《信息安全技術 重要數(shù)據(jù)處理安全要求》編制說明

一、工作簡況

1.1任務來源

為加強網(wǎng)絡安全國家標準在國家網(wǎng)絡安全保障工作中的基礎性、規(guī)范性、引

領性作用，全國信息安全標準化技術委員會（以下簡稱：信安標委）調(diào)研國家網(wǎng)

絡安全重點工作和技術產(chǎn)業(yè)發(fā)展需求，研究形成了2022年網(wǎng)絡安全國家標準需

求清單，含《信息安全技術重要數(shù)據(jù)處理安全要求》。2022年3月，中國科學

技術大學聯(lián)合相關單位參與申報，于2022年10月份通過信安標委立項。2023

年8月6日，國家標準委下達了該標準的計劃號20230792-T-469。

1.2制定背景

隨著數(shù)據(jù)成為國家基礎性戰(zhàn)略資源，其安全保護成為國家網(wǎng)絡安全工作的一

項重點。除涉密信息和個人信息外，還有一部分數(shù)據(jù)十分重要和敏感，即重要數(shù)

據(jù)，其一旦被泄露、損毀、篡改、濫用，可能會帶來嚴重后果，危害國家安全與

公共利益。

這些數(shù)據(jù)可能分布在政務部門（如宏觀經(jīng)濟數(shù)據(jù)、金融監(jiān)管數(shù)據(jù)、人口資源

數(shù)據(jù)、健康數(shù)據(jù)、執(zhí)法數(shù)據(jù)、交通運輸數(shù)據(jù)等），關鍵信息基礎設施運營者在內(nèi)

的重點行業(yè)企業(yè)（如金融交易數(shù)據(jù)、能源生產(chǎn)和消費數(shù)據(jù)、關鍵信息基礎設施資

產(chǎn)數(shù)據(jù)、網(wǎng)絡安全防護信息等），醫(yī)院、高校等公共服務機構(gòu)（如健康醫(yī)療數(shù)據(jù)、

教育數(shù)據(jù)等），具有相應資質(zhì)或承擔特定職能的權(quán)威專業(yè)機構(gòu)（如地理、地震、

天文、氣象等科學數(shù)據(jù)及其衍生數(shù)據(jù)等），科研機構(gòu)（如科研成果及其相關數(shù)據(jù)

等），互聯(lián)網(wǎng)企業(yè)（如在線提供導航、電子商務、即時通信等服務時收集、產(chǎn)生

的數(shù)據(jù)，涉及經(jīng)濟、地理、人口、法人等國家基礎信息的數(shù)據(jù)等）或?qū)嶓w經(jīng)濟企

業(yè)（如大型工程施工設備獲取的敏感工程物理位置、施工土石方數(shù)據(jù)等）。

近年來，我國對重要數(shù)據(jù)已多次提出相關保護要求。2021年9月1日，《中

華人民共和國數(shù)據(jù)安全法》實施，提出了制定重要數(shù)據(jù)具體目錄的要求。2021

年11月14日，國家互聯(lián)網(wǎng)信息辦對《網(wǎng)絡數(shù)據(jù)安全管理條例》公開征求意見，

提出了重要數(shù)據(jù)的定義，并設立了一系列重要數(shù)據(jù)安全監(jiān)管制度。因此，迫切需

要制定一部國家標準，對處理重要數(shù)據(jù)提出安全要求。

保護重要數(shù)據(jù)的前提是識別重要數(shù)據(jù)。國家標準《信息安全技術網(wǎng)絡數(shù)據(jù)

