TCIIA 019-2022 科学数据 安全能力成熟度模型

ICS35.020CCSL80团体标准T/CIIA019—2022科学数据安全能力成熟度模型Scientificdata-Securitycapabilitymaturitymodel2022-10-20发布2022-10-20实施中国信息协会发布T/CIIA019—2022I目次前言................................................................................III引言.................................................................................IV1范围...............................................................................12规范性引用文件.....................................................................13术语和定义.........................................................................14缩略语.............................................................................25科学数据安全能力成熟度模型架构.....................................................2模型架构.......................................................................2生命周期维度...................................................................3安全能力维度...................................................................4能力成熟度等级维度.............................................................56科学数据采集安全...................................................................6PA01数据分类分级...............................................................6PA02数据采集获取...............................................................7PA03清洗转换加载...............................................................8PA04数据溯源安全...............................................................97科学数据汇交安全..................................................................10PA05数据形式审查..............................................................10PA06数据质量审查..............................................................11PA07传输安全管理..............................................................128科学数据保存安全..................................................................13PA08存储媒介安全.............................................................13PA09数据逻辑存储.............................................................14PA10数据备份恢复.............................................................15PA11数据导入导出安全.........................................................169科学数据共享安全..................................................................17PA12数据发布安全.............................................................17PA13数据出境安全.............................................................18PA14数据接口安全.............................................................1910科学数据利用安全.................................................................20PA15数据分析安全............................................................20PA16算法开发安全.............................................................21PA17增值服务安全.............................................................22PA18数据出版安全.............................................................24PA19数据引用安全.............................................................24附录A（规范性）能力成熟度等级评估流程与方法........................................26T/CIIA019—2022II参考文献.............................................................................27T/CIIA019—2022III前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息协会提出并归口。本文件起草单位：国家海洋信息中心、广州物联网研究院、广州广电计量检测股份有限公司、中国科学院计算机网络信息中心、国家信息中心、中国标准化研究院、华控清交信息科技（北京）有限公司、广东省科技基础条件平台中心、交通运输部公路科学研究所、交通运输部天津水运工程科学研究所、四川省大数据中心、北京山水云图科技有限公司、中国科学技术信息研究所、浙江信网真科技股份有限公司、北京声智科技有限公司、海看网络科技（山东）股份有限公司、广东省科学院广州地理研究所、国网新疆电力有限公司、云南省统计建模与数据分析重点实验室、中国核动力研究设计院、中电鸿信信息科技有限公司、北京网智易通科技有限公司、北京蓝象标准咨询服务有限公司。本文件主要起草人：王漪、符昱、黄敦鹏、姜晓轶、廖方宇、胡良霖、于莉莉、宋巍、周俊杰、王志强、辛全波、郑晓妍、姜楠、祝玲、尹书蕊、胡红亮、朱艳华、王真震、陈孝良、隆龙、李坤、童心、候志伟、尹蕊、张理、阳惠、周慧琴、刘增明、高瑜蔚、金岩、张德保、乔华阳、马建红、王新亮、段小莉。本文件首次发布。T/CIIA019—2022IV引言科学数据是国家科技创新和经济社会发展的基础性战略资源，越来越深刻地深刻影响着国家安全、经济发展和科技进步，科学数据的安全问题也面临着前所未有的挑战。科学数据中心是科学数据的载体，发挥了科学数据汇聚管理、开放共享和应用服务的重要作用，承担科学数据安全管理的重要使命。本文件提出的科学数据安全能力成熟度，是指科学数据中心具备的科学、安全、有序管理科学数据的能力等级，从科学数据全生命周期中提炼出19个安全过程域，分别从组织建设、制度流程、技术工具和人员能力四个方面逐一阐述不同等级下应具备的安全能力。形成的成熟度模型，可用于指导科学数据中心开展安全能力自评估，为国家和行业主管部门组织开展科学数据安全评估提供规范指引，为全面提升科学数据安全提供支撑和保障。T/CIIA019—20221科学数据安全能力成熟度模型1范围本文件确立了科学数据安全过程的规范性安全能力成熟度分级模型及其评估方法。本文件适用于各级各类科学数据中心针对科学数据安全保障能力开展定级评估。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T29246信息技术安全技术信息安全管理体系概述和词汇GB/T35295信息技术大数据术语3术语和定义GB/T29246和GB/T35295界定的以及下列术语和定义适用于本文件。科学数据scientificdata人类社会科技活动积累的或通过其他方式获取的反映客观世界的本质、特征、变化规律等原始性、基础性数据,以及根据不同科技活动需要进行系统加工整理的各类数据的集合。[来源：GB/T31075—2014，2.2.7]科学数据安全scientificdatasecurity通过管理和技术措施，确保科学数据持续得到有效保护和合规利用的状态。[来源：GB/T37988—2019，3.1，有修改]科学数据中心scientificdatacenter利用信息、网络等现代技术，对科学数据进行整合汇交、分级分类、加工整理和分析挖掘，保障科学数据安全，推动科学数据开放共享，加强国内外科学数据交流与合作的专业化机构。保密性confidentiality信息对未授权的个人、实体或过程不可用或不泄露的性质。[来源:GB/T25069-2022，3.41]完整性integrity数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变。[来源：GB/T25069-2022，3.574，有修改]可用性availability可由经授权实体按需访问和使用的性质。[来源:GB/T25069-2022，3.345]T/CIIA019—20222能力成熟度capabilitymaturity对一个组织有条理的持续改进能力以及实现特定过程的连续性、可持续性、有效性和可信度水平。科学数据安全能力成熟度模型scientificdatasecuritycapabilitymaturitymodel用于对科学数据中心等组织机构的科学数据安全保障能力成熟度进行评估的模型。安全过程域securityprocessarea实现同一个安全目标的相关科学数据安全的基本实践的集合。注:安全过程指一个完整过程，包括输入和输出。一个过程域包含一个或多个基本实践。基本实践basicpractice实现某一安全目标的数据安全相关活动的最小单元。科学数据生命周期scientificdatalifecy