(biāo)準(zhǔn)研討會議。會上，編制組對標(biāo)準(zhǔn)研制背景、主要內(nèi)容和編制情況進(jìn)行了介紹，并匯報了會議前收到的修改意見預(yù)處理情況。與會代表隨即圍繞標(biāo)準(zhǔn)名稱、技術(shù)框架、條款的陳述方式等方面展開了討論。會后，編制組對會上收到的意見進(jìn)行匯總處理，形成了標(biāo)準(zhǔn)的工作組討論稿第一版。3)第二次研討會2023年10月19日，由中國基本建設(shè)優(yōu)化研究會主辦，北京藍(lán)象標(biāo)準(zhǔn)咨詢服務(wù)有限公司和中國工業(yè)互聯(lián)網(wǎng)研究院聯(lián)合承辦的“信息技術(shù)應(yīng)用創(chuàng)新”系列團(tuán)體標(biāo)準(zhǔn)第二次研討會在北京召開。主編單位代表針對標(biāo)準(zhǔn)適用范圍、制定意義、章節(jié)設(shè)置進(jìn)行了介紹，并重點講解了標(biāo)準(zhǔn)總體架構(gòu)，并對核心技術(shù)內(nèi)容進(jìn)行了梳理和講解。參會代表對標(biāo)準(zhǔn)文本進(jìn)行了熱烈討論并提出了進(jìn)一步的修改建議，主編單位對會上意見進(jìn)行了解答和記錄。2會后，標(biāo)準(zhǔn)起草組將根據(jù)各參編單位反饋的建議和意見，對標(biāo)準(zhǔn)草案進(jìn)行修改與完善。為了進(jìn)一步推進(jìn)標(biāo)準(zhǔn)的高質(zhì)量研制，協(xié)會擬邀請總體組專家召開多次內(nèi)部研討會議，逐步對標(biāo)準(zhǔn)內(nèi)容進(jìn)行審核校對，形成標(biāo)準(zhǔn)征求意見稿，并計劃召開征求意見會，征集標(biāo)準(zhǔn)化專家、行業(yè)領(lǐng)域?qū)＜乙约皡⒕幤髽I(yè)的建議和意見。（三）主要參加起草單位和工作組成員所做的工作本標(biāo)準(zhǔn)起草工作組由北京奇虎科技有限公司為牽頭單位組成。起草組承擔(dān)了標(biāo)準(zhǔn)起草的組織、標(biāo)準(zhǔn)文本的編制、重點企業(yè)意見征求、標(biāo)準(zhǔn)編制說明的撰寫等工作。二、標(biāo)準(zhǔn)編制原則和確定標(biāo)準(zhǔn)主要內(nèi)容的依據(jù)（一）標(biāo)準(zhǔn)編寫原則本標(biāo)準(zhǔn)按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。起草過程，充分考慮現(xiàn)有相關(guān)標(biāo)準(zhǔn)的統(tǒng)一和協(xié)調(diào)；標(biāo)準(zhǔn)的要求充分考慮了國內(nèi)當(dāng)前的行業(yè)技術(shù)水平，對草案內(nèi)容進(jìn)行多次征求意見和充分討論。（二）主要技術(shù)內(nèi)容本標(biāo)準(zhǔn)規(guī)定了數(shù)據(jù)安全通用技術(shù)規(guī)范的總體架構(gòu)、通用安全要求和安全技術(shù)要求。1)總體架構(gòu)圍繞數(shù)據(jù)處理活動全生命周期概述了相應(yīng)的安全防護(hù)要求。2)通用安全要求闡述了數(shù)據(jù)處理活動應(yīng)符合的國家標(biāo)準(zhǔn)和要求，以及總體性的要求約束。3)安全技術(shù)要求數(shù)據(jù)源鑒別、數(shù)據(jù)分類分級、身份鑒別與訪問控制、數(shù)據(jù)存儲保護(hù)、數(shù)據(jù)傳輸保護(hù)、監(jiān)控與審計、防泄漏、數(shù)據(jù)脫敏、數(shù)字水印、安全評估、數(shù)據(jù)銷毀安全、應(yīng)急響應(yīng)與災(zāi)備、接口管理等方面的安全要求。