T-ISC 0047-2024 數(shù)據(jù)流通備份與審查技術(shù)通則

CCSL70Generalprinciplesforbackupandreviewtechniquesofdatacirculation2024-06-12發(fā)布中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)發(fā)布IT/ISC0047—2024前言 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14概述 25數(shù)據(jù)流通備份通用要求 25.1備份對(duì)象和媒體 25.2備份時(shí)間和頻率 25.3備份完整性和一致性 35.4備份數(shù)量和可恢復(fù)性 46數(shù)據(jù)流通審查技術(shù)要求 46.1數(shù)據(jù)來(lái)源審查 46.2數(shù)據(jù)質(zhì)量審查 56.3數(shù)據(jù)描述審查 56.4數(shù)據(jù)完整性審查 66.5數(shù)據(jù)安全審查 6參考文獻(xiàn) 7T/ISC0047—2024本文件按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起請(qǐng)注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專利的責(zé)任。本文件由中國(guó)互聯(lián)網(wǎng)協(xié)會(huì)歸口。本文件起草單位：華東師范大學(xué)、北京大學(xué)長(zhǎng)沙計(jì)算與數(shù)字經(jīng)濟(jì)研究院、清華大學(xué)丘成桐數(shù)學(xué)科學(xué)中心、運(yùn)易通科技有限公司、上海匯付支付有限公司、上海工業(yè)自動(dòng)化儀表研究院有限公司、數(shù)力聚（北京）科技有限公司、中原工學(xué)院、國(guó)科華創(chuàng)認(rèn)證有限責(zé)任公司、智研高科（北京）信息技術(shù)發(fā)展有限公司、天翼電子商務(wù)有限公司。本文件主要起草人：楊艷琴、金澈清、文偉平、尹昊、丁津泰、劉海峰、劉利、梁星元、李艷麗、周紅福、趙浩延、李樂(lè)平、楊晨光、付昆、邵奇峰、楊要科、楊小琴、張禮、喻博。T/ISC0047—2024數(shù)據(jù)是與土地、勞動(dòng)力、資本、技術(shù)并列的生產(chǎn)要素之一。數(shù)據(jù)流通是指以數(shù)據(jù)作為流通對(duì)象，按照一定規(guī)則從數(shù)據(jù)提供方傳遞到數(shù)據(jù)需求方的過(guò)程，即數(shù)據(jù)資源先后被不同主體獲取、掌握或利用的過(guò)程。數(shù)據(jù)通過(guò)流通和共享產(chǎn)生了更大的經(jīng)濟(jì)價(jià)值，為保障數(shù)據(jù)的質(zhì)量和安全，數(shù)據(jù)的流通共享需要被有效監(jiān)管。數(shù)據(jù)流通備份審查機(jī)制，針對(duì)數(shù)據(jù)流通過(guò)程中的重要數(shù)據(jù)備份進(jìn)行審查，確保數(shù)據(jù)的整體質(zhì)量、合法合規(guī)和保護(hù)數(shù)據(jù)的安全，支持?jǐn)?shù)據(jù)的恢復(fù)，避免數(shù)據(jù)的泄露。本文件通過(guò)對(duì)數(shù)據(jù)流通備份和審查通用技術(shù)要求的定義，對(duì)規(guī)范化的數(shù)據(jù)流通和交易具有指導(dǎo)意義。1T/ISC0047—2024數(shù)據(jù)流通備份與審查技術(shù)通則本文件規(guī)定了數(shù)據(jù)流通備份審查通用技術(shù)要求，包括數(shù)據(jù)流通備份通用要求和數(shù)據(jù)流通審查技術(shù)要本文件適用于政府部門、交易平臺(tái)、第三方機(jī)構(gòu)的監(jiān)管、評(píng)估、審查。