搜索
ICS35.020CCSL80T/CIIA029—2022海洋科学数据共享安全管理要求Securitymanagementrequirementsforsharingofmarinescientificdata2022-10-20发布2022-10-20实施中国信息协会发布团体标准T/CIIA029—2022I目次前言..................................................................................I引言.................................................................................II1范围................................................................................32规范性引用文件......................................................................33术语和定义..........................................................................34总体要求............................................................................35共享相关方..........................................................................46共享流程............................................................................47共享安全管理要求....................................................................4参考文献..............................................................................6T/CIIA029—2022I前言本文件按照GB/T1.1—2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息协会提出并归口。本文件起草单位:国家海洋信息中心、广州物联网研究院、中国标准化研究院、中国科学院计算机网络信息中心、中国科学院海洋研究所、大连海洋大学、中海油信息科技有限公司、中国科学院空天信息创新研究院、国家海洋局南海信息中心、国家海洋局北海信息中心、国家海洋局东海信息中心、华东师范大学、南方海洋科学与工程广东省实验室(珠海)、公诚管理咨询有限公司、北京声智科技有限公司、北京山水云图科技有限公司、中国国信信息总公司、广州广电计量检测股份有限公司、宁波市测绘和遥感技术研究院、北京网智易通科技有限公司、北京蓝象标准咨询服务有限公司。本文件主要起草人:符昱、王漪、姜晓轶、徐墨庚、廖方宇、杨青海、徐凯程、朱艳华、胡良霖、冯立强、宋军、宋积文、刘健、王平、高延铭、王蕾、田波、刘健、陈志红、陈孝良、姜楠、赵弋洋、于莉莉、王芬旗、王璐、金岩、乔华阳、马建红、张德保、段小莉。本文件为首次发布。T/CIIA029—2022II引言科学数据是国家科技创新发展和经济社会发展的重要基础性战略资源,深刻影响着各国的经济发展、国家安全、科技进步和综合竞争力。海洋科学数据是科学数据较为重要和特色的学科领域之一,是提高海洋资源开发能力、发展海洋经济、保护海洋生态环境,建设海洋强国的重要战略资源。海洋科学数据的共享作为贯彻落实海洋强国战略的重要技术手段,可有效推动海洋科技创新和促进海洋经济高质量发展。本文件从海洋科学数据的数据准备、数据保存、数据发布和共享实施的整个共享流程提出安全管理要求,规范化地指引海洋科学数据的共享,为海洋领域科学研究、科技创新等提供支撑。T/CIIA029—20223海洋科学数据共享安全管理要求1范围本文件规定了海洋科学数据共享安全管理总体要求、共享相关方、共享流程和共享安全管理要求。本文件适用于海洋科学数据共享的安全管理。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T22239信息安全技术网络安全等级保护基本要求3术语和定义下列术语和定义适用于本文件。科学数据scientificdata人类社会科技活动积累的或通过其他方式获取的反映客观世界的本质、特征、变化规律等原始性、基础性数据,以及根据不同科技活动需要进行系统加工整理的各类数据的集合。[来源:GB/T31075—2014,2.2.7]数据共享datasharing按照统一的管理策略和规则,为用户提供数据资源的行为和过程。