科學(xué)數(shù)據(jù)安全審計(jì)要求 編制說(shuō)明

國(guó)家標(biāo)準(zhǔn)《科學(xué)數(shù)據(jù)安全審計(jì)要求》(征求意見(jiàn)稿)編制說(shuō)明標(biāo)準(zhǔn)起草組2國(guó)家標(biāo)準(zhǔn)《科學(xué)數(shù)據(jù)安全審計(jì)要求》(征求意見(jiàn)稿)編制說(shuō)明(一)任務(wù)來(lái)源2022年12月國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)下達(dá)了“2022年第三批推薦性國(guó)家標(biāo)準(zhǔn)計(jì)劃及相關(guān)標(biāo)準(zhǔn)外文版計(jì)劃”，明確了國(guó)家標(biāo)準(zhǔn)《科學(xué)數(shù)據(jù)安全審計(jì)要求》的制定任務(wù)，計(jì)劃編號(hào)為20221227-T-306。該項(xiàng)標(biāo)準(zhǔn)的制定任務(wù)由中科院計(jì)算機(jī)網(wǎng)絡(luò)信息中心負(fù)責(zé)，本標(biāo)準(zhǔn)由科學(xué)技術(shù)部提出，由全國(guó)科技平臺(tái)標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SACTC486)歸口。本標(biāo)準(zhǔn)主要起草單位包括中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心、中國(guó)標(biāo)準(zhǔn)化研究院、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、中國(guó)信通院、中國(guó)軟件測(cè)評(píng)中心、北京郵電大學(xué)、中國(guó)科學(xué)院高能物理研究所、中國(guó)科學(xué)院信息工程研究所、中國(guó)科學(xué)院理論物理研究所、阿里巴巴(中國(guó))有限公司、華為技術(shù)有限公司、綠盟科技集團(tuán)股份有限公司、北京金山云網(wǎng)絡(luò)技術(shù)有限公司、北京科創(chuàng)安銓科技有限公司、北京印刷學(xué)院、北京網(wǎng)信元科技。(二)目的意義《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》與《網(wǎng)絡(luò)安全法》共同構(gòu)成了我國(guó)網(wǎng)絡(luò)數(shù)據(jù)領(lǐng)域治理的基礎(chǔ)性法律，標(biāo)志著與我國(guó)網(wǎng)絡(luò)大國(guó)、數(shù)字大國(guó)相匹配的制度建設(shè)逐步走向成熟，本標(biāo)準(zhǔn)的制定是切實(shí)提升科學(xué)數(shù)據(jù)領(lǐng)域信息保護(hù)與合規(guī)運(yùn)用能力的重要保障?？茖W(xué)數(shù)據(jù)作為新時(shí)代傳播速度最快、影響面最寬、開(kāi)發(fā)利用潛力最大的戰(zhàn)略性、基礎(chǔ)性科技資源，深刻影響著各國(guó)的經(jīng)濟(jì)發(fā)展、國(guó)家安全、科技進(jìn)步和綜合競(jìng)爭(zhēng)力?？茖W(xué)數(shù)據(jù)安全關(guān)乎國(guó)家安全，發(fā)達(dá)國(guó)家關(guān)注很早。2018年3月，國(guó)務(wù)院辦公廳正式國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《數(shù)據(jù)安全管理辦法(征求意見(jiàn)稿)》，國(guó)家層面對(duì)數(shù)據(jù)安全愈發(fā)重視。