TCIIA 017-2022 科学数据 安全标准体系

ICS35.020CCSL80团体标准T/CIIA017—2022科学数据安全标准体系Scientificdata-Standardsystemforsecurity2022-10-20发布2022-10-20实施中国信息协会发布T/CIIA017—2022I目次前言.................................................................................II引言................................................................................III1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14总体原则...........................................................................1需求导向，问题导向.............................................................1兼顾已有，突出特点.............................................................1实用为主，适应发展.............................................................25标准体系结构.......................................................................2体系框架.......................................................................2体系逻辑关系...................................................................2子体系的内容及范围.............................................................36标准明细表.........................................................................7附录A（规范性）科学数据安全标准明细表...............................................8参考文献.............................................................................13T/CIIA017—2022II前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息协会提出并归口。本文件起草单位：中国标准化研究院、中国科学院计算机网络信息中心、北京云迹科技股份有限公司、四川省大数据中心、广东省科技基础条件平台中心、华中科技大学、广州物联网研究院、兰州大学、中国科学技术信息研究所、北京神州数码云计算有限公司、中国科学院昆明动物研究所、华为技术有限公司、南方海洋科学与工程广东省实验室（珠海）、山东旗帜信息有限公司、翼健（上海）信息科技有限公司、中路高科交通科技集团有限公司、北京山水云图科技有限公司、杭州半云科技有限公司、杭州默安科技有限公司、北京声智科技有限公司、中国兵器装备集团西南技术工程研究所、广东省科学院广州地理研究所、山东亿云信息技术有限公司、交通运输部天津水运工程科学研究所、慧博云通科技股份有限公司、国网新疆电力有限公司、北京国金汇德工程管理有限公司、广州广电计量检测股份有限公司、中科星睿科技（北京）有限公司、云南省统计建模与数据分析重点实验室、数字扁担（浙江）科技有限公司、中国地震局地球物理研究所、中国核动力研究设计院、华数云科技有限公司、北京建筑大学、中国科学院武汉病毒研究所、中电鸿信信息科技有限公司、宁波市测绘和遥感技术研究院、北京滴普科技有限公司、河北平普数政科技有限公司、烽火通信科技股份有限公司、北京网智易通科技有限公司、北京蓝象标准咨询服务有限公司。本文件主要起草人：徐凯程、廖方宇、支涛、王志强、李蒙科、刘冬梅、方少亮、邱瀚、白鹤飞、张莺耀、杨青海、甘锦辉、姜楠、吕雪梅、胡良霖、李瑞轩、朱艳华、姚家渭、张金贵、胡红亮、汪利辉、陈孝良、张伦武、舒畅、荆文龙、李钊、尚东方、余浩、邹岳琳、陈冬、王向章、区东、唐年胜、王梦婕、李丽、张倬、周芸、荣玥芳、邓菲、许敏、王芬旗、胡鑫、张兆德、田松、刘健、胡善勇、王亚楠、荣月婷、王波、赵欢、金岩、乔华阳、张德保、王新亮、马建红、段小莉。本文件首次发布。T/CIIA017—2022III引言科学数据是国家科技创新发展和经济社会发展的重要基础性战略资源，是信息时代传播速度最快、影响面最宽，开发利用潜力最大的科技资源，其安全性尤为重要。为了确保科学数据在全生命周期内的保密性、完整性、可用性、可控性、可追踪性和不可否认性，促进科学数据的有效保护、开放共享和合规使用，满足适合当前科技创新的科学数据管理的安全需求，需要运用标准化的手段进行规范保障。紧贴国家关于科学数据安全的建设规划，编制此科学数据安全标准体系。本文件的编制秉承着保障科学数据权益的基础上促进其可控开放和充分共享，发挥科学数据驱动创新型国家建设引擎作用的原则，以统一的标准引领、规范、支撑科学数据安全建设。