TISC 0047-2024 數(shù)據(jù)流通備份與審查技術(shù)通則

ICS 35.020CCS L70團 體 標 準T/ISC0047—2024數(shù)據(jù)流通備份與審查技術(shù)通則Generalprinciplesforbackupandreviewtechniquesofdatacirculation2024-06-12

2024-07-12實施中 國 互 聯(lián) 網(wǎng) 協(xié) 會 發(fā)布T/ISC0047—2024目?次前言 II引言 III范圍 1規(guī)范性引用文件 1術(shù)語和定義 1概述 2數(shù)據(jù)流通備份通用要求 2備份對象和媒體 2備份時間和頻率 2備份完整性和一致性 3備份數(shù)量和可恢復性 4數(shù)據(jù)流通審查技術(shù)要求 4數(shù)據(jù)來源審查 4數(shù)據(jù)質(zhì)量審查 5數(shù)據(jù)描述審查 5數(shù)據(jù)完整性審查 6數(shù)據(jù)安全審查 6參考文獻 7IT/ISC0047—2024前??言本文件按照GB/T1.1—20201草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任。本文件由中國互聯(lián)網(wǎng)協(xié)會歸口。（北京（北京信息技術(shù)發(fā)展有限公司、天翼電子商務有限公司。本文件主要起草人：楊艷琴、金澈清、文偉平、尹昊、丁津泰、劉海峰、劉利、梁星元、李艷麗、周紅福、趙浩延、李樂平、楊晨光、付昆、邵奇峰、楊要科、楊小琴、張禮、喻博。IIT/ISC0047—2024引 言IIIT/ISC0047—2024數(shù)據(jù)流通備份與審查技術(shù)通則范圍本文件規(guī)定了數(shù)據(jù)流通備份審查通用技術(shù)要求，包括數(shù)據(jù)流通備份通用要求和數(shù)據(jù)流通審查技術(shù)要求。本文件適用于政府部門、交易平臺、第三方機構(gòu)的監(jiān)管、評估、審查。規(guī)范性引用文件（包括所有的修改單適用于本文件。GB/T22239-2019信息安全技術(shù)網(wǎng)絡安全等級保護基本要求GB/T43697-2024數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級規(guī)則術(shù)語和定義下列術(shù)語和定義適用于本文件。數(shù)據(jù)流通datacirculation以數(shù)據(jù)作為流通對象，按照一定規(guī)則從數(shù)據(jù)提供方傳遞到數(shù)據(jù)需求方的過程。數(shù)據(jù)流通備份datacirculationbackup將數(shù)據(jù)流通過程涉及的核心數(shù)據(jù)與關(guān)鍵操作進行備份，以對數(shù)據(jù)流通全流程的持續(xù)審查提供技術(shù)支撐。注：數(shù)據(jù)流通中的數(shù)據(jù)既指傳統(tǒng)數(shù)據(jù)和大數(shù)據(jù)，也指對其加工處理后的衍生數(shù)據(jù)。與用于數(shù)據(jù)恢復的傳統(tǒng)數(shù)據(jù)備份不同，本文件中的數(shù)據(jù)備份著重用于數(shù)據(jù)流通過程中的數(shù)據(jù)審查。數(shù)據(jù)審查datareview數(shù)據(jù)監(jiān)管方對流通數(shù)據(jù)的數(shù)據(jù)質(zhì)量和違法違規(guī)問題進行檢測評估，以實現(xiàn)事前評估或事后追責。數(shù)據(jù)完整性dataintegrity數(shù)據(jù)的內(nèi)容在整個流通過程中始終是正確的、未被篡改的。