2規(guī)范性引用文件下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T43697-2024數(shù)據(jù)安全技術(shù)數(shù)據(jù)分類分級(jí)規(guī)則3術(shù)語(yǔ)和定義下列術(shù)語(yǔ)和定義適用于本文件。3.1數(shù)據(jù)流通datacirculation以數(shù)據(jù)作為流通對(duì)象，按照一定規(guī)則從數(shù)據(jù)提供方傳遞到數(shù)據(jù)需求方的過(guò)程。3.2數(shù)據(jù)流通備份datacirculationbackup將數(shù)據(jù)流通過(guò)程涉及的核心數(shù)據(jù)與關(guān)鍵操作進(jìn)行備份，以對(duì)數(shù)據(jù)流通全流程的持續(xù)審查提供技術(shù)支撐。注：數(shù)據(jù)流通中的數(shù)據(jù)既指?jìng)鹘y(tǒng)數(shù)據(jù)和大數(shù)據(jù)，也指對(duì)其加工處理后的衍3.3數(shù)據(jù)審查datareview數(shù)據(jù)監(jiān)管方對(duì)流通數(shù)據(jù)的數(shù)據(jù)質(zhì)量和違法違規(guī)問(wèn)題進(jìn)行檢測(cè)評(píng)估，以實(shí)現(xiàn)事前評(píng)估或事后追責(zé)。3.4數(shù)據(jù)完整性dataintegrity數(shù)據(jù)的內(nèi)容在整個(gè)流通過(guò)程中始終是正確的、未被篡改的。3.52T/ISC0047—2024數(shù)據(jù)一致性dataconsistency數(shù)據(jù)庫(kù)或分布式系統(tǒng)多個(gè)節(jié)點(diǎn)存儲(chǔ)的數(shù)據(jù)副本之間保持了相同的狀態(tài)和值，以確保數(shù)據(jù)的準(zhǔn)確和可靠，避免數(shù)據(jù)的丟失或錯(cuò)誤。4概述本文件規(guī)定了數(shù)據(jù)流通備份與審查活動(dòng)的行為，主要涉及數(shù)據(jù)交易、數(shù)據(jù)公開(kāi)、數(shù)據(jù)共享等場(chǎng)景。數(shù)據(jù)交易是數(shù)據(jù)提供方和數(shù)據(jù)需求方之間以數(shù)據(jù)商品為交易對(duì)象，以貨幣或其等價(jià)物來(lái)交換數(shù)據(jù)商品的行為，典型場(chǎng)景如醫(yī)療數(shù)據(jù)交易。數(shù)據(jù)公開(kāi)是數(shù)據(jù)提供方因社會(huì)職責(zé)要求而非營(yíng)利性地公開(kāi)數(shù)據(jù)以供數(shù)據(jù)需求方使用的行為，典型場(chǎng)景如政府?dāng)?shù)據(jù)公開(kāi)。數(shù)據(jù)共享是數(shù)據(jù)提供方以共享己方生產(chǎn)數(shù)據(jù)為代價(jià)而換取其他數(shù)據(jù)提供方生產(chǎn)數(shù)據(jù)的行為，典型場(chǎng)景如行業(yè)數(shù)據(jù)共享。作為數(shù)據(jù)提供方的企業(yè)、機(jī)構(gòu)或組織，有責(zé)任對(duì)流通數(shù)據(jù)進(jìn)行備份以接受監(jiān)管方的評(píng)估和審查。本文件包含數(shù)據(jù)流通備份通用要求和數(shù)據(jù)流通審查技術(shù)要求兩部分。其中，數(shù)據(jù)流通備份通用要求規(guī)定了與數(shù)據(jù)流通備份相關(guān)的對(duì)象和媒體、頻率和時(shí)間、完整性和一致性、數(shù)量和可恢復(fù)性等內(nèi)容。數(shù)據(jù)流通審查技術(shù)要求指明了與數(shù)據(jù)流通備份相關(guān)的數(shù)據(jù)來(lái)源、數(shù)據(jù)質(zhì)量、數(shù)據(jù)描述、數(shù)據(jù)完整性等審查技術(shù)。