(高清版)GB∕T 37932-2019 信息安全技術(shù) 數(shù)據(jù)交易服務(wù)安全要求

ICS35.040GB/T37932—2019信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求國家市場監(jiān)督管理總局中國國家標(biāo)準(zhǔn)化管理委員會(huì)GB/T37932—2019 I Ⅱ 3術(shù)語和定義 24.1參考框架 4.2數(shù)據(jù)交易安全原則 35數(shù)據(jù)交易參與方安全要求 35.1數(shù)據(jù)供方安全要求 5.3數(shù)據(jù)交易服務(wù)機(jī)構(gòu)安全要求 6交易對(duì)象安全 66.1禁止交易數(shù)據(jù) 6 6.3個(gè)人信息安全保護(hù) 66.4重要數(shù)據(jù)安全保護(hù) 6 67.1交易申請(qǐng) 67.2交易磋商 77.3交易實(shí)施 77.4交易結(jié)束 7IGB/T37932—2019本標(biāo)準(zhǔn)按照GB/T1.1—2009給出的規(guī)則起草。本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC260)提出并歸口。ⅡGB/T37932—2019為規(guī)范數(shù)據(jù)資源交易行為，建立良好的數(shù)據(jù)交易秩序，促進(jìn)數(shù)據(jù)交易服務(wù)參與者安全保障能力提1GB/T37932—2019信息安全技術(shù)數(shù)據(jù)交易服務(wù)安全要求22239—2019信息安全技術(shù)25069—2010信息安全技術(shù)術(shù)語35273—2017信息安全技術(shù)35274—2017信息安全技術(shù)36343—2018信息技術(shù)數(shù)據(jù)交易服務(wù)平臺(tái)交易數(shù)據(jù)描述37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T25069—2010和GB/T36343—2018界定的以及下列術(shù)語和定義適用于本文件。注1:數(shù)據(jù)商品包括用于交易的原始數(shù)據(jù)或加工處理后的數(shù)據(jù)衍生產(chǎn)品。注2:數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易，也包括以傳統(tǒng)數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的2GB/T37932—20193.5為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務(wù)的組織機(jī)構(gòu)。3.6為數(shù)據(jù)交易提供各項(xiàng)服務(wù)的信息化平臺(tái)。3.7數(shù)據(jù)供方通過網(wǎng)絡(luò)向數(shù)據(jù)需方交付數(shù)據(jù)的模式。3.8離線數(shù)據(jù)交付offlinedatadelivery數(shù)據(jù)供需雙方在達(dá)成數(shù)據(jù)交易協(xié)議后，由數(shù)據(jù)供方通過離線方式將數(shù)據(jù)從供方提供給需方的交付模式。3.9托管數(shù)據(jù)交易custodiandatadelivery數(shù)據(jù)供需雙方在達(dá)成數(shù)據(jù)交易協(xié)議后，由供方將數(shù)據(jù)拷貝到數(shù)據(jù)交易服務(wù)機(jī)構(gòu)指定的數(shù)據(jù)托管服3.10數(shù)據(jù)供需雙方依托數(shù)據(jù)交易服務(wù)平臺(tái)針對(duì)具體的數(shù)據(jù)交易對(duì)象，進(jìn)行的一次完整和具體的數(shù)據(jù)交3.11會(huì)公共利益造成不利影響的數(shù)據(jù)(包括原始數(shù)據(jù)和衍生數(shù)據(jù))。[GB/T35274—2017,定義3.13]4安全概述數(shù)據(jù)交易是供需雙方對(duì)原始數(shù)據(jù)或加工處理后的數(shù)據(jù)依照交易過程進(jìn)行的活動(dòng)。通過數(shù)據(jù)交易服務(wù)機(jī)構(gòu)進(jìn)行的數(shù)據(jù)交易服務(wù)參考框架如圖1所示。數(shù)據(jù)交易涉及數(shù)據(jù)供方、數(shù)據(jù)需方和數(shù)據(jù)交易服務(wù)機(jī)構(gòu)。數(shù)據(jù)交易服務(wù)機(jī)構(gòu)依托數(shù)據(jù)交易服務(wù)平臺(tái)，為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務(wù)。