1T/ISC0047—2024數(shù)據(jù)一致性dataconsistency概述本文件規(guī)定了數(shù)據(jù)流通備份與審查活動的行為，主要涉及數(shù)據(jù)交易、數(shù)據(jù)公開、數(shù)據(jù)共享等場景。數(shù)據(jù)流通備份通用要求備份對象和媒體備份對象備份對象是需要被備份的數(shù)據(jù)集合，應滿足以下要求：備份對象要以量化形式確定數(shù)據(jù)的分級標準，按GB/T43697-2024的要求執(zhí)行；c）d）備份對象包括但不限于結(jié)構(gòu)化數(shù)據(jù)，半結(jié)構(gòu)化數(shù)據(jù)，非結(jié)構(gòu)化數(shù)據(jù)及混合模式數(shù)據(jù)。備份媒體備份媒體也稱為備份介質(zhì)，是存放備份數(shù)據(jù)的物理載體，應滿足以下要求：備份媒體包括但不限于磁帶設備、通用NAS存儲、物理或虛擬帶庫、光存儲、分布式對象存儲等；備份媒體可以根據(jù)審查備份數(shù)據(jù)特性進行選擇；備份媒體的選擇因素包括但不限于備份效率、空間及成本；備份媒體存放環(huán)境及物理基礎設施的安全保護等級按GB/T22239-2019的要求執(zhí)行。備份時間和頻率備份時間2T/ISC0047—2024根據(jù)審查要求確定備份歸檔及保存時間。備份頻率備份頻率需要結(jié)合備份對象的量級、變化速度及待備份系統(tǒng)的繁忙程度進行設置；備份頻率可以根據(jù)審查對象變化動態(tài)調(diào)整。備份完整性和一致性備份完整性備份的流通數(shù)據(jù)應包含必要的元數(shù)據(jù)描述，包括但不限于備份名稱、備份總數(shù)、備份創(chuàng)建者、備份創(chuàng)建日期、備份數(shù)據(jù)容量等數(shù)據(jù)字段；txt、json、xls、xml、csv等常用的數(shù)據(jù)存儲格式；備份的流通數(shù)據(jù)應包含至少1備份的流通數(shù)據(jù)應包含備份者的數(shù)字簽名，宜采用國家密碼局推薦的國密簽名算法SM2，用以保障對創(chuàng)建備份副本的不可否認和不可抵賴。備份一致性確保多個備份副本采用的數(shù)據(jù)存儲方式保持一致，例如內(nèi)容的數(shù)據(jù)格式、壓縮的算法類型等；d）3T/ISC0047—2024e）確保能夠成功驗證備份副本數(shù)字簽名的公鑰與備份方提供身份認證的公鑰保持一致。備份數(shù)量和可恢復性備份數(shù)量確保流通數(shù)據(jù)至少擁有2份以上的備份副本，用于做相互驗證以增加備份魯棒性，確保備份數(shù)據(jù)能快速恢復與應對區(qū)域級的故障；確保多個備份副本中至少有1份存儲在不同城區(qū)的物理機房，以防止自然災害等不可抗力因素導致的備份副本完全丟失，在合法合規(guī)前提下，可考慮在云存儲中選取不同的地理位置?？苫謴托援斣紨?shù)據(jù)損壞或丟失時，可通過多備份副本校驗完整性并修復還原原始數(shù)據(jù)；當檢查到部分備份副本丟失時，可通過其他備份副本校驗完整性并還原被丟失的備份副本；d）e）當流通數(shù)據(jù)內(nèi)容被數(shù)據(jù)壓縮時，可解壓縮還原流通數(shù)據(jù)內(nèi)容。數(shù)據(jù)流通審查技術(shù)要求數(shù)據(jù)來源審查數(shù)據(jù)來源驗證數(shù)據(jù)來源驗證用于驗證流通數(shù)據(jù)來源的合法性，審查數(shù)據(jù)采集過程是否合規(guī)。a）分析文檔：分析文檔以了解數(shù)據(jù)來源的性質(zhì)、用途、數(shù)據(jù)生成過程和質(zhì)量控制措施；采樣審查。