規(guī)范化備份的目的是為了實(shí)現(xiàn)對(duì)備份數(shù)據(jù)的規(guī)范化審查。備份的目的是保障流通數(shù)據(jù)可靠存證，審查的目的是保障備份存證真實(shí)有效。因此，數(shù)據(jù)流通審查技術(shù)要求是對(duì)數(shù)據(jù)流通備份通用要求的補(bǔ)充拓展。5數(shù)據(jù)流通備份通用要求5.1備份對(duì)象和媒體5.1.1備份對(duì)象備份對(duì)象是需要被備份的數(shù)據(jù)集合，應(yīng)滿足以下要求：a）備份對(duì)象要根據(jù)流通審查的數(shù)據(jù)重要性進(jìn)行區(qū)分，有行業(yè)監(jiān)管標(biāo)準(zhǔn)的按行業(yè)監(jiān)管標(biāo)準(zhǔn)進(jìn)行區(qū)分，沒(méi)有行業(yè)監(jiān)管標(biāo)準(zhǔn)的按數(shù)據(jù)對(duì)企業(yè)的經(jīng)濟(jì)影響和社會(huì)影響程度來(lái)確定；b）備份對(duì)象要以量化形式確定數(shù)據(jù)的分級(jí)標(biāo)準(zhǔn)，按GB/T43697-2024的要求執(zhí)行；c）備份對(duì)象需要包含數(shù)據(jù)關(guān)聯(lián)性；d）備份對(duì)象包括但不限于結(jié)構(gòu)化數(shù)據(jù)，半結(jié)構(gòu)化數(shù)據(jù)，非結(jié)構(gòu)化數(shù)據(jù)及混合模式數(shù)據(jù)。5.1.2備份媒體備份媒體也稱為備份介質(zhì)，是存放備份數(shù)據(jù)的物理載體，應(yīng)滿足以下要求：a)備份媒體包括但不限于磁帶設(shè)備、通用NAS存儲(chǔ)、物理或虛擬帶庫(kù)、光存儲(chǔ)、分布式對(duì)象存儲(chǔ)b)備份媒體可以根據(jù)審查備份數(shù)據(jù)特性進(jìn)行選擇；c)備份媒體的選擇因素包括但不限于備份效率、空間及成本；d)備份媒體存取效率影響數(shù)據(jù)的恢復(fù)目標(biāo)，備份媒體的空間要求及擴(kuò)展要求與審查備份對(duì)象的量級(jí)相關(guān)，備份媒體是否可以使用公有云資源由審查備份對(duì)象的重要性和安全性決定；e)備份媒體存放環(huán)境及物理基礎(chǔ)設(shè)施的安全保護(hù)等級(jí)按GB/T22239-2019的要求執(zhí)行。5.2備份時(shí)間和頻率5.2.1備份時(shí)間3T/ISC0047—2024備份時(shí)間是備份的時(shí)間點(diǎn)，備份時(shí)間的設(shè)定需保證監(jiān)管可對(duì)指定版本的數(shù)據(jù)進(jìn)行審查，應(yīng)滿足以下要求：a)備份時(shí)間需要結(jié)合審查備份對(duì)象的量級(jí)、備份對(duì)象的具體類型、極端條件下對(duì)數(shù)據(jù)恢復(fù)時(shí)間及數(shù)據(jù)丟失量的容忍程度、數(shù)據(jù)備份平臺(tái)及備份媒體的性能特性；b)備份時(shí)間需要結(jié)合備份策略，備份策略根據(jù)備份對(duì)象等級(jí)分為全量備份、增量備份、差量備份或混合備份；c)備份時(shí)間通過(guò)備份作業(yè)設(shè)置，備份的作業(yè)時(shí)間需在規(guī)定的時(shí)間窗口完成，根據(jù)備份作業(yè)實(shí)際情況，動(dòng)態(tài)調(diào)整備份時(shí)間窗口及離線歸檔；d)根據(jù)審查要求確定備份歸檔及保存時(shí)間。