分類分級要求》已處于報批稿階段，其給出了識別重要數(shù)據(jù)的基本原則和考慮因

素，可便于各組織識別其處理的重要數(shù)據(jù)，為重要數(shù)據(jù)安全保護工作提供支撐，

也可為各地區(qū)、各部門制定本地區(qū)、本部門以及相關行業(yè)、領域的重要數(shù)據(jù)相關

標準規(guī)范和具體目錄提供參考。

本標準則規(guī)定了數(shù)據(jù)處理者處理重要數(shù)據(jù)的安全要求。同時，也可供有關組

織對重要數(shù)據(jù)處理活動實施安全監(jiān)管或安全評估時參考。

1.3起草過程

按照項目進度要求，編制組首先對相關法律法規(guī)及國內(nèi)外標準文件進行深入

閱讀與理解，查閱有關資料，編寫標準編制提綱，在完成提綱交流和修改的基礎

上，開始具體的編制工作。

2022年3月，基于前期研究項目成果進一步開展廣泛調(diào)研，研讀國內(nèi)外相

關政策和標準文件，形成標準草案V1.0，開展標準申報。

2022年4月，標準經(jīng)信安標委工作組“會議周”討論通過，進入立項準備

階段。

2022年6月，根據(jù)信安標委統(tǒng)一安排和會議周建議，對標準草案進行修改，

再次提交標準草案V1.1供專家評審，并于2022年10月通過信安標委立項。

2022年11月，標準編制組組織參與單位修改標準草案V1.2，供12月份標

準會議周上進行討論。

2023年4月，根據(jù)信安標委統(tǒng)一安排，啟動標準試點應用工作。

2023年5月，根據(jù)前期試點反饋情況和參編單位提供的修改意見，形成征

求意見稿初稿，供標準會議周專家研討和修改。

2023年8月，根據(jù)標準會議周上反饋的意見對標準修改完善，提交信安標

委專家會審議。經(jīng)投票表決，標準征求意見稿獲得通過。會后編制組根據(jù)專家意

見對標準修改完善后提交信安標委秘書處，上網(wǎng)公開征求意見。

二、標準編制原則、主要內(nèi)容及其確定依據(jù)

2.1標準編制原則

本標準旨在指導數(shù)據(jù)處理者落實《中華人民共和國數(shù)據(jù)安全法》及重要數(shù)據(jù)

安全保護制度的相關要求。編制組首先對兩方面問題做了把握，這決定了標準的

定位與標準內(nèi)容邊界。

一是明確與基礎性網(wǎng)絡安全要求的區(qū)別。編制組從四個方面理解數(shù)據(jù)安全的

內(nèi)涵：

環(huán)境安全（網(wǎng)絡與系統(tǒng)的安全）

資產(chǎn)安全（數(shù)據(jù)自身的安全）

行為安全（數(shù)據(jù)處理活動的合規(guī)性）

生產(chǎn)要素安全（解決確權(quán)、開發(fā)利用、運營等問題）

標準應該同時涉及重要數(shù)據(jù)安全的以上各個方面，不能僅從數(shù)據(jù)收集處理的

生命周期來理解數(shù)據(jù)處理安全需求。鑒于環(huán)境安全已有大量標準規(guī)范，故標準不

在網(wǎng)絡與信息系統(tǒng)安全方面過多展開。但有以下三個方面需要突出：

數(shù)據(jù)處理者應當按照網(wǎng)絡安全等級保護的要求，加強數(shù)據(jù)處理系統(tǒng)、數(shù)

據(jù)傳輸網(wǎng)絡、數(shù)據(jù)存儲環(huán)境等安全防護，處理重要數(shù)據(jù)的系統(tǒng)原則上應

當滿足三級以上網(wǎng)絡安全等級保護要求。（《網(wǎng)絡數(shù)據(jù)安全管理條例（征

求意見稿）》）

數(shù)據(jù)處理者應當使用密碼對重要數(shù)據(jù)和核心數(shù)據(jù)進行保護。（《網(wǎng)絡數(shù)據(jù)

安全管理條例（征求意見稿）》）

數(shù)據(jù)處理者使用的云應當符合國家關于云計算服務安全管理的規(guī)定。

二是明確與普通數(shù)據(jù)處理的差異性要求，從四個方面理解重要數(shù)據(jù)處理的特

殊安全要求：

在安全保護的強度上，要嚴格于普通數(shù)據(jù)。

在管理制度上，要嚴格于普通數(shù)據(jù)。

在合規(guī)要求上，法律法規(guī)有明確的要求，均應通過標準予以細化。

在配合監(jiān)管上，重要數(shù)據(jù)處理者有特定的法律義務。

經(jīng)以上分析，標準組決定不再贅述數(shù)據(jù)安全基礎要求，而是突出以上四個方

面。

2.2主要內(nèi)容及其確定依據(jù)