坚持整体协调，标准体系的建设覆盖科学数据安全建设的全生命周期和各类要素，体现系统性和全面性，标准体系的建设与国家和使用部门行业相关标准相协调，符合有关法律、法规、规章及规范性文件的要求。本文件的编制旨在为科学数据标准的规划和编制提供指导。T/CIIA017—20221科学数据安全标准体系1范围本文件规定了科学数据安全标准体系的基本原则、标准体系结构图、各子体系的说明以及体系维护要求。本文件适用于科学数据安全标准的规划、管理和制修订。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T13016—2018标准体系构建原则和要求3术语和定义GB/T13016—2018界定的以及下列术语和定义适用于本文件。标准体系standardsystem一定范围内的标准按其内在联系形成的科学的有机整体。[来源：GB/T13016-2018，2.4]科学数据scientificdata人类社会科技活动积累的或通过其他方式获取的反映客观世界的本质、特征、变化规律等原始性、基础性数据,以及根据不同科技活动需要进行系统加工整理的各类数据的集合。[来源：GB/T31075—2014，2.2.7]科学数据安全scientificdatasecurity通过管理和技术措施，确保科学数据持续得到有效保护和合规利用的状态。[来源：GB/T37988—2019，3.1，有修改]科学数据安全标准体系standardsystemofscientificdatasecurity科学数据安全领域中的标准按其内在相关联系形成的有机整体。4总体原则需求导向，问题导向确保科学数据在全生命周期内的保密性、完整性、可控性、可用性和可追溯性前提下，以科学数据安全的实际现状及面临问题为导向，促进科学数据的有效保护、开放共享与合规使用。兼顾已有，突出特点兼顾科学数据安全已有的规范性文件和国际标准、国家标准、行业标准、地方标准及团体标准，同时充分借鉴相关行业安全标准体系的框架结构，运用标准体系理论和方法，分析科学数据安全需求，体现科学数据特点。T/CIIA017—20222实用为主，适应发展保持科学数据安全有关技术更新，充分考虑实践应用现状及未来发展趋势，以切实服务数据安全为目标，构建科学数据安全标准体系的框架。5标准体系结构体系框架科学数据安全标准体系包括定义与指南、安全技术、数据资源、开放共享、应用服务以及保密管理六个子体系。标准体系结构见图1。图1科学数据安全标准体系体系逻辑关系科学数据安全标准体系的定义与指南标准处于整个体系的最上位，它为下位的其他五个分体系提供总体指导和机制保障。其属于基础性、全局性、总纲性的标准。这类标准是制定其他安全标准时所必须遵循的、统一的标准，是科学数据安全标准的技术基础、方法指南和规范描述，具有较长时期的稳定性和指导性。安全技术和保密管理贯穿于数据资源、开放共享以及应用服务之中，为科学数据全生命周期传递的技术安全、科学数据开放共享过程的技术安全以及相关应用服务的技术安全提供保障，规定科学数据领域中需要协调统一的安全要求。数据资源、开放共享、应用服务着重科学数据安全的采集生产、加工整理、开放共享和管理使用活动的具体技术类安全要求。科学数据安全标准体系逻辑关系见图2。T/CIIA017—20223图2标准体系逻辑关系图子体系的内容及范围5.3.1定义与指南子体系5.3.1.1概述规定科学数据安全的总体规划设计的要求。包括总体要求、体系框架、术语。适用于统一科学数据安全建设中用到的主要名词、概念和技术词汇，避免引起歧义性理解。定义与指南子体系结构见图3。图3定义与指南子体系结构图5.3.1.2总体要求规定科学数据安全标准化工作通用要求。包括标准化工作指南、团体标准结构和编写规则等。用于指导科学数据安全标准制、修订管理以及相关领域各层级标准的研制。5.3.1.3体系框架规定科学数据安全标准建设框架和架构组成设计要求。包括技术参考模型、顶层设计要求、基础设施、开放共享、运行管理等。5.3.1.4术语规定科学数据安全的通用术语及定义，便于准确理解术语的内涵及外延。包括科学数据安全使用中常用的信息技术术语等。5.3.2安全技术子体系5.3.2.1概述规定科学数据各类环境的安全技术要求。主要包括物理环境、网络环境、业务应用、设备与终端等安全要求。安全技术子体系结构见图4。图4安全技术子体系结构图定义与指南数据资源开放共享应用服务安全技术保密管理T/CIIA017—202245.3.2.2物理环境安全为确保科学数据在物理层面的安全保障，物理环境安全规定使用场地、机房设计、物理安全等技术要求。应包括以下两类的科学数据使用、存储场所物理环境的建设及管理安全技术规范。a)物理环境建设用于物理环境的安全规范要求，包括机房布线、机房环境设备及介质安全等相关要求。注：介质安全包括防水、防火、防雷、防潮、防尘、防静电、防地震、温度控制、湿度控制。b)物理环境管理用于物理环境的安全运营管理要求。5.3.2.3网络环境安全规定科学数据有关的广域网和各级节点局域网建设的技术要求和管理规范。适用于包含科学数据的信息化网络规划建设，以便实现信息服务与处理相关的安全性、可靠性、稳定性要求。5.3.2.4业务应用安全规定包含科学数据的操作系统、数据库管理系统、协作共享等业务应用系统的安全技术要求。适用于各类平台的软件环境建设管理，应包含以下内容。a)操作系统规定包含科学数据各类操作系统的通用安全技术要求。注：包含大数据平台及对应应用软件。b)数据库管理系统规定包含科学数据的数据库系统的通用安全技术要求。c)协作共享系统规定包含科学数据的科学数据在协作共享过程中的数据授权方式、可信执行环