全文 | 国家标准《重要数据处理安全要求》征求意见

2.1标准编制原则

本标准旨在指导数据处理者落实《中华人民共和国数据安全法》及重要数据安全保护制度的相关要求。编制组首先对两方面问题做了把握，这决定了标准的定位与标准内容边界。

一是明确与基础性网络安全要求的区别。编制组从四个方面理解数据安全的内涵：

l环境安全（网络与系统的安全）

l资产安全（数据自身的安全）

l行为安全（数据处理活动的合规性）

l生产要素安全（解决确权、开发利用、运营等问题）

标准应该同时涉及重要数据安全的以上各个方面，不能仅从数据收集处理的生命周期来理解数据处理安全需求。鉴于环境安全已有大量标准规范，故标准不在网络与信息系统安全方面过多展开。但有以下三个方面需要突出：

l数据处理者应当按照网络安全等级保护的要求，加强数据处理系统、数据传输网络、数据存储环境等安全防护，处理重要数据的系统原则上应当满足三级以上网络安全等级保护要求。（《网络数据安全管理条例（征求意见稿）》）

l数据处理者应当使用密码对重要数据和核心数据进行保护。（《网络数据安全管理条例（征求意见稿）》）

l数据处理者使用的云应当符合国家关于云计算服务安全管理的规定。

二是明确与普通数据处理的差异性要求，从四个方面理解重要数据处理的特殊安全要求：

l在安全保护的强度上，要严格于普通数据。

l在管理制度上，要严格于普通数据。

l在合规要求上，法律法规有明确的要求，均应通过标准予以细化。

l在配合监管上，重要数据处理者有特定的法律义务。

经以上分析，标准组决定不再赘述数据安全基础要求，而是突出以上四个方面。

2.2 主要内容及其确定依据

本标准主要技术内容包括以下方面：

（1）设施安全，描述了处理重要数据的信息系统、云平台应满足的安全要求。

（2）数据处理过程的安全，重点突出重要数据全生命周期中，各处理过程应满足的安全要求：

l收集：包括数据来源、识别、数据分类、数据分级、数据编目等要求，重点突出采集过程的合法性和数据质量、落实国家数据安全分类分级制度要求等内容；

l存储：包括存储保护、存储位置、存储期限、备份与恢复等要求；

l使用与加工：包括重要数据在使用和加工过程中应进行的访问控制、评估、审批、保密审查等方面的要求；

l传输与提供：包括重要数据在对外提供和共享时应遵循的安全要求，如法律文件、评估与审批、监督与保护、交易、接收方义务、向境外提供等内容；

l公开：公开重要数据及其加工结果时，数据处理者应采取的安全要求；

l删除：描述了数据处理者如何安全地删除已废弃或超出约定期限的重要数据，包括数据删除、介质销毁等。

（3）运行与管理安全，主要包括组织与人员、数据治理、供应链、审计、应急处置、风险评估、配合监督管理等运行安全要求。

l组织与人员：主要体现法律法规提出的相关要求，包括安全负责人、安全管理机构、机构变化、管理制度、人员、培训等要求；

l数据治理设施：主要从数据治理工具本身、统一管理等角度描述数据治理设施的安全要求；

l供应链管理：描述了重要数据处理者在采购管理、供应商管理、评估等方面应遵循的要求，以更好的应对复杂、严峻的国际网络空间安全威胁；

l应急响应：描述重要数据处理者在应急预案、演练计划、技术团队、处置机制等方面的要求；

l安全风险评估：描述了评估制度、评估内容、评估时机等要求；

l配合监督管理：包括流程规范、提供技术支持、配合整改措施等。

以下是全文：