TCIIA 018-2022 科学数据 安全管理指南

ICS35.020CCSL80团体标准T/CIIA018—2022科学数据安全管理指南Scientificdata-Guidelinesforsecuritymanagement2022-10-20发布2022-10-20实施中国信息协会发布T/CIIA018—2022I目次前言.................................................................................II引言................................................................................III1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14总则...............................................................................14.1角色及职责.....................................................................14.2管理目标.......................................................................25安全需求...........................................................................25.1保密性.........................................................................25.2完整性.........................................................................25.3可用性.........................................................................25.4可追溯性.......................................................................25.5可控性.........................................................................26安全分类分级.......................................................................36.1分类方法.......................................................................36.2分级方法.......................................................................36.3分级要素.......................................................................37管理主要内容.......................................................................38安全管理基本原则...................................................................38.1分类分级管理...................................................................38.2安全可控.......................................................................38.3职责明确.......................................................................38.4质量保障.......................................................................48.5数据最小化.....................................................................48.6最小授权.......................................................................48.7可审计.........................................................................49活动及安全.........................................................................49.1概述...........................................................................49.2采集加工.......................................................................49.3存储备份.......................................................................49.4传输交换.......................................................................49.5开放共享.......................................................................59.6使用服务.......................................................................59.7安全处置.......................................................................5参考文献..............................................................................6T/CIIA018—2022II前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息协会提出并归口。本文件起草单位：中国标准化研究院、广州物联网研究院、北京云迹科技股份有限公司、广东省科技基础条件平台中心、中国科学院计算机网络信息中心、交通运输部公路科学研究所、山东旗帜信息有限公司、交通运输部天津水运工程科学研究所、中国科学技术信息研究所、四川省大数据中心、杭州半云科技有限公司、北京声智科技有限公司、广东省科学院广州地理研究所、山东亿云信息技术有限公司、北京山水云图科技有限公司、广州广电计量检测股份有限公司、北京殷塞信息技术有限公司、北京易华录信息技术股份有限公司、飞诺门阵（北京）科技有限公司、中国核动力研究设计院、北京建筑大学、中国科学院武汉病毒研究所、北京滴普科技有限公司、南方海洋科学与工程广东省实验室（珠海）、烽火通信科技股份有限公司、北京网智易通科技有限公司、北京蓝象标准咨询服务有限公司。本文件主要起草人：尹书蕊、胡良霖、支涛、王志强、廖方宇、赵晓萌、邱瀚、白鹤飞、李健、毕金强、朱艳华、魏倩、胡红亮、陈孝良、荆文龙、曹建、姜楠、吴金鹏、朱东、路兴、沈寓实、曾辉、荣玥芳、邓菲、段占祺、曹连飞、刘健、徐丽华、付昌学、葛强、郭书含、李坤、金岩、乔华阳、张德保、王新亮、马建红、段小莉。本文件为首次发布。T/CIIA018—2022III引言科学数据又称科研数据或研究数据，是我国重要的基础性、战略性资源，对支撑各领域科学基础的研究和应用、推动各领域经济的创新发展、维护国家安全具有重要作用。在全球范围内，开放科学正成为重要的发展模式和全球共识，开放数据是开放科学的核心组成，将会大力促进开放科学的发展，提升科技创新活动的透明性、可重复性、协作性及最大化科学对社会发展的价值。为了确保科学数据在全生命周期内的合规使用和有效保护，满足科技创新对科学数据的管理需求，亟需构建完善的标准化体系进行保障。本文件覆盖科学数据采集加工、存储备份、传输交换、开放共享、使用服务与安全处置等全生命周期管理的数据安全管理指南，旨在为科学数据的安全管理提供指导，为解决科学数据管理和使用中的数据泄露、数据滥用、知识产权等问题提供支撑，以增强科学数据的数据安全保障能力。T/CIIA018—20221科学数据安全管理指南1范围本文件给出了科学数据安全管理总则、安全需求、安全分类分级、安全管理基本原则、科学数据处理活动及安全等建议。本文件适用于各类组织进行科学数据安全管理，也可供第三方评估机构参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T7027—2002信息分类和编码的基本原则与方法3术语和定义下列术语和定义适用于本文件。3.1科学数据scientificdata人类社会科技活动积累的或通过其他方式获取的反映客观世界的本质、特征、变化规律等原始性、基础性数据,以及根据不同科技活动需要进行系统加工整理的各类数据的集合。[来源：GB/T31075—2014，2.2.7]3.2科学数据中心scientificdatacenter利用信息、网络等现代技术，对科学数据进行整合汇交、分级分类、加工整理和分析挖掘，保障科学数据安全，推动科学数据开放共享，加强国内外科学数据交流与合作的专业化机构。3.3科学数据安全scientificdatasecurity通过管理和技术措施，确保科学数据持续得到有效保护和合规利用的状态。[来源：GB/T37988—2019，3.1，有修改]4总则4.1角色及职责4.1.1概述科学数据管理工作执行国家统筹、各部门与各地区分工负责的管理要求。科学数据管理相关单位主要有主管部门、法人单位和科学数据中心等，国务院科学技术行政部门牵头负责全国科学数据的宏观管理与综合协调，国务院相关部门、省级人民政府相关部门是主管部门，有关科研院所、高等院校和企业等法人单位（以下统称法人单位）是科学数据管理的责任主体，科学数据中心是促进科学数据开放共享的重要载体，由主管部门委托有条件的法人单位建立。4.1.2主管部门角色及职责对国家、地区科学数据进行宏观管理、综合协调，指导所属法人单位加强和规范科学数据管理，统筹规划和建设科学数据中心，推动科学数据开放共享，组织开展科学数据工作评价考核的主管部门。国务院相关部门、省级人民政府相关部门是主管部门，其主要职责包括下列内容：a)负责建立健全本部门（本地区）科学数据管理政策和规章制度，宣传贯彻落实国家科学数据