5.2.2備份頻率備份頻率是備份的時(shí)間間隔，備份頻率的設(shè)定需保證監(jiān)管可對(duì)指定版本的數(shù)據(jù)進(jìn)行審查，應(yīng)滿足以下要求：a)備份頻率需要結(jié)合備份對(duì)象的量級(jí)、變化速度及待備份系統(tǒng)的繁忙程度進(jìn)行設(shè)置；b)備份頻率通過(guò)備份作業(yè)設(shè)置，備份的作業(yè)需在設(shè)置的頻率下正常觸發(fā)，如果有中斷，需要有補(bǔ)發(fā)機(jī)制保證備份作業(yè)正常執(zhí)行；c)備份頻率可以根據(jù)審查對(duì)象變化動(dòng)態(tài)調(diào)整。5.3備份完整性和一致性5.3.1備份完整性備份完整性對(duì)流通數(shù)據(jù)生成備份副本的過(guò)程進(jìn)行了規(guī)范和保障，備份完整性確保備份未被篡改，滿足以下要求：a）備份的流通數(shù)據(jù)應(yīng)包含必要的元數(shù)據(jù)描述，包括但不限于備份名稱、備份總數(shù)、備份創(chuàng)建者、備份創(chuàng)建日期、備份數(shù)據(jù)容量等數(shù)據(jù)字段；b）備份的流通數(shù)據(jù)若應(yīng)用了數(shù)據(jù)壓縮技術(shù)，應(yīng)確保被壓縮數(shù)據(jù)能通過(guò)相應(yīng)壓縮軟件的完整性檢測(cè)，未出現(xiàn)損壞或缺失報(bào)錯(cuò)；c）備份的流通數(shù)據(jù)應(yīng)能通過(guò)基本數(shù)據(jù)格式驗(yàn)證并成功被相應(yīng)的業(yè)務(wù)程序解析，包括但不限于txt、json、xls、xml、csv等常用的數(shù)據(jù)存儲(chǔ)格式；d）備份的流通數(shù)據(jù)應(yīng)包含至少1個(gè)完整性校驗(yàn)碼，宜采用國(guó)家密碼局推薦的國(guó)密哈希算法SM3，可與原始數(shù)據(jù)的校驗(yàn)碼對(duì)比以檢查備份內(nèi)容是否被篡改；e）備份的流通數(shù)據(jù)應(yīng)包含備份者的數(shù)字簽名，宜采用國(guó)家密碼局推薦的國(guó)密簽名算法SM2，用以保障對(duì)創(chuàng)建備份副本的不可否認(rèn)和不可抵賴。5.3.2備份一致性備份一致性對(duì)流通數(shù)據(jù)生成備份副本的過(guò)程進(jìn)行了規(guī)范和保障，以確保備份數(shù)據(jù)與原始數(shù)據(jù)的數(shù)據(jù)一致性，應(yīng)滿足以下要求：a）確保任一備份副本內(nèi)容均與數(shù)據(jù)提供方提供的原始數(shù)據(jù)內(nèi)容保持一致，可采用完整性校驗(yàn)碼檢驗(yàn)數(shù)據(jù)一致性；b）確保多個(gè)備份副本之間除數(shù)據(jù)描述外的備份內(nèi)容保持一致，可通過(guò)多種不同的哈希算法計(jì)算哈希值進(jìn)行比對(duì)，可采用國(guó)家密碼局推薦的國(guó)密哈希算法以及國(guó)際通用的標(biāo)準(zhǔn)哈希算法；c）確保多個(gè)備份副本采用的數(shù)據(jù)存儲(chǔ)方式保持一致，例如內(nèi)容的數(shù)據(jù)格式、壓縮的算法類型等；d）確保備份元數(shù)據(jù)描述中的備份總數(shù)與實(shí)際備份副本數(shù)量保持一致；4T/ISC0047—2024e）確保能夠成功驗(yàn)證備份副本數(shù)字簽名的公鑰與備份方提供身份認(rèn)證的公鑰保持一致。5.4備份數(shù)量和可恢復(fù)性5.4.1備份數(shù)量備份數(shù)量對(duì)利用備份副本還原原始數(shù)據(jù)的過(guò)程進(jìn)行了規(guī)范和保障，備份數(shù)量確保有足夠冗余，應(yīng)滿足以下要求：a）確保流通數(shù)據(jù)至少擁有2份以上的備份副本，用于做相互驗(yàn)證以增加備份魯棒性，確保備份數(shù)據(jù)能快速恢復(fù)與應(yīng)對(duì)區(qū)域級(jí)的故障；b）確保流通數(shù)據(jù)與備份副本存儲(chǔ)在不同機(jī)器，以避免單點(diǎn)故障導(dǎo)致原始數(shù)據(jù)和備份副本同時(shí)丟失，在合法合規(guī)前提下，也可考慮采用云存儲(chǔ)托管備份副本；c）確保多個(gè)備份副本中至少有1份存儲(chǔ)在不同城區(qū)的物理機(jī)房，以防止自然災(zāi)害等不可抗力因素導(dǎo)致的備份副本完全丟失，在合法合規(guī)前提下，可考慮在云存儲(chǔ)中選取不同的地理位置。