信息技术服务 数据安全能力模型编制说明.docx

《信息技术服务 数据安全能力模型编制说明.docx》由会员分享，可在线阅读，更多相关《信息技术服务 数据安全能力模型编制说明.docx（5页珍藏版）》请在第一文库网上搜索。

1、信息技术服务数据安全能力模型标准编制说明一、任务来源信息技术服务数据安全能力模型由中国电子信息行业联合会提出并归口。本团体标准由广州赛宝认证中心服务有限公司牵头制定，工业和信息化部电子第五研究所、深信服科技股份有限公司、华为技术有限公司、数字广东网络建设有限公司、杭州安恒信息技术股份有限公司、北京安华金和科技有限公司、西安电子科技大学等多家数据安全服务提供厂商、标准专家共同参与起草。二、编制背景数字时代，数据已成为重要生产要素及国家基础性战略资源，我国也在持续推进并加强数据安全治理工作。2017年12月8日，习近平总书记在中共中央政治局就实施国家大数据战略进行第二次集体学习时提出：“要切实保障

2、国家数据安全，强化国家关键数据资源保护能力。”数据资源保护上升至国家战略层面。2019年11月，在十九届四中全会首次提出数据可作为生产要素按贡献参与分配，数据价值的提高对数据安全保护提出更高要求。2023年6月10B,全国人大常委会第二十九次会议通过了我国首部数据保护领域专项法律中华人民共和国数据安全法，以国家法律的形式对我国数据安全保护工作提出要求，并明确说明我国促进并支持数据安全检测评估、认证等服务发展和活动开展。2023年10月，中共中央、国务院印发国家标准化发展纲要，也明确提出要强化数据安全领域标准的制定与实施。根据国家的相关规划和部署，中国电子信息行业联合会、广州赛宝认证中心服务有限

3、公司、工业和信息化部电子第五研究所等多家单位共同起草了信息技术服务数据安全能力模型相关标准，目的是通过团体标准的实施提升信息技术服务行业的数据安全能力整体水平，并为科学公正评价信息技术服务企业的数据安全能力提供依据。三、编制原则本标准的编制旨在为确保数据安全服务商提供的服务符合国家法律法规要求，确保其提供的数据安全服务具备持续长效的安全运营能力，规范和指导其数据服务安全能力建设；同时也为第三方机构对数据安全服务提供者的服务能力进行评估提供评估依据。本标准的编制遵循以下几个原则：(1)合规性：本标准在编制过程中始终遵循与我国现有的法律法规、标准规范等规定相一致的原则，同时也兼顾行业主管及监管部门

4、对数据进行安全管理的实际监管要求；(2)适用性：本标准在编制过程中始终坚持信息技术服务数据安全能力体系在行业的普遍适用性，适用于指导数据安全服务提供者的数据安全能力建设，也适用于第三方机构对数据安全服务提供者的数据安全服务能力进行评估；(3)先进性:标准反映当今及未来一段时间内信息技术服务数据安全行业发展特点、趋势及技术发展方向；(4)开放性：标准的编制、评审与使用向全行业公开，具有开放性。四、编制工作过程简要说明1、2023年2月，赛宝认证中心筹备标准编写相关工作。2、2023年3月，召开信息技术服务数据安全能力模型标准编制启动工作会。3、2023年3月，组建标准编制内部工作组，启动标准草案

5、编制工作。4、2023年4月，调研、研讨标准框架。6、2023年5月-6月，标准草案条款编制。7、2023年6月，形成标准草案，标准编制单位反馈，修订标准草案。五、标准结构和内容说明5.1 标准建设的必要性和充分性论证本标准的编制可填补国内外信息技术服务数据安全能力评估标准的空白。一是国外的大部分数据安全的法律、法规、标准等都是站在数据本身的安全角度进行制定的，目前还没有颁布专门针对关于信息服技术服务数据安全能力方面的标准和要求。比如欧盟发布的欧洲数据保护监管局战略计划(2023-2024)，从前瞻性、行动性和协调性三个方面要求继续加强数据安全保护，以保障个人隐私权。美国发布的联邦数据战略与2

6、023年行动计划，从数据完整性、流通数据真实性、数据存储安全性等方面提出了要求。欧盟发布的为保持欧盟个人数据保护级别而采用的数据跨境转移工具补充措施，是针对数据跨境流动中的数据保护问题而提供的指导性建议；当前，国外专门针对数据安全服务能力评估的相关标准较为欠缺。二是国内的数据安全相关工作紧跟时代发展，已制定和颁布了众多的数据安全相关的法律法规和标准，目前也暂无发布信息技术服务数据安全能力评估相关的标准和要求。2016年，全国信息安全标准化技术委员会（SAC/TC260,简称“信安标委”）成立大数据安全标准化特别工作组，并成功启动了第一批大数据安全标准编制和预研工作。目前，TC260已开展9项数

7、据安全标准研制项目，其中，已发布标准4项，在研标准5项。安全要求类标准包括GB/T35274-2017信息安全技术大数据服务安全能力要求、GB/T37932-2019信息安全技术数据交易服务安全要求及信息安全技术政务信息共享数据安全技术要求，分别针对大数据服务、数据交易及政务信息共享的情景提出了安全要求。在实施指南类标准方面，GB/T27973-2019信息安全技术大数据安全管理指南提出了大数据安全管理基本概念，重点阐述了大数据安全管理的目标、主要内容、角色与责任。在检测评估类标准方面，GB/T37988-2019信息安全技术数据安全能力成熟度模型提出了数据安全能力成熟度框架，明确了成熟度各等

8、级的数据安全要求及相关评估方法。可见，我国在信息技术服务数据安全能力方面的相关标准还较为欠缺，但以上这些标准的出现也为本标准的实施奠定了良好的基础。综上所述，信息技术服务数据安全能力模型标准的编制，对于实现国家数据安全战略，实现标准的国际化接轨与领先有着重要的意义。5.2标准结构信息技术服务数据安全能力模型包括初始级、发展级、稳健级、优秀级、卓越级五个等级，从低到高分别用一、二、三、四、五表示。本模型规定了服务安全保障能力、数据处理安全能力、服务交付能力方面应满足的要求。本模型适用于信息技术服务供方数据安全能力的建立、保持和改进服务能力，也适用于评价供方数据安全服务能力O本标准主要框架如下：1

9、 .范围2 .规范性引用文件3 .术语和定义4 .服务安全保障能力4.1 组织控制4.2 人员控制4.3 物理控制4.4 技术控制5 .数据处理安全能力5.1 数据收集安全5.2 数据存储安全5.3 数据使用加工安全5.4 数据传输安全5.5 数据提供公开安全5.6 数据销毁安全5.7 数据处理通用安全能力6 .服务安全交付能力6.1 交付安全管理6.2 交付安全策划6.3 交付安全活动6.4 服务成果安全规范性引用文件GB/T37988-2019信息安全技术数据安全能力成熟度模型GB/T41479-2023信息安全技术网络数据处理安全要求GB/T39770-2023信息技术服务服务安全要求GB/T28827-2012信息技术服务运维服务能力成熟度模型IS0/IEC27002:2023信息安全、网络安全和隐私保护-信息安全控制六、与相关法律法规及国家有关规定、国内相关标准的关系本标准编制工作在充分调研国内法律法规要求的基础上进行的编制，标准内容能够符合法律法规要求。目前国内还没有信息技术服务数据安全能力要求的标准，因此不存在标准之间的冲突问题。七、重大分歧意见的处理经过和依据暂未涉及。八、其他事项说明本标准不涉及专利。信息技术服务数据安全能力模型标准编制工作组2023年6月