数据安全datasecurity通过采取必要措施,保障数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。完整性integrity数据所具有的特性,即无论数据形式作何变化,数据的准确性和一致性均保持不变。[来源:GB/T25069—2022,3.574,有修改]4总体要求责任明确要求海洋科学数据参与方对科学数据共享过程及结果负责,各参与方通过合同、协议、条款等其他有效方式,明确界定科学数据共享过程各方承担的安全责任。合法合规要求海洋科学数据共享应遵从科学数据安全管理的相关法律法规、国家及行业标准等,不得损害国家利益、社会公共利益以及个人和组织合法权益。最小授权要求在保证海洋科学数据共享的基础上,控制共享过程中各参与方具备最小操作权限,确保异常操作所造成的损失最小。T/CIIA029—20224安全审计要求对海洋科学数据共享服务行为进行记录,确保可追溯可审查。5共享相关方海洋科学数据共享流程涉及以下三个角色。a)海洋科学数据提供方海洋科学数据提供方主要通过海洋观测、海洋监测、海洋调查等方式采集,以及海洋资料处理、分析等方式加工汇集开展的数据准备工作,并提供给海洋科学数据发布方进行数据共享服务。b)海洋科学数据发布方海洋科学数据发布方主要依托数据服务平台,基于安全管理保障措施,为海洋科学数据提供方、海洋科学数据接收方提供数据共享服务。c)海洋科学数据接收方海洋科学数据接收方通过接收数据发布方发布的海洋科学数据,获取数据共享服务。6共享流程海洋科学数据共享流程包括但不限于:a)数据准备;b)数据保存;c)数据发布;d)共享实施。共享流程示意图见图1。图1共享流程示意图7共享安全管理要求数据准备数据准备安全管理要求包括但不限于:a)应遵循国家法律法规等相关规定,明确海洋科学数据采集、处理、加工、管理的规范和程序,确保准备的数据完整性、时效性以及确权范围;T/CIIA029—20225b)除法律、法规另有规定以外,遵循海洋领域数据敏感性界定规则,确保准备的数据不涉密或已脱敏,同时确保准备的数据内容不涉及敏感项目、敏感海区;c)应按照海洋数据分类分级标准,对准备的海洋科学数据设置对应的分类分级标签;d)应明确准备的海洋科学数据的共享范围、共享方式、共享期限;e)应通过技术手段确保准备的海洋科学数据完整性、可靠性、一致性和时效性;f)应建立海洋科学数据准备过程中的质量监控规则,明确数据质量监控范围及监控方式。数据保存数据保存安全管理要求包括但不限于:a)明确海洋科学数据安全备份介质,如光盘、硬盘、磁盘阵列等,并置于安全环境保管;b)应建立海洋科学数据逻辑存储安全配置规则,控制数据存储介质安全,实施对介质的保存、归档等安全管理措施;c)应规定海洋科学数据备份介质信息填写规则,如注明海洋科学数据的来源、备份日期、恢复步骤等信息;d)应建立海洋科学数据存储介质出入库机制,保留相应记录,便于审计跟踪;e)应建立海洋科学数据存储冗余策略、管理制度与规程,明确数据备份、恢复的范围、频率、工具、过程、日志记录规范、数据保存时长等;f)应建立明确备份人员工作要求,确保实施增量备份,定期进行海洋科学数据的全备份;g)应建立备份操作责任制,明确海洋科学数据备份丢失、遗漏责任;h)应建立海洋科学数据分类分级机制,构建海洋科学数据标识,根据数据敏感度、使用风险等制定相应的控制措施;i)应明确海洋科学数据保存期限,保存期限应符合法律、法规以及海洋领域内的规则要求。数据发布数据发布安全管理要求包括但不限于:a)应建立海洋科学数据发布前审查机制,明确数据发布前经过完整性检查、脱敏处理等工作;b)应建立海洋科学数据安全访问策略,控制数据访问权限,按级别设定访问控制;c)应明确发布海洋科学数据的共享范围、共享方式、共享期限,并符合数据准备阶段设定规则;d)应明确海洋科学数据共享平台的安全等级保护要求,应符合GB/T22239的相关要求;e)应明确发布海洋科学数据的共享期限。共享实施共享实施安全管理要求包括但不限于:a)应建立海洋科学数据获取和使用安全规范,明确数据接收方的数据获取方式和数据使用的权限范围;b)应建立规范的海洋科学数据共享审核流程,对于有条件共享的数据,由数据接收方向数据提供方提交数据申请,经数据提供方审批同意后,进行共享服务,确保没有超出数据提供方所允许的数据授权使用访问;c)应制定海洋科学数据共享服务安全控制策略,提供对数据服务方式的安全限制和安全控制措施;d)应建立海洋科学数据共享服务安全分发责任制,明确数据提供方、接收方责任;e)应建立海洋科学数据共享服务过程风险评估规则,明确数据分发前后的数据传输敏感性等要求;f)应建立海洋科学数据共享服务过程加密要求,明确加密内容、方式等。T/CIIA029—20226参考文献[1]GB/T25069—2022信息安全技术术语[2]GB/T31075—2014科技平台通用术语[3]GB/T37973—2019信息安全技术大数据安全管理指南