從數(shù)據(jù)交易服3GB/T37932—2019數(shù)據(jù)交易服務(wù)機(jī)構(gòu)交易過程申請(qǐng)交易磋商交易申請(qǐng)交易磋商交易實(shí)施數(shù)據(jù)交易服務(wù)平臺(tái)d)個(gè)人信息保護(hù)原則：數(shù)據(jù)供需雙方和數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)采取個(gè)人信息安全保護(hù)技術(shù)和管理5數(shù)據(jù)交易參與方安全要求數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保數(shù)據(jù)供方滿足以下要求：a)為一年內(nèi)無重大數(shù)據(jù)類違法違規(guī)記錄的合法組織機(jī)構(gòu)。b)完成在數(shù)據(jù)交易服務(wù)機(jī)構(gòu)的注冊(cè)，并經(jīng)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)審核通過，才允許參與數(shù)據(jù)交易c)數(shù)據(jù)供方應(yīng)證明其具備向數(shù)據(jù)需方安全交付數(shù)據(jù)的能力。d)向數(shù)據(jù)交易服務(wù)機(jī)構(gòu)提供書面的安全承諾，內(nèi)容包括但不限于：交易數(shù)據(jù)來源合法性證明材e)遵守?cái)?shù)據(jù)交易服務(wù)機(jī)構(gòu)的安全管理制度和流程。數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保數(shù)據(jù)需方滿足以下要求：4GB/T37932—2019a)為一年內(nèi)無重大數(shù)據(jù)類違法違規(guī)記錄的合法組織機(jī)構(gòu)。b)完成在數(shù)據(jù)交易服務(wù)機(jī)構(gòu)的注冊(cè)，并經(jīng)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)審核通過，才允許參與數(shù)據(jù)交易c)證明具備對(duì)交易數(shù)據(jù)實(shí)施安全保護(hù)的能力。據(jù)交易安全原則、愿意接受數(shù)據(jù)交易服務(wù)機(jī)構(gòu)安全監(jiān)督、遵守與數(shù)據(jù)供方約定的數(shù)據(jù)安全要g)遵守?cái)?shù)據(jù)交易服務(wù)機(jī)構(gòu)的安全管理制度和流程。數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)滿足以下基本要求：a)得到我國行政或主管部門的授權(quán)或許可。b)為一年內(nèi)無重大數(shù)據(jù)類違法違規(guī)記錄的境內(nèi)合法組織機(jī)構(gòu)。c)具備承擔(dān)數(shù)據(jù)交易服務(wù)相對(duì)應(yīng)的安全保障能力。d)將從事境內(nèi)數(shù)據(jù)交易服務(wù)的數(shù)據(jù)交易服務(wù)平臺(tái)部署在我國境內(nèi)。e)對(duì)數(shù)據(jù)供方提供的數(shù)據(jù)來源合法性證明材料聲明進(jìn)行審核。f)對(duì)數(shù)據(jù)違規(guī)使用行為進(jìn)行監(jiān)測。g)制定并執(zhí)行交易違規(guī)處罰規(guī)則。h)未經(jīng)授權(quán)不擅自使用數(shù)據(jù)供方或需方的數(shù)據(jù)或數(shù)據(jù)衍生品。i)至少滿足GB/T37988—2019中的三級(jí)要求。數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)滿足以下要求：c)為數(shù)據(jù)交易管理人員或操作人員執(zhí)行的管理或業(yè)務(wù)操作建立操作規(guī)程。e)建立和執(zhí)行針對(duì)數(shù)據(jù)供方和需方的安全管理制度和流程。f)建立供需方的信用管理機(jī)制。d)對(duì)數(shù)據(jù)交易重要崗位人員進(jìn)行安全5GB/T37932—2019e)與數(shù)據(jù)交易重要崗位人員簽署安全保密協(xié)議，與重要崗位人員簽署崗位責(zé)任協(xié)議。崗位要求相適應(yīng)的安全管理知識(shí)和專業(yè)技術(shù)水平。數(shù)據(jù)交易服務(wù)平臺(tái)應(yīng)滿足以下要求：a)符合GB/T22239—2019中第3級(jí)的相關(guān)安全要求。b)提供對(duì)數(shù)據(jù)泄露進(jìn)行處置的緊急預(yù)案。c)采用的密碼技術(shù)遵循相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。數(shù)據(jù)交易服務(wù)平臺(tái)應(yīng)滿足以下要求：相關(guān)程序和產(chǎn)生的數(shù)據(jù)結(jié)果進(jìn)行審核。e)在托管數(shù)據(jù)交付模式下，對(duì)交易數(shù)據(jù)進(jìn)行安全存儲(chǔ)和備份，確保數(shù)據(jù)的保密性、完整性和可數(shù)據(jù)交易服務(wù)平臺(tái)應(yīng)滿足以下要求：數(shù)據(jù)交易服務(wù)平臺(tái)應(yīng)滿足以下要求：c)安全保存數(shù)據(jù)交易日志、數(shù)據(jù)來源合法性等文件至少6個(gè)月。e)允許數(shù)據(jù)供方和數(shù)據(jù)需方查詢與自己數(shù)據(jù)交易相關(guān)的日志信息，并允許導(dǎo)出。