采樣審查適用于大規(guī)模數(shù)據(jù)源，應滿足以下要求：制定采樣計劃：明確定義采樣的范圍、目標和方法，確保采樣具有代表性；數(shù)據(jù)采集：從數(shù)據(jù)來源中隨機或系統(tǒng)性地選擇樣本以獲取數(shù)據(jù)的代表性快照；數(shù)據(jù)驗證：驗證采樣數(shù)據(jù)的準確性和一致性，以確定數(shù)據(jù)來源可靠；確認來源標識：確保每個樣本都有明確的來源標識以便追溯數(shù)據(jù)。c）4T/ISC0047—2024供應商背景調(diào)查：研究供應商的信譽、歷史和專業(yè)背景，以確定其可信度；合同審查：審查合同以確保合同中明確定義了數(shù)據(jù)的質(zhì)量、交付和支持要求；績效監(jiān)控：建立供應商績效監(jiān)控機制以定期評估數(shù)據(jù)質(zhì)量和供應商的服務；數(shù)據(jù)可信度評估數(shù)據(jù)可信度評估用以審查流通數(shù)據(jù)來源的可信度，以對數(shù)據(jù)的質(zhì)量和準確性進行評估。參考數(shù)據(jù)：獲得來自可信數(shù)據(jù)源的參考數(shù)據(jù)，檢驗參考數(shù)據(jù)的準確性和可信性；數(shù)據(jù)比對：將要審查的數(shù)據(jù)與參考數(shù)據(jù)進行比對，檢查數(shù)據(jù)之間的差異性和不一致性；驗證準確性：確定數(shù)據(jù)的準確性，識別任何不一致性和錯誤。1) 數(shù)據(jù)質(zhì)量審查數(shù)據(jù)描述審查5T/ISC0047—2024數(shù)據(jù)描述審查用以確保數(shù)據(jù)集的元數(shù)據(jù)與描述信息足夠詳細，使需求方能夠理解和有效使用數(shù)據(jù)，應滿足以下要求：（建立驗證數(shù)據(jù)完整性審查數(shù)量、數(shù)據(jù)存儲位置、數(shù)據(jù)文件類型等；b）是否與數(shù)據(jù)備份時提交的校驗碼匹配；數(shù)據(jù)安全審查審計追溯：對流通數(shù)據(jù)的全生命周期進行記錄，確保流通過程可審計、可追溯；（6T/ISC0047—2024參考文獻GB/T20984信息安全技術(shù)信息安全風險評估方法GB/T29765—2021GB/T35273—2020信息安全技術(shù)個人信息安全規(guī)范GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T39335—2020信息安全技術(shù)個人信息安全影響評估指南GB/T39461—2020國際物流信息系統(tǒng)數(shù)據(jù)接口GB/T40217—2021財經(jīng)信息技術(shù)養(yǎng)老保險基金審計數(shù)據(jù)接口GB/T41479—2022信息安全技術(shù)網(wǎng)絡數(shù)據(jù)處理安全要求GB50174—2017數(shù)據(jù)中心設計規(guī)范JR/T0196—2020多方安全計算金融應用技術(shù)規(guī)范JR/T0223—2021金融數(shù)據(jù)安全數(shù)據(jù)生命周期安全規(guī)范YD/T3801—2020電信網(wǎng)和互聯(lián)網(wǎng)數(shù)據(jù)安全風險評估實施方法YDT4690—2024隱私計算多方安全計算產(chǎn)品安全要求和測試方法DB33/T1329—2023數(shù)據(jù)資產(chǎn)確認工作指南DB3311/T127—2020公共數(shù)據(jù)共享安全管理規(guī)范[16DB4403/T271—2022公共數(shù)據(jù)安全要求T/PCAC0009—2021多方安全計算金融應用評估規(guī)范IEEE2842—2021RecommendedPracticeforSecureMulti-PartyComputationIEEEP3117StandardforInterworkingF