本標準主要技術內(nèi)容包括以下方面：

（1）設施安全，描述了處理重要數(shù)據(jù)的信息系統(tǒng)、云平臺應滿足的安全

要求。

（2）數(shù)據(jù)處理過程的安全，重點突出重要數(shù)據(jù)全生命周期中，各處理過

程應滿足的安全要求：

收集：包括數(shù)據(jù)來源、識別、數(shù)據(jù)分類、數(shù)據(jù)分級、數(shù)據(jù)編目等要求，

重點突出采集過程的合法性和數(shù)據(jù)質(zhì)量、落實國家數(shù)據(jù)安全分類分級

制度要求等內(nèi)容；

存儲：包括存儲保護、存儲位置、存儲期限、備份與恢復等要求；

使用與加工：包括重要數(shù)據(jù)在使用和加工過程中應進行的訪問控制、

評估、審批、保密審查等方面的要求；

傳輸與提供：包括重要數(shù)據(jù)在對外提供和共享時應遵循的安全要求，

如法律文件、評估與審批、監(jiān)督與保護、交易、接收方義務、向境外

提供等內(nèi)容；

公開：公開重要數(shù)據(jù)及其加工結(jié)果時，數(shù)據(jù)處理者應采取的安全要求；

刪除：描述了數(shù)據(jù)處理者如何安全地刪除已廢棄或超出約定期限的重

要數(shù)據(jù)，包括數(shù)據(jù)刪除、介質(zhì)銷毀等。

（3）運行與管理安全，主要包括組織與人員、數(shù)據(jù)治理、供應鏈、審計、

應急處置、風險評估、配合監(jiān)督管理等運行安全要求。

組織與人員：主要體現(xiàn)法律法規(guī)提出的相關要求，包括安全負責人、

安全管理機構(gòu)、機構(gòu)變化、管理制度、人員、培訓等要求；

數(shù)據(jù)治理設施：主要從數(shù)據(jù)治理工具本身、統(tǒng)一管理等角度描述數(shù)據(jù)

治理設施的安全要求；

供應鏈管理：描述了重要數(shù)據(jù)處理者在采購管理、供應商管理、評估

等方面應遵循的要求，以更好的應對復雜、嚴峻的國際網(wǎng)絡空間安全

威脅；

應急響應：描述重要數(shù)據(jù)處理者在應急預案、演練計劃、技術團隊、

處置機制等方面的要求；

安全風險評估：描述了評估制度、評估內(nèi)容、評估時機等要求；

配合監(jiān)督管理：包括流程規(guī)范、提供技術支持、配合整改措施等。

2.3修訂前后技術內(nèi)容的對比[適用于國家標準修訂項目]