3科學(xué)數(shù)據(jù)是科技創(chuàng)新的基礎(chǔ)，國(guó)家基礎(chǔ)性戰(zhàn)略資源，其安全、合規(guī)、有序流動(dòng)將是推動(dòng)科學(xué)數(shù)據(jù)的開(kāi)放共享和創(chuàng)新應(yīng)用的關(guān)鍵。當(dāng)前，除從技術(shù)、管理角度實(shí)現(xiàn)科學(xué)數(shù)據(jù)的安全保護(hù)外，從審計(jì)監(jiān)管的角度對(duì)科學(xué)數(shù)據(jù)安全進(jìn)行評(píng)估，是保護(hù)科學(xué)數(shù)據(jù)的重要手段?？茖W(xué)數(shù)據(jù)安全有別于一般的數(shù)據(jù)安全，除了有規(guī)模性、高速性、多樣性、價(jià)值性的特點(diǎn)之外，還具有共享性、長(zhǎng)效性、積累性、增值性、公益性、資源性等特征，除面臨數(shù)據(jù)泄露等安全問(wèn)題外，也關(guān)系到國(guó)家安全、數(shù)據(jù)主權(quán)等安全問(wèn)題，因此審計(jì)標(biāo)準(zhǔn)能夠符合科學(xué)數(shù)據(jù)安全特征尤為重要。目前，國(guó)內(nèi)尚無(wú)針對(duì)科學(xué)數(shù)據(jù)安全審計(jì)的標(biāo)準(zhǔn)，現(xiàn)有標(biāo)準(zhǔn)無(wú)法針對(duì)特定的科學(xué)目標(biāo)，實(shí)現(xiàn)對(duì)科學(xué)數(shù)據(jù)生存周期各業(yè)務(wù)環(huán)節(jié)及具體的科學(xué)數(shù)據(jù)安全需求實(shí)現(xiàn)直接的、標(biāo)準(zhǔn)化的安全審計(jì)指導(dǎo)，限制了對(duì)科學(xué)數(shù)據(jù)安全性、合規(guī)性的評(píng)估及監(jiān)管，從而限制了科學(xué)數(shù)據(jù)的有序流動(dòng)和數(shù)據(jù)密集型科學(xué)研究范式的發(fā)展?！犊茖W(xué)數(shù)據(jù)安全審計(jì)要求》是一項(xiàng)基礎(chǔ)的科學(xué)數(shù)據(jù)安全標(biāo)準(zhǔn)，遵循現(xiàn)有相關(guān)數(shù)據(jù)審計(jì)和數(shù)據(jù)安全法律法規(guī)、標(biāo)準(zhǔn)，基于安全合規(guī)、客觀(guān)公正等原則，對(duì)科學(xué)數(shù)據(jù)相關(guān)活動(dòng)安全控制工作的實(shí)施及成效進(jìn)行審計(jì)，以期客觀(guān)反映科學(xué)數(shù)據(jù)相關(guān)活動(dòng)安全控制的真實(shí)性、合法性、安全性及效益性。本標(biāo)準(zhǔn)的制定能夠?yàn)榭茖W(xué)數(shù)據(jù)安全的審計(jì)工作提供標(biāo)準(zhǔn)化解決方法，意義重大。(三)主要工作過(guò)程(1)2020年1月，標(biāo)準(zhǔn)起草組正式成立。由中科院計(jì)算機(jī)網(wǎng)絡(luò)信息中心牽頭，由中國(guó)標(biāo)準(zhǔn)化研究院、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心等近20個(gè)單位參加的標(biāo)準(zhǔn)起草工作。(2)2020年6月，形成標(biāo)準(zhǔn)草案。起草組充分調(diào)研科學(xué)數(shù)據(jù)安全及其安全審計(jì)標(biāo)準(zhǔn)化現(xiàn)狀，特別是《科學(xué)數(shù)據(jù)管理辦法》和《數(shù)據(jù)安全法(征求意見(jiàn)稿)》的有關(guān)內(nèi)容，根據(jù)國(guó)家級(jí)科學(xué)數(shù)據(jù)中心的實(shí)際需求，形成了標(biāo)準(zhǔn)草案。