（三）主要參考文獻(xiàn)GB/T35273信息安全技術(shù)個人信息安全規(guī)范GB/T39786信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求GB/T37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T41479—2022信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求三、國外相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)情況的說明信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)核心目標(biāo)是實現(xiàn)核心芯片、基礎(chǔ)硬件、操作系統(tǒng)、中間件、數(shù)據(jù)服務(wù)器等領(lǐng)域的國產(chǎn)替代，屬于國內(nèi)特有，無相關(guān)國際標(biāo)準(zhǔn)。四、我國有關(guān)現(xiàn)行法律、法規(guī)和其他強(qiáng)制性標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)是為貫徹國資委《關(guān)于開展對標(biāo)世界一流企業(yè)價值創(chuàng)造行動的通知》（國資發(fā)改革〔2022〕79號）的文件精神，響應(yīng)國家信息技術(shù)應(yīng)用創(chuàng)新相關(guān)指導(dǎo)政策，加快產(chǎn)業(yè)推進(jìn)3要求，增強(qiáng)抵御風(fēng)險和自主可控的能力，保障“新基建”而制定的。本文件符合我國現(xiàn)行《標(biāo)準(zhǔn)化法》和《質(zhì)量法》等法律法規(guī)要求，與現(xiàn)行法律法規(guī)無沖突和違背情況。本標(biāo)準(zhǔn)產(chǎn)品的技術(shù)要求沒有知識產(chǎn)權(quán)問題。五、重大意見分歧的處理結(jié)果依據(jù)本標(biāo)準(zhǔn)在標(biāo)準(zhǔn)起草過程中，對標(biāo)準(zhǔn)中的技術(shù)內(nèi)容沒有發(fā)生重大分歧。六、數(shù)據(jù)驗證本標(biāo)準(zhǔn)中數(shù)據(jù)全生命周期的各階段按照GB/T37988《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》進(jìn)行明確，數(shù)據(jù)處理活動整體符合GB/T41479《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》，數(shù)據(jù)存儲保護(hù)、傳輸保護(hù)、接口管理要求依據(jù)GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》。七、預(yù)期的社會經(jīng)濟(jì)效果隨著大數(shù)據(jù)行業(yè)的快速發(fā)展，數(shù)據(jù)逐漸成為物質(zhì)、能源后第三大的國家基礎(chǔ)戰(zhàn)略資源和創(chuàng)新生產(chǎn)要素。然而，當(dāng)前國際國內(nèi)網(wǎng)絡(luò)形勢嚴(yán)峻復(fù)雜，數(shù)據(jù)價值的釋放過程存在諸多數(shù)據(jù)安全問題，數(shù)據(jù)安全風(fēng)險和違法問題日益凸顯，數(shù)據(jù)泄露、數(shù)據(jù)篡改、數(shù)據(jù)濫用、違規(guī)傳輸、非法訪問、流量異常等數(shù)據(jù)安全風(fēng)險事件頻發(fā)。本標(biāo)準(zhǔn)以保證數(shù)據(jù)采集、傳輸、存儲、使用、交換和銷毀等全過程安全為目標(biāo)，通過制定數(shù)據(jù)安全通用技術(shù)規(guī)范，進(jìn)一步實施數(shù)據(jù)處理活動中身份鑒別與訪問控制、安全監(jiān)控與審計、數(shù)據(jù)防泄露、數(shù)據(jù)脫敏、數(shù)字水印、數(shù)據(jù)接口安全等技術(shù)措施，實現(xiàn)保證數(shù)據(jù)處理過程的保密性、完整性、可用性，提升數(shù)據(jù)信息在全生命周期內(nèi)被未授權(quán)訪問、破壞、篡改、泄露或丟失等的防御能力。八、貫徹標(biāo)準(zhǔn)的要求、措施建議及設(shè)立