f)提供數(shù)據(jù)交易日志訪問接口給國家監(jiān)管部門或第三方審計(jì)機(jī)構(gòu)。對(duì)于提供托管數(shù)據(jù)交付模式的數(shù)據(jù)交易服務(wù)機(jī)構(gòu)，應(yīng)遵循GB/T35274—2017來建設(shè)和運(yùn)維數(shù)據(jù)6GB/T37932—2019安全托管服務(wù)平臺(tái)。a)受法律保護(hù)的數(shù)據(jù)。行了必要的去標(biāo)識(shí)化處理以達(dá)到無法識(shí)別出個(gè)體的程度。d)從非法或違規(guī)渠道獲取的數(shù)據(jù)。e)與原供方所簽訂的合約要求禁止轉(zhuǎn)售或公開的數(shù)據(jù)。f)其他法律法規(guī)明確禁止交易的數(shù)據(jù)。數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保交易數(shù)據(jù)滿足以下質(zhì)量要求：a)數(shù)據(jù)供方應(yīng)向數(shù)據(jù)交易服務(wù)機(jī)構(gòu)提供交易數(shù)據(jù)獲取渠道合法，權(quán)利清晰無爭議的承諾或證明b)數(shù)據(jù)供方應(yīng)向數(shù)據(jù)交易服務(wù)機(jī)構(gòu)提供擁有交易數(shù)據(jù)完整相關(guān)權(quán)益的明確聲明。c)數(shù)據(jù)供方應(yīng)向數(shù)據(jù)交易服務(wù)機(jī)構(gòu)提供數(shù)據(jù)真實(shí)性的明確聲明。f)數(shù)據(jù)供方應(yīng)按照GB/T36343—2018的要求對(duì)交易數(shù)據(jù)進(jìn)行準(zhǔn)確描述，明確數(shù)據(jù)類別等內(nèi)容，i)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)對(duì)交易數(shù)據(jù)分類結(jié)果進(jìn)行審核。數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保數(shù)據(jù)交易在個(gè)人信息安全保護(hù)方面滿足以下要求：b)要求數(shù)據(jù)供方對(duì)交易數(shù)據(jù)進(jìn)行個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估，提供個(gè)人信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保交易數(shù)據(jù)在重要數(shù)據(jù)安全保護(hù)方面滿足以下要求：a)滿足GB/T35274—2017中5.6.2的增強(qiáng)要求。b)要求數(shù)據(jù)供方對(duì)交易數(shù)據(jù)進(jìn)行重要數(shù)據(jù)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保交易申請(qǐng)環(huán)節(jié)滿足以下要求：GB/T37932—2019c)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)對(duì)數(shù)據(jù)供方提供的樣本數(shù)據(jù)進(jìn)行內(nèi)容審核，確認(rèn)數(shù)據(jù)合法合規(guī)。對(duì)于不符e)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)對(duì)數(shù)據(jù)需方的數(shù)據(jù)需求進(jìn)行審核通過后方可發(fā)布。數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保交易磋商環(huán)節(jié)滿足以下要求：c)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)對(duì)審核通過的訂單進(jìn)行登記備案，并對(duì)供需雙方發(fā)出交易確認(rèn)通知。數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保交易實(shí)施環(huán)節(jié)滿足以下要求：a)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)審核數(shù)據(jù)需方的數(shù)據(jù)安全能力成熟度，確保不低于數(shù)據(jù)供方的數(shù)據(jù)安全d)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)對(duì)交易過程中的違法違規(guī)數(shù)據(jù)具有追溯能力。e)對(duì)于在線數(shù)據(jù)交付模式，數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)在供需雙方的數(shù)據(jù)傳輸鏈路上部署交易數(shù)據(jù)監(jiān)g)數(shù)據(jù)供方在數(shù)據(jù)需方未完全獲取數(shù)據(jù)內(nèi)容前，有義務(wù)保證交易數(shù)據(jù)質(zhì)量和數(shù)量符合數(shù)據(jù)