(3)2021年1月，意見(jiàn)征集。前往微生物和生態(tài)數(shù)據(jù)中心實(shí)地調(diào)研，對(duì)國(guó)家標(biāo)準(zhǔn)進(jìn)行現(xiàn)場(chǎng)討論和征求意見(jiàn)，特別分析標(biāo)準(zhǔn)實(shí)際對(duì)數(shù)據(jù)中心安全適用性。會(huì)后形成了標(biāo)準(zhǔn)草案的修改稿，并進(jìn)行進(jìn)一步征求意見(jiàn)。(4)2021年10月，形成標(biāo)準(zhǔn)立項(xiàng)稿。根據(jù)前期調(diào)研和征求意見(jiàn)的情況，起草組4進(jìn)一步完善標(biāo)準(zhǔn)草案，形成標(biāo)準(zhǔn)立項(xiàng)稿，并報(bào)送全國(guó)科技平臺(tái)標(biāo)準(zhǔn)化技術(shù)委員會(huì)(SAC/TC486)(5)2022年3月，進(jìn)行立項(xiàng)答辯。標(biāo)準(zhǔn)進(jìn)行了立項(xiàng)答辯，根據(jù)國(guó)標(biāo)委審評(píng)中心立項(xiàng)評(píng)審專(zhuān)家建議，起草組根據(jù)專(zhuān)家的意見(jiàn)進(jìn)一步修改了標(biāo)準(zhǔn)。(6)2022年9月，專(zhuān)家研討會(huì)。邀請(qǐng)行業(yè)專(zhuān)家對(duì)標(biāo)準(zhǔn)的框架及內(nèi)容進(jìn)行逐條討論，起草組根據(jù)專(zhuān)家意見(jiàn)，對(duì)標(biāo)準(zhǔn)的英文名稱(chēng)、主要內(nèi)容等進(jìn)行了修改和完善。(7)2022年12月，接到標(biāo)準(zhǔn)的制定任務(wù)，計(jì)劃編號(hào)為20221227-T-306。(四)主要參加單位和工作組成員及其所做的工作中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心、中國(guó)標(biāo)準(zhǔn)化研究院、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、中國(guó)信通院、中國(guó)軟件測(cè)評(píng)中心、北京郵電大學(xué)、中國(guó)科學(xué)院高能物理研究所、中國(guó)科學(xué)院信息工程研究所、中國(guó)科學(xué)院理論物理研究所、阿里巴巴(中國(guó))有限公司、華為技術(shù)有限公司、綠盟科技集團(tuán)股份有限公司、北京金山云網(wǎng)絡(luò)技術(shù)有限公司、北京科創(chuàng)安銓科技有限公司、北京印刷學(xué)院、北京網(wǎng)信元科技。核心工作組成員所做工作如下：龍春：負(fù)責(zé)國(guó)家標(biāo)準(zhǔn)的起草工作，重點(diǎn)承擔(dān)標(biāo)準(zhǔn)技術(shù)架構(gòu)起草，標(biāo)準(zhǔn)技術(shù)內(nèi)容起草，進(jìn)行各起草單位的協(xié)調(diào)以及國(guó)家標(biāo)準(zhǔn)的應(yīng)用研究，技術(shù)文檔的主要執(zhí)筆人。廖方宇：協(xié)助負(fù)責(zé)國(guó)家標(biāo)準(zhǔn)的起草工作，承擔(dān)標(biāo)準(zhǔn)技術(shù)架構(gòu)和重點(diǎn)章節(jié)起草。負(fù)責(zé)各起草單位的協(xié)調(diào)以及國(guó)家標(biāo)準(zhǔn)的應(yīng)用研究。