不適用。

三、試驗驗證的分析、綜述報告，技術經(jīng)濟論證，預期的經(jīng)濟效益、社會

效益和生態(tài)效益

3.1試驗驗證的分析、綜述報告

本標準給出了重要數(shù)據(jù)處理的安全要求，為數(shù)據(jù)處理者合法、正當，以及安

全地處理其掌握的重要數(shù)據(jù)提供技術支撐和最佳實踐，將有助于國家數(shù)據(jù)安全法

律法規(guī)的落地實施。經(jīng)實驗驗證，標準內(nèi)容具備合理性和可操作性，可有力支撐

數(shù)據(jù)分類分級制度落地實施。

標準試點應用由標準牽頭單位中國科學技術大學組織實施，總體負責各參與

方的協(xié)調(diào)管理、試點應用的工作推進。國家工業(yè)信息安全發(fā)展研究中心作為標準

應用推廣的牽頭單位，具體負責試點單位的選取、溝通協(xié)調(diào)等工作。

標準試驗驗證主要包括以下內(nèi)容：

確定試點單位。根據(jù)實施應用方案，確定承擔試點應用的具體單位和具

體實施細則。

檢查和評估。成員單位根據(jù)《信息安全技術重要數(shù)據(jù)處理安全要求》

評估試點單位重要數(shù)據(jù)安全防護狀況，驗證是否滿足標準要求，以及與

標準要求的能力差距，并給出整改建議。

分析總結(jié)。成員單位對實施應用工作進行總結(jié)，梳理并分析檢查和評估

結(jié)果，形成標準實施應用總結(jié)報告。

專家評審。專家組根據(jù)標準實施應用總結(jié)報告，評估標準的科學性、合

理性、完備性和可操作性，形成實施應用總結(jié)分析報告。一方面，報告

為試點企業(yè)的重要數(shù)據(jù)安全管理和合規(guī)提出了建議和改進措施，另一方

面，也為完善標準文本、促進落地實施給出了建議和最佳實踐。

3.2預期的經(jīng)濟效益、社會效益和生態(tài)效益

本標準圍繞重要數(shù)據(jù)收集、存儲、使用、傳輸、共享、刪除等處理過程中的

安全要求，為數(shù)據(jù)處理者合法、正當，以及安全地處理其掌握的重要數(shù)據(jù)提供技

術支撐和最佳實踐，將有助于《中華人民共和國數(shù)據(jù)安全法》、《網(wǎng)絡數(shù)據(jù)安全管

理條例（征求意見稿）》等數(shù)據(jù)安全監(jiān)管法律法規(guī)的落地實施。同時，也為重要

數(shù)據(jù)監(jiān)管者、測評人員等提供了實踐指南。

本標準將為我國數(shù)據(jù)安全保護，特別是重要數(shù)據(jù)管理提供基礎技術支撐，有

助于防范重要數(shù)據(jù)安全風險、完善我國網(wǎng)絡安全頂層設計，具有重大社會效益。

本標準明確了數(shù)據(jù)處理者處理重要數(shù)據(jù)的安全要求，有助于數(shù)據(jù)交易、出境安全

評估、安全審查等制度的科學、有效實施，從而便利數(shù)據(jù)跨境流動、促進國際貿(mào)

易，有利于經(jīng)濟發(fā)展與國際合作。

四、與國際、國外同類標準技術內(nèi)容的對比情況，或者與測試的國外樣品、

樣機的有關數(shù)據(jù)對比情況

目前，國際上沒有重要數(shù)據(jù)處理安全要求的標準，無法直接采標或直接借鑒。

但實際上，世界各國都對各自關心的“敏感信息”（非個人信息、非涉密系統(tǒng)）

進行管理，且多數(shù)提出了數(shù)據(jù)本地化存儲要求，嚴格管控此類數(shù)據(jù)的出境。

此外，云計算、關基信息基礎設施、人工智能等領域的國際標準也在不同程

度上涉及數(shù)據(jù)安全問題，可為本標準的編制提供經(jīng)驗借鑒。

五、以國際標準為基礎的起草情況，以及是否合規(guī)引用或者采用國際國外

標準，并說明未采用國際標準的原因

不適用。

六、與有關法律、行政法規(guī)及相關標準的關系

本標準的編制目的是為了配合《中華人民共和國數(shù)據(jù)安全法》、《網(wǎng)絡數(shù)據(jù)安

全管理條例（征求意見稿）》等數(shù)據(jù)安全監(jiān)管法律法規(guī)的落地實施。本標準在題

目中沒有突出“網(wǎng)絡數(shù)據(jù)”，但規(guī)范對象為電子形式存在的重要數(shù)據(jù)。

本標準與《信息安全技術網(wǎng)絡數(shù)據(jù)分類分級規(guī)則》等標準規(guī)范共同構(gòu)成了

數(shù)據(jù)安全處理的重要技術文件。標準編制組與國家互聯(lián)網(wǎng)信息辦網(wǎng)絡數(shù)據(jù)管理局

保持了密切溝通，且編制組主要成員與《信息安全技術網(wǎng)絡數(shù)據(jù)分類分級規(guī)則》

高度重合，工作有很好的繼承性。

標準申報組涵蓋了國家互聯(lián)網(wǎng)信息辦、工業(yè)和信息化部、國家市場監(jiān)管總局

在數(shù)據(jù)安全監(jiān)管方面的技術支撐單位。同時，還包括評估機構(gòu)、認證機構(gòu)、研究

機構(gòu)、企業(yè)、行業(yè)用戶單位，在重要數(shù)據(jù)安全評估、標準制定與推廣應用、行業(yè)

重要數(shù)據(jù)分類分級管理與實踐等方面有深入研究，經(jīng)驗豐富，為本標準制定提供

了很好的基礎。

七、重大分歧意見的處理經(jīng)過和依據(jù)

無。

八、涉及專利的有關說明

本標準不涉及專利。

九、實施國家標準