TCIIA 021-2022 科学数据 安全防护技术要求

ICS35.020CCSL80团体标准T/CIIA021—2022科学数据安全防护技术要求Scientificdata-Technicalrequirementsofsecurityprotection2022-10-20发布2022-10-20实施中国信息协会发布T/CIIA021—2022I目次前言.................................................................................II引言................................................................................III1范围................................................................................12规范性引用文件......................................................................13术语和定义..........................................................................14总体要求............................................................................24.1相关责任方.....................................................................24.2科学数据安全防护目标...........................................................24.3科学数据安全防护技术要求架构...................................................35科学数据基础设施安全防护技术要求....................................................45.1通用防护.......................................................................45.2其他安全防护...................................................................46科学数据生命周期安全防护技术要求....................................................46.1采集加工防护...................................................................46.2传输交换防护...................................................................56.3存储备份防护...................................................................56.4开放共享防护...................................................................56.5使用服务防护...................................................................56.6安全处置防护...................................................................67科学数据安全审计与稽核技术要求......................................................67.1通用要求.......................................................................67.2资产识别.......................................................................67.3数据溯源.......................................................................67.4合规分析.......................................................................67.5态势感知.......................................................................6附录A（规范性）数据完整性标准.......................................................7参考文献..............................................................................8T/CIIA021—2022II前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息协会提出并归口。本文件起草单位：中国科学院计算机网络信息中心、广州物联网研究院、北京云迹科技股份有限公司、中国科学院高能物理研究所、华控清交信息科技（北京）有限公司、中国标准化研究院、北京神州数码云计算有限公司、北京声智科技有限公司、中国信息通信研究院、杭州市临安区数据资源管理局、翼健（上海）信息科技有限公司、中国科学技术信息研究所、北京山水云图科技有限公司、中国科学院昆明动物研究所、中国电子技术标准化研究院、杭州默安科技有限公司、中国地震局地球物理研究所、上海契胜科技有限公司、中国核动力研究设计院、北京神州绿盟科技有限公司、北京邮电大学、国网新疆电力有限公司、广州广电计量检测股份有限公司、北京浩瀚深度信息技术股份有限公司、北京贵士信息科技有限公司、北京微未来科技有限公司、飞诺门阵（北京）科技有限公司、杭州瑞成信息技术有限公司、华数云科技有限公司、亿慧云智能科技（深圳）股份有限公司、深圳云豹智能科技有限公司、杭州煋辰数智科技有限公司、得一微电子股份有限公司、中国国信信息总公司、北京网智易通科技有限公司、北京蓝象标准咨询服务有限公司。本文件主要起草人：廖方宇、李婧、支涛、赵静、胡良霖、王云河、龙春、陈孝良、齐法制、李全印、朱艳华、杨青海、张莺耀、徐元明、吕雪梅、高瑜蔚、姜楠、吴振峰、聂万泉、王晓麟、赵欢、段林峰、张睿、李坤、张龙军、于莉莉、王璐、李荪、陈陆颖、胡泊、王亚楠、王小敏、沈寓实、田鑫、杨大为、邱光球、刘伟、刘建毅、谢俊、黄成云、程烨、陈强、赵弋洋、方忠平、许晓耕、孟瑾、刘星妍、侯海宾、蒋斌、刘英迪、金岩、张德保、乔华阳、马建红、王新亮、段小莉。本文件首次发布。T/CIIA021—2022III引言科学数据又称科研数据或研究数据，是我国重要的基础性、战略性资源，对支撑各领域科学基础的研究和应用、推动各领域经济的创新发展、维护国家安全具有重要作用。在全球范围内，开放科学正成为重要的发展模式和全球共识，开放数据是开放科学的核心组成，将会大力促进开放科学的发展，提升科技创新活动的透明性、可重复性、协作性及最大化科学对社会发展的价值。2018年3月，国务院办公厅颁布了《科学数据管理办法》，以促进科学数据的开放共享。然而，在科学数据开放共享过程中，在数据保密性、完整性和可用性等方面存在诸多数据安全问题，限制了科学数据的有效共享利用。本文件的编制，旨在促进科学数据安全、合规、有序流动，推动数据驱动型科学研究和科技创新。通过构建“基础设施安全+全生命周期数据安全+安全审计稽核”闭环安全防护机制，解决我国科学数据流转过程的数据安全难题，以纵深防御理念，提供较为完备的安全防护技术要求指引，保障科学数据的可用性、完整性、保密性、不可否认性、可追踪性等安全需求，促进科学数据的价值共享，指导各级科学数据平台的数据安全体系建设，填补我国相关技术标准缺失的空白，加快数据安全相关的法律法规的落地。T/CIIA021—20221科学数据安全防护技术要求1范围本文件确立了科学数据安全防护技术要求架构，规定了科学数据生命周期各环节、安全审计稽核阶段的数据安全防护技术要求和科学数据基础设施安全防护技术要求。本文件适用于从事科学数据相关活动所涉及的安全防护。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求GB/T25069信息安全技术术语GB/T31168信息安全技术云计算服务安全能力要求GB/T34960.4信息技术服务治理第4部分：审计导则GB/T37964信息安全技术个人信息去标识化指南GB/T40685信息技术服务数据资产管理要求T/CIIA020—2022科学数据安全传输技术要求T/CIIA022—2022科学数据云存储环境运维流程与服务要求T/CIIA023—2022科学数据云平台运维流程与要求3术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。3.1科学数据scientificdata人类社会科技活动积累的或通过其他方式获取的反映客观世界的本质、特征、变化规律等原始性、基础性数据,以及根据不同科技活动需要进行系统加工整理的各类数据的集合。[来源：GB/T31075—2014，2.2.7]3.2科学数据生命周期scientificdatalifecycle科学数据从采集加工、存储备份、传输交换、开放共享、使用服务、安全处置，最终实现再利用的一个循环过程。3.3保密性confidentiality信息对未授权的个人、实体或过程不可用或不泄露的性质。[来源:GB/T25069-2022，3.41]T/CIIA021—202223.4可用性availability可由经授权实体按需访问和使用的性质。[来源：GB/T25069-2022，3.345]3.5可追溯性traceability在整个供应链上，允许对身份、过程或元素的活动进行跟踪的性质。[来源：GB/T25069-2022，3.347，有修改]3.6完整性integrity数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变。[来源：GB/T25069-2022，3.574，有修改]3.7抗抵赖性non-repudiation不可否认性证明一个已经发生的操作行为无法否认的性质。[来源：GB/T25069-2022，3.321]4总体要求4.1相关责任方4.1.1科学数据提供方在自然科学、工程技术科学等领域，通过各种途径生产新的科学数据的科学数据相关组织。4.1.2科学数据管理方在自然科学、工程技术科学等领域，对科学数据进行收集、整理、存储、维护或传播的科学数据相关组织。4.1.3科学数据服务提供方在自然科学、工程技术科学等领域，对科学数据进行分析挖掘，形成有价值的科学数据产品，开展增值服务的相关组织。4.1.4科学数据使用方在自然科学、工程技术科学等领域，使用科学数据从事科学技术研究、工程或经济开发的科学数据相关组织。4.2科学数据安全防护目标4.2.1概述科学数据安全防护技术要求从科学数据基础设施安全防护要求、科学数据生命周期防护要求、科学数据审计监控要求三个层次逐级展开，通过构建“基础设施+数据全生命周期+审计稽核”