魏金俠：參與國(guó)家標(biāo)準(zhǔn)的起草工作，重點(diǎn)承擔(dān)標(biāo)準(zhǔn)技術(shù)架構(gòu)起草，部分章節(jié)起草，參與組織國(guó)家標(biāo)準(zhǔn)的立項(xiàng)申報(bào)工作。趙靜：參與國(guó)家標(biāo)準(zhǔn)的起草工作，標(biāo)準(zhǔn)技術(shù)架構(gòu)起草，部分章節(jié)起草，參與組織國(guó)家標(biāo)準(zhǔn)的立項(xiàng)申報(bào)工作。李婧：協(xié)助負(fù)責(zé)國(guó)家標(biāo)準(zhǔn)的起草工作，承擔(dān)標(biāo)準(zhǔn)技術(shù)架構(gòu)和內(nèi)容的文獻(xiàn)調(diào)研和基礎(chǔ)技術(shù)內(nèi)容的研究工作，標(biāo)準(zhǔn)技術(shù)架構(gòu)起草，重點(diǎn)章節(jié)起草。5胡良霖：協(xié)助負(fù)責(zé)國(guó)家標(biāo)準(zhǔn)的起草工作，承擔(dān)標(biāo)準(zhǔn)技術(shù)架構(gòu)起草以及重點(diǎn)章節(jié)起草。負(fù)責(zé)各起草單位的協(xié)調(diào)以及國(guó)家標(biāo)準(zhǔn)的應(yīng)用研究，以及部分技術(shù)內(nèi)容的測(cè)試研究工作朱艷華：參與國(guó)家標(biāo)準(zhǔn)的起草工作，標(biāo)準(zhǔn)技術(shù)架構(gòu)起草，部分章節(jié)起草，部分技術(shù)內(nèi)容的測(cè)試研究工作。準(zhǔn)編制原則和主要內(nèi)容(一)編制原則1、基礎(chǔ)性原則從基礎(chǔ)研究角度，以應(yīng)用需求為導(dǎo)向，全面提出科學(xué)數(shù)據(jù)安全審計(jì)要求所涵蓋的主要內(nèi)容，使標(biāo)準(zhǔn)為科學(xué)數(shù)據(jù)安全審計(jì)工作發(fā)揮基礎(chǔ)性作用。2、滿(mǎn)足重點(diǎn)需求的原則以科學(xué)數(shù)據(jù)中心、科技平臺(tái)資源共享、科學(xué)數(shù)據(jù)管理的數(shù)據(jù)安全需求為重點(diǎn)，及當(dāng)前法律法規(guī)的對(duì)個(gè)人信息保護(hù)及重要數(shù)據(jù)保護(hù)的合規(guī)性要求，提出標(biāo)準(zhǔn)的主要內(nèi)容。隨著科學(xué)數(shù)據(jù)共享與服務(wù)的開(kāi)展與實(shí)踐，科學(xué)數(shù)據(jù)中心建設(shè)運(yùn)維，將逐步對(duì)標(biāo)準(zhǔn)進(jìn)行更新。3、可操作性原則標(biāo)準(zhǔn)充分考慮了我國(guó)現(xiàn)形法律、政策環(huán)境下數(shù)據(jù)安全方面可操作性，同時(shí)對(duì)相關(guān)的國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)等諸多因素給予了應(yīng)有的關(guān)注，以確保本標(biāo)準(zhǔn)與有關(guān)法律法規(guī)、其他標(biāo)準(zhǔn)的兼容性和一致性。4、國(guó)際性原則本標(biāo)準(zhǔn)參考了國(guó)際上主要的科學(xué)數(shù)據(jù)管理以及數(shù)據(jù)安全的內(nèi)容，為將來(lái)同國(guó)際接軌奠定了基礎(chǔ)。(二)標(biāo)準(zhǔn)主要內(nèi)容本文件規(guī)定了科學(xué)數(shù)據(jù)安全審計(jì)的相關(guān)要求，包括總體要求、一般審計(jì)要求、專(zhuān)項(xiàng)審計(jì)要求。本文件適用于本文件適用于對(duì)科學(xué)數(shù)據(jù)相關(guān)活動(dòng)中所涉及的安全問(wèn)題進(jìn)行審計(jì)?？