5.4.2可恢復(fù)性可恢復(fù)性對(duì)利用備份副本還原原始數(shù)據(jù)的過(guò)程進(jìn)行了規(guī)范和保障，可恢復(fù)性確保能夠正確還原原始數(shù)據(jù)，應(yīng)滿足以下要求：a）當(dāng)原始數(shù)據(jù)損壞或丟失時(shí)，可通過(guò)多備份副本校驗(yàn)完整性并修復(fù)還原原始數(shù)據(jù)；b）當(dāng)檢查到部分備份副本損壞導(dǎo)致不一致時(shí)，可通過(guò)其他備份副本校驗(yàn)完整性并修復(fù)被損壞的備份副本；c）當(dāng)檢查到部分備份副本丟失時(shí)，可通過(guò)其他備份副本校驗(yàn)完整性并還原被丟失的備份副本；d）當(dāng)備份副本內(nèi)容被數(shù)據(jù)壓縮時(shí)，可解壓縮還原備份副本內(nèi)容；e）當(dāng)流通數(shù)據(jù)內(nèi)容被數(shù)據(jù)壓縮時(shí)，可解壓縮還原流通數(shù)據(jù)內(nèi)容。6數(shù)據(jù)流通審查技術(shù)要求6.1數(shù)據(jù)來(lái)源審查6.1.1數(shù)據(jù)來(lái)源驗(yàn)證數(shù)據(jù)來(lái)源驗(yàn)證用于驗(yàn)證流通數(shù)據(jù)來(lái)源的合法性，審查數(shù)據(jù)采集過(guò)程是否合規(guī)。a）文檔審查。文檔審查是識(shí)別數(shù)據(jù)來(lái)源的重要方法，應(yīng)滿足以下要求：1）獲取相關(guān)文檔：收集與數(shù)據(jù)來(lái)源有關(guān)的所有文件，包括數(shù)據(jù)采集方法、數(shù)據(jù)處理流程、數(shù)據(jù)存檔等；2）分析文檔：分析文檔以了解數(shù)據(jù)來(lái)源的性質(zhì)、用途、數(shù)據(jù)生成過(guò)程和質(zhì)量控制措施；3）檢查數(shù)據(jù)源標(biāo)識(shí)：確保文檔中包含有關(guān)數(shù)據(jù)來(lái)源的明確標(biāo)識(shí)，包括來(lái)源的名稱、負(fù)責(zé)機(jī)構(gòu)和聯(lián)系信息；4）評(píng)估數(shù)據(jù)處理流程：審查數(shù)據(jù)處理步驟，確認(rèn)數(shù)據(jù)在采集和處理過(guò)程中是否受到適當(dāng)?shù)墓芾砗捅O(jiān)督。b）采樣審查。采樣審查適用于大規(guī)模數(shù)據(jù)源，應(yīng)滿足以下要求：1）制定采樣計(jì)劃：明確定義采樣的范圍、目標(biāo)和方法，確保采樣具有代表性；2）數(shù)據(jù)采集：從數(shù)據(jù)來(lái)源中隨機(jī)或系統(tǒng)性地選擇樣本以獲取數(shù)據(jù)的代表性快照；3）數(shù)據(jù)驗(yàn)證：驗(yàn)證采樣數(shù)據(jù)的準(zhǔn)確性和一致性，以確定數(shù)據(jù)來(lái)源可靠；4）確認(rèn)來(lái)源標(biāo)識(shí)：確保每個(gè)樣本都有明確的來(lái)源標(biāo)識(shí)以便追溯數(shù)據(jù)。c）數(shù)據(jù)供應(yīng)商審查。