TCIIA 024-2022 科学数据 数据安全分级程序

ICS35.020CCSL80团体标准T/CIIA024—2022科学数据数据安全分级程序Scientificdata-Procedureofsecuritygrading2022-10-20发布2022-10-20实施中国信息协会发布T/CIIA024—2022I目次前言...........................................................................II引言..........................................................................III1范围................................................................................12规范性引用文件......................................................................13术语和定义..........................................................................14确定分级程序的原则..................................................................1合规性..........................................................................1可执行性........................................................................1时效性..........................................................................1科学性..........................................................................15分级过程中涉及的相关方..............................................................2主管部门........................................................................2生产者..........................................................................2责任主体单位....................................................................2数据中心........................................................................2使用者..........................................................................26分级流程............................................................................2分级流程图......................................................................2分级机构确认及制度建立..........................................................3科学数据资产梳理................................................................3科学数据级别建议................................................................3级别判定........................................................................3级别审核........................................................................3级别批准........................................................................3级别定期复核....................................................................3附录A（资料性）科学数据清单模板................................................4参考文献..............................................................................5T/CIIA024—2022II前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息协会提出并归口。本文件起草单位：中国网络安全审查技术与认证中心、中国科学院计算机网络信息中心、广东省科学院广州地理研究所、北京山水云图科技有限公司、广东省科技基础条件平台中心、深圳华大生命科学研究院、中国科学技术信息研究所、北京声智科技有限公司、中国农业科学院农业信息研究所、慧博云通科技股份有限公司、四川赛闯检测股份有限公司、中科星睿科技（北京）有限公司、云南省统计建模与数据分析重点实验室、北京微未来科技有限公司、中国核动力研究设计院、北京滴普科技有限公司、广州物联网研究院、北京网智易通科技有限公司、北京蓝象标准咨询服务有限公司。本文件主要起草人：段静辉、辛建峰、荆文龙、廖方宇、姜楠、甘杰夫、冯鉴光、韦振勇、邓应彬、吴振峰、陈孝良、樊景超、余浩、冯丽、区东、彭程、王小敏、张思原、高峰、胡良霖、寇春晓、乐益矣、朱艳华、金岩、乔华阳、张德保、王新亮、马建红、段小莉。本文件首次发布。T/CIIA024—2022III引言《中华人民共和国网络安全法》提出了对数据实施分级管理的要求，《科学数据管理办法》也明确要求对科学数据进行分级管理，但由于科学数据安全分级相关标准缺失，造成科学数据的分级和发布流程不同、科学数据分级结果的应用范围不明确，不利于科学数据的共享和保护，因此有必要在梳理《科学数据管理办法》中分级活动的相关方和其职责的基础上，明确制定安全分级程序，为政府管理部门、行业、科研机构及企业对科学数据的分级保护和管理提供依据，可作为各级组织对其科学数据资源进行安全分级的指南。本文件针科学数据在分级过程中存在程序不一致的问题，依据《科学数据管理办法》等相关法律，规范了科学数据安全分级工作流程，为落实《科学数据管理办法》的相关规定提供指南，以及指导各级组织按照统一分级程序对其科学数据资源进行安全分级。T/CIIA024—20221科学数据数据安全分级程序1范围本文件规定了科学数据安全分级工作流程相关要求，对科学数据安全分级程序进行定义，对相关责任主体的操作规程进行明确规定，并明确提出各环节处理要求等。本文件适用于科学数据主管部门进行科学数据安全分级管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T25069信息安全技术术语3术语和定义GB/T25069界定的以及下列术语和定义适用于本文件。科学数据scientificdata人类社会科技活动积累的或通过其他方式获取的反映客观世界的本质、特征、变化规律等原始性、基础性数据,以及根据不同科技活动需要进行系统加工整理的各类数据的集合。[来源：GB/T31075—2014，2.2.7]科学数据安全分级程序scientificdatasecuritygradingprocedure通过一套评定流程确定科学数据安全级别的过程。数据安全级别scientificdatasecuritygrading按照科学数据遭到破坏后对国家安全、社会秩序、公共利益以及个人、法人和其他组织的合法权益（受侵害客体）的危害程度等因素所确定的安全级别。注：“破坏”主要包括攻击、泄露、篡改、非法使用等。4确定分级程序的原则合规性科学数据安全分级程序遵循国家法律法规、行业领域主管部门相关制度的要求。可执行性科学数据安全分级程序简洁易行，避免过于复杂，确保分级流程容易操作。时效性科学数据的分级结果及时有效，在设计科学数据安全分级程序时加入对数据级别进行评估和调整的环节。科学性科学数据具有较强的行业属性，科学数据分级应考虑科学数据所属行业的特定要求，具备一定的科学性和专业性。T/CIIA024—202225分级过程中涉及的相关方分级过程中涉及的相关方包括主管部门、生产者、责任主体单位、数据中心、使用者。主管部门负责本部门（本地区）科学数据政策和规章的制定、指导科学数据的分类、分级等管理工作。生产者科学数据的生产者，对数据具备所有权。责任主体单位科学数据生产者的管理部门，对于生产者的业务工作进行管理和指导。数据中心承担科学数据的整合和汇聚，是科学数据开放共享的重要载体。使用者利用科学数据进行科学研究和应用的相关方。6分级流程分级流程图科学数据安全分级流程见图1。图1科学数据安全分级流程科学数据资产梳理科学数据安全分级建议方案制定科学数据安全级别判定科学数据安全级别审核科学数据安全级别批准科学数据分级机构及制度建立科学数据安全级别定期复核/变更T/CIIA024—20223分级机构确认及制度建立主管部门应确认分级机构、负责人和相关相关方，建立本部门（本地区）科学数据安全分级管理制度，明确分级原则、职责、分级要素和方法、分级结果发布方式等内容。科学数据资产梳理科学数据生产者应对所产生的数据进行全面的整理和分析，梳理科学数据格式，实施数据安全分类，形成科学数据清单，见附录A。科学数据级别建议科学数据生产者应识别并明确科学数据遵循的法律法规等制度及要求，在科学数据分类的基础上，依据科学数据影响对象和科学数据安全属性被损害引起的影响程度两个要素，结合分级准则确定的相关级别要求，明确安全各级别及相应要求，确定科学数据安全级别建议，建议中应明确科学数据类型、总体情况、分级原则、分级准则，并形成科学数据安全级别表。级别判定责任主体单位应依据分级管理制度确定的级别要求，对科学数据安全分级建议进行逐项判定，对数据覆盖完整性、数据安全分级建议合理性等进行判断，必要时让科学数据生产者更新科学数据安全分级建议，最终责任主体单位应形成科学数据分级报告，明确科学数据类型、总体情况、分级原则、分级准则，并形成科学数据安全级别表。级别审核数据中心依据分级管理制度确定的级别要求对分级报告的内容进行审核，选取科学数据使用者、科学数据安全管理机构等相关专家组成专家组，对科学数据安全分级报告进行评定。如需调整，则提出相关建议，且分级报告重新进行级别判定。级别批准对数据中心审核通过的分级报告，应提交主管部门审批和备案。级别定期复核数据中心定期或发生以下情况时重新对数据进行安全分级评定，包括但不限于：——法律法规等制度要求发生变化；——发生涉及科学数据的安全事件；——由于科学数据及其影响对象、影响程度发生了较大变化等情况（包括科学数据）造成已确定的数据级别不再适用。T/CIIA024—20224AA附录A（资料性）科学数据清单模板科学数据清单