茖W(xué)數(shù)據(jù)安全審計(jì)技術(shù)內(nèi)容主要包括一般審計(jì)要求和專(zhuān)項(xiàng)審計(jì)要求兩個(gè)方面。一般審計(jì)要求旨在從科學(xué)數(shù)據(jù)通用業(yè)務(wù)流程角度進(jìn)行安全審計(jì)，即從科學(xué)數(shù)據(jù)安全治理、6科學(xué)數(shù)據(jù)安全管理、科學(xué)數(shù)據(jù)生存周期業(yè)務(wù)流程對(duì)組織科學(xué)數(shù)據(jù)安全進(jìn)行通用性指導(dǎo)；專(zhuān)項(xiàng)審計(jì)要求旨在從個(gè)人信息安全審計(jì)、重要數(shù)據(jù)安全審計(jì)、匯交審計(jì)、數(shù)據(jù)平臺(tái)(系統(tǒng))審計(jì)等方面，對(duì)組織的專(zhuān)項(xiàng)科學(xué)數(shù)據(jù)活動(dòng)的安全控制工作進(jìn)行審計(jì)。以期客觀(guān)反映組織科學(xué)數(shù)據(jù)相關(guān)活動(dòng)安全控制執(zhí)行情況，從科學(xué)數(shù)據(jù)的保密性、可用性、完整性、可控性、可追溯性、合規(guī)性等方面給出組織科學(xué)數(shù)據(jù)安全保護(hù)的評(píng)價(jià)。三、主要試驗(yàn)(或驗(yàn)證)情況本文件在中國(guó)科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心、國(guó)家基礎(chǔ)學(xué)科公共科學(xué)數(shù)據(jù)中心、國(guó)家海洋科學(xué)數(shù)據(jù)中心等單位對(duì)標(biāo)準(zhǔn)的主要技術(shù)內(nèi)容進(jìn)行了技術(shù)驗(yàn)證和應(yīng)用研究。分別對(duì)科學(xué)數(shù)據(jù)安全審計(jì)要求進(jìn)行了技術(shù)驗(yàn)證。在對(duì)試驗(yàn)研究和應(yīng)用研究結(jié)果分析的基礎(chǔ)上，對(duì)標(biāo)準(zhǔn)的技術(shù)內(nèi)容進(jìn)行了必要的修改完善。本文件不涉及專(zhuān)利問(wèn)題。五、預(yù)期達(dá)到的社會(huì)效益、對(duì)產(chǎn)業(yè)發(fā)展的作用等情況其經(jīng)濟(jì)效果是間接的，標(biāo)準(zhǔn)針對(duì)科學(xué)數(shù)據(jù)自身特性及安全需求，梳理科學(xué)數(shù)據(jù)相關(guān)活動(dòng)各個(gè)環(huán)節(jié)的數(shù)據(jù)安全風(fēng)險(xiǎn)，提出針對(duì)性的安全審計(jì)要求建議。有助于指導(dǎo)各監(jiān)管部門(mén)審計(jì)活動(dòng)的實(shí)施，規(guī)范科學(xué)數(shù)據(jù)的審計(jì)工作；建設(shè)完備的信息安全審計(jì)體系，為數(shù)據(jù)中心、科技平臺(tái)資源的審計(jì)與安全管理提供有力支撐；推進(jìn)自主可控的科學(xué)數(shù)據(jù)安全標(biāo)準(zhǔn)體系的建立，填補(bǔ)我國(guó)相關(guān)技術(shù)標(biāo)準(zhǔn)缺失的空白，加快數(shù)據(jù)安全相關(guān)的法律法規(guī)的落地。與國(guó)際、國(guó)外對(duì)比情況本文件與數(shù)據(jù)安全信息安全方面國(guó)際標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)保持一致。，特別是強(qiáng)制性標(biāo)準(zhǔn)的協(xié)調(diào)性本