如果數(shù)據(jù)來(lái)源是數(shù)據(jù)供應(yīng)商，應(yīng)滿足以下要求：5T/ISC0047—20241）供應(yīng)商背景調(diào)查：研究供應(yīng)商的信譽(yù)、歷史和專業(yè)背景，以確定其可信度；2）合同審查：審查合同以確保合同中明確定義了數(shù)據(jù)的質(zhì)量、交付和支持要求；3）績(jī)效監(jiān)控：建立供應(yīng)商績(jī)效監(jiān)控機(jī)制以定期評(píng)估數(shù)據(jù)質(zhì)量和供應(yīng)商的服務(wù)；4）風(fēng)險(xiǎn)管理：評(píng)估供應(yīng)商引入的風(fēng)險(xiǎn)，包括數(shù)據(jù)不一致性、數(shù)據(jù)泄露和數(shù)據(jù)安全風(fēng)險(xiǎn)，采取適當(dāng)?shù)娘L(fēng)險(xiǎn)管理措施。6.1.2數(shù)據(jù)可信度評(píng)估數(shù)據(jù)可信度評(píng)估用以審查流通數(shù)據(jù)來(lái)源的可信度，以對(duì)數(shù)據(jù)的質(zhì)量和準(zhǔn)確性進(jìn)行評(píng)估。a）數(shù)據(jù)比對(duì)與驗(yàn)證。數(shù)據(jù)比對(duì)與驗(yàn)證將備份數(shù)據(jù)與原始數(shù)據(jù)進(jìn)行比對(duì)以檢驗(yàn)數(shù)據(jù)質(zhì)量，應(yīng)滿足以下要求：1）參考數(shù)據(jù)：獲得來(lái)自可信數(shù)據(jù)源的參考數(shù)據(jù)，檢驗(yàn)參考數(shù)據(jù)的準(zhǔn)確性和可信性；2）數(shù)據(jù)比對(duì)：將要審查的數(shù)據(jù)與參考數(shù)據(jù)進(jìn)行比對(duì)，檢查數(shù)據(jù)之間的差異性和不一致性；3）驗(yàn)證準(zhǔn)確性：確定數(shù)據(jù)的準(zhǔn)確性，識(shí)別任何不一致性和錯(cuò)誤。b）專家評(píng)估。專家評(píng)估是一種系統(tǒng)性的評(píng)估方法，依賴于領(lǐng)域?qū)＜一驍?shù)據(jù)管理專家的經(jīng)驗(yàn)和判斷，應(yīng)滿足以下要求：1)專家資格：招募具有相關(guān)領(lǐng)域知識(shí)和經(jīng)驗(yàn)的專家，確保專家組成員具備可靠的專業(yè)背景和行業(yè)經(jīng)驗(yàn)；2）評(píng)估標(biāo)準(zhǔn)制定：制定清晰的評(píng)估標(biāo)準(zhǔn)和指導(dǎo)原則，以幫助專家評(píng)估數(shù)據(jù)可信度。評(píng)估標(biāo)準(zhǔn)應(yīng)涵蓋數(shù)據(jù)來(lái)源的可靠性、數(shù)據(jù)收集和處理的合規(guī)性、數(shù)據(jù)完整性等方面；3）數(shù)據(jù)審查：專家組對(duì)數(shù)據(jù)進(jìn)行全面審查，考慮數(shù)據(jù)的來(lái)源、采集方法、處理過(guò)程和相關(guān)文檔。審查過(guò)程應(yīng)注重發(fā)現(xiàn)數(shù)據(jù)質(zhì)量問(wèn)題、潛在的誤差或不一致性；4）專家評(píng)分：專家根據(jù)評(píng)估標(biāo)準(zhǔn)和經(jīng)驗(yàn)，對(duì)數(shù)據(jù)的可信度進(jìn)行評(píng)分。評(píng)分應(yīng)采用一致的標(biāo)準(zhǔn)和嚴(yán)謹(jǐn)?shù)姆椒ㄟM(jìn)行，確保評(píng)估結(jié)果的客觀性和準(zhǔn)確性。6.2數(shù)據(jù)質(zhì)量審查數(shù)據(jù)質(zhì)量審查是指在數(shù)據(jù)流通過(guò)程中實(shí)施數(shù)據(jù)有效性檢查，確保數(shù)據(jù)發(fā)揮應(yīng)有的流通價(jià)值，應(yīng)滿足以下要求：a）數(shù)據(jù)容量檢查：獲取流通數(shù)據(jù)的容量尺寸，數(shù)據(jù)容量過(guò)大則不利于數(shù)據(jù)傳輸，可考慮拆分成多個(gè)數(shù)據(jù)包，確保數(shù)據(jù)流轉(zhuǎn)順利；b）數(shù)據(jù)格式檢查：獲取流通數(shù)據(jù)的文件格式，檢查數(shù)據(jù)內(nèi)容與格式是否匹配，結(jié)合數(shù)據(jù)格式判斷數(shù)據(jù)類型是否合適，是否支持通用的文件格式或能以兼容模式讀??；c）數(shù)據(jù)約束檢查：讀取流通數(shù)據(jù)內(nèi)容，檢查數(shù)據(jù)值是否滿足對(duì)應(yīng)約束，如整型是否超出界限、字符型是否包含特殊字符、布爾型是否滿足規(guī)范等；d）數(shù)據(jù)字段檢查：讀取流通數(shù)據(jù)內(nèi)容，檢查是否存在空白字段，是否存在多余字段，以及字段數(shù)量與描述是否不匹配，確保數(shù)據(jù)定義有效；e）數(shù)據(jù)條目檢查：利用統(tǒng)計(jì)和分析手段，檢查數(shù)據(jù)是否包含重復(fù)條目，是否有不滿足約束檢查和字段檢查的條目，通過(guò)人工比對(duì)發(fā)現(xiàn)無(wú)用條目；f）數(shù)據(jù)時(shí)間檢查：從元數(shù)據(jù)中讀取流通數(shù)據(jù)的創(chuàng)建時(shí)間、不同版本的修改時(shí)間、數(shù)據(jù)有效的截止時(shí)間等，檢查當(dāng)前時(shí)間是否在有效范圍內(nèi)。6.3數(shù)據(jù)描述審查6T/ISC0047—2024數(shù)據(jù)描述審查用以確保數(shù)據(jù)集的元數(shù)據(jù)與描述信息足夠詳細(xì)，使需求方能夠理解和有效使用數(shù)據(jù)，應(yīng)滿足以下要求：a）元數(shù)據(jù)檢查：檢查數(shù)據(jù)集的元數(shù)據(jù)，包括數(shù)據(jù)類型、字段名稱、單位等信息，驗(yàn)證元數(shù)據(jù)是否準(zhǔn)確，是否與數(shù)據(jù)內(nèi)容相匹配；b）描述清晰度檢查：評(píng)估數(shù)據(jù)描述的清晰度和易讀性，確保數(shù)據(jù)集的描述信息包括適當(dāng)?shù)谋尘爸R(shí)和上下文信息；c）數(shù)據(jù)質(zhì)量檢查：確保數(shù)據(jù)描述中包括數(shù)據(jù)質(zhì)量信息，如數(shù)據(jù)完整性、準(zhǔn)確性和更新頻率等，驗(yàn)證數(shù)據(jù)質(zhì)量信息是否與實(shí)際數(shù)據(jù)質(zhì)量一致；d）分類分級(jí)信息檢查。對(duì)來(lái)自不同業(yè)務(wù)場(chǎng)景的數(shù)據(jù)（如：研發(fā)、生產(chǎn)、運(yùn)維、管理等）建立驗(yàn)證機(jī)制，確定其分類信息；并通過(guò)數(shù)據(jù)的領(lǐng)域、群體、區(qū)域、精度、規(guī)模、深度、覆蓋度、重要性等指標(biāo)，評(píng)估其分級(jí)信息；以能夠限定相關(guān)人員的訪問(wèn)權(quán)限，防止非授權(quán)訪問(wèn)。6.4數(shù)據(jù)完整性審查數(shù)據(jù)完整性審查是指在數(shù)據(jù)流通過(guò)程中實(shí)施可用性檢查，確保流通數(shù)據(jù)整體質(zhì)量，應(yīng)滿足以下要求：a）數(shù)據(jù)描述檢查：讀取流通數(shù)據(jù)提供的元數(shù)據(jù)內(nèi)容，檢查相應(yīng)字段是否與數(shù)據(jù)匹配，如數(shù)據(jù)條目數(shù)量、數(shù)據(jù)存儲(chǔ)位置、數(shù)據(jù)文件類型等；b）數(shù)據(jù)壓縮檢查：若應(yīng)用了數(shù)據(jù)壓縮技術(shù)，需檢查數(shù)據(jù)是否通過(guò)相應(yīng)壓縮軟件的完整性測(cè)試；c）數(shù)據(jù)校驗(yàn)檢查：讀取流通數(shù)據(jù)提供的校驗(yàn)碼，根據(jù)描述信息采用相應(yīng)的函數(shù)計(jì)算校驗(yàn)碼并檢查是否與數(shù)據(jù)備份時(shí)提交的校驗(yàn)碼匹配；d）數(shù)據(jù)簽名檢查：讀取流通數(shù)據(jù)提供的簽名信息，檢查公鑰提供者身份是否與描述信息匹配，執(zhí)行相應(yīng)的驗(yàn)證算法判定簽名是否有效；e）數(shù)據(jù)備份檢查：讀取流通數(shù)據(jù)提供的備份信息，檢查備份的副本數(shù)量和存儲(chǔ)位置是否與描述信息匹配，根據(jù)備份的完整性和一致性要求檢查備份是否可用。6.5數(shù)據(jù)安全審查數(shù)據(jù)安全審查用以確保流通數(shù)據(jù)處于有效保護(hù)和合法利用的狀態(tài)，以及具備保障持續(xù)安全狀態(tài)的能力，應(yīng)滿足以下要求：a）數(shù)據(jù)識(shí)別：識(shí)別流通數(shù)據(jù)中涉及的敏感數(shù)據(jù)，包括個(gè)人信息、重要數(shù)據(jù)和其他數(shù)據(jù)，形成數(shù)據(jù)保護(hù)目錄，并及時(shí)更新；b）分類分級(jí)：按照相關(guān)國(guó)家標(biāo)準(zhǔn)、合同規(guī)定和業(yè)務(wù)運(yùn)營(yíng)需要，對(duì)所識(shí)別的數(shù)據(jù)按照行業(yè)領(lǐng)域以及本身業(yè)務(wù)屬性完成分類，并根據(jù)其在具體業(yè)務(wù)場(chǎng)景中的重要程度完成分級(jí)；c）風(fēng)險(xiǎn)防控：對(duì)流通數(shù)據(jù)應(yīng)履行數(shù)據(jù)安全保護(hù)義務(wù)，加強(qiáng)風(fēng)險(xiǎn)監(jiān)測(cè)，應(yīng)采取加密、脫敏、訪問(wèn)控制、審計(jì)等技術(shù)或者其他必要措施，保護(hù)數(shù)據(jù)免受泄露、竊取、篡改、損毀、不正當(dāng)使用；d）審計(jì)追溯：對(duì)流通數(shù)據(jù)的全生命周期進(jìn)行記錄，確保流通過(guò)程可審計(jì)、可追溯；e）隱私技術(shù)審查：結(jié)合密碼學(xué)及隱私計(jì)算前沿技術(shù)（如：安全多方計(jì)算、同態(tài)加密、可搜索加密、可信執(zhí)行環(huán)境TEE、后量子密碼等），對(duì)涉及國(guó)家利益、公共安全、商業(yè)秘密、個(gè)人隱私等重要數(shù)據(jù)實(shí)現(xiàn)隱私保護(hù)，但需要對(duì)相應(yīng)技術(shù)及其保護(hù)結(jié)果的安全性、有效性和可靠性進(jìn)行審查和驗(yàn)證。7T/ISC0047—2024參考文獻(xiàn)[1]GB/T20984信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法[2]GB/T29765—2021信息安全技術(shù)數(shù)據(jù)備份與恢復(fù)產(chǎn)品技術(shù)要求與測(cè)試評(píng)價(jià)方法[3]GB/T35273—2020信息安全技術(shù)個(gè)人信息安全規(guī)范[4]GB/T37988—2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型[5]GB/T39335—2020信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南[6]GB/T39461—2020國(guó)際物流信息系統(tǒng)數(shù)據(jù)接口[7]GB/T40217—2021財(cái)經(jīng)信息技術(shù)養(yǎng)老保險(xiǎn)基金審計(jì)數(shù)據(jù)接口[8]GB/T41