搜索结果: GB/T 43710-2025, GB/T43710-2025, GBT 43710-2025, GBT43710-2025
| 标准编号 | GB/T 43710-2025 (GB/T43710-2025) | | 中文名称 | 科学数据安全审计要求 | | 英文名称 | Requirements for auditing of scientific data security | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.240 | | 字数估计 | 22,288 | | 发布日期 | 2025-01-24 | | 实施日期 | 2025-01-24 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 43710-2025: 科学数据安全审计要求
ICS 35.240
CCSL80
中华人民共和国国家标准
科学数据安全审计要求
2025-01-24发布
2025-01-24实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 审计总则 2
4.1 概述 2
4.2 审计依据 2
4.3 审计目标 2
5 一般审计要求 3
5.1 概述 3
5.2 安全策略 3
5.3 组织建设 3
5.4 人力资源管理 3
5.5 业务连续性管理 3
5.6 管理监督 4
5.7 安全管理 4
5.7.1 安全管理办法 4
5.7.2 分类分级管理 4
5.7.3 风险管理 4
5.7.4 内部审查 4
5.8 科学数据生存周期业务流程 4
5.8.1 科学数据生存周期 4
5.8.2 通用要求 5
5.8.3 采集加工 5
5.8.4 存储备份 5
5.8.5 传输交换 6
5.8.6 开放共享 6
5.8.7 使用服务 6
5.8.8 安全处置 7
6 专项审计要求 7
6.1 概述 7
6.2 个人信息安全 7
6.2.1 通用管理 7
6.2.2 个人信息识别与分类分级 8
6.2.3 自动化决策处理个人信息 8
6.2.4 个人信息安全影响评估 8
6.2.5 出境安全风险评估 8
6.2.6 应急管理 8
6.2.7 内部审查 8
6.3 汇交安全 9
6.3.1 通用管理 9
6.3.2 分类分级管理 9
6.3.3 存储和传输安全管理 9
6.3.4 汇交数据登记管理 9
6.3.5 内部审查 9
6.4 数据出境安全 9
6.4.1 通用管理 9
6.4.2 个人信息出境安全 10
6.4.3 分类分级管理 10
6.4.4 安全风险评估 10
6.4.5 内部审查 10
附录A(资料性) 审计流程 11
A.1 概述 11
A.2 审计流程 11
附录B(资料性) 审计报告 12
B.1 概述 12
B.2 审计报告的类型 12
B.3 审计报告的结构和内容 12
B.4 审计报告样例 13
参考文献 16
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由科学技术部提出。
本文件由全国科技平台标准化技术委员会归口(SAC/TC486)。
本文件起草单位:中国科学院计算机网络信息中心、中国标准化研究院、中国网络安全审查技术与
认证中心、中国信息通信研究院、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、北京
邮电大学、中国科学院高能物理研究所、中国科学院信息工程研究所、北京神州绿盟科技有限公司、广州
物联网研究院、北京迪瞰科技有限公司、福建中信网安信息科技有限公司、福建大数据一级开发有限
公司。
本文件主要起草人:廖方宇、魏金侠、赵静、李婧、龙春、杜冠瑶、万巍、杨帆、王跃达、付豫豪、胡良霖、
朱艳华、于建军、李翀、李菁菁、王志强、杨青海、徐凯程、甘杰夫、景慧昀、周润松、郭盈、刘建毅、齐法制、
侯丰尧、马多贺、王妍、徐震、王利明、叶晓虎、吴铁军、王伟、李东、何颖、李喆。
引 言
科学数据是战略性、基础性科技资源,具有传播速度最快、影响面最宽、开发利用潜力大的特点,深
刻影响着各国的经济发展、国家安全、科技进步和综合竞争力。《中华人民共和国数据安全法》《中华人
民共和国个人信息保护法》和《中华人民共和国网络安全法》共同构成了我国网络数据领域治理的基础
性法律,标志着与我国网络大国、数字大国相匹配的制度建设逐步走向成熟。《科学数据管理办法》明确
提出“应加强科学数据全生命周期安全管理,制定科学数据安全保护措施;加强数据下载的认证、授权等
防护管理,防止数据被恶意使用。”本文件面向自然科学领域科学数据安全与合规需求,可促进科学数据
相关机构数据安全能力提升,规范科学数据安全审计工作,满足国家对合规性方面的要求。
本文件是一项基础的科学数据安全标准,适用于科学数据机构,对科学数据相关活动中所涉及的安
全控制活动进行审计。规定了科学数据安全审计的相关要求,包括总体要求、一般审计要求和专项审计
要求。总体要求主要对审计依据、审计目标进行描述。一般审计要求是为了综合评价科学数据相关机
构安全目标实现情况而进行的审计,从安全策略、组织建设、人力资源管理、管理监督、安全管理、科学数
据生存周期业务流程等几个方面,对科学数据安全控制工作进行通用审计。专项审计要求是根据外部
要求及内部特殊要求而进行的审计,可满足科学数据相关机构对个人信息安全、汇交安全、数据出境安
全全部或部分的审计需要。鉴于国家对数据安全合规监管体系的不断完善,将对专项审计内容进行更
新,满足国家的监管要求。
科学数据安全审计要求的提出旨在客观反映科学数据相关活动安全控制的执行情况,从科学数据
的保密性、可用性、完整性、可靠性、可控性、可追溯性、不可否认性等安全目标及合规性等方面给出科学
数据安全控制工作的评价。
科学数据安全审计要求
1 范围
本文件规定了科学数据安全审计的相关要求,包括总体要求、一般审计要求和专项审计要求。
本文件适用于科学数据机构,对科学数据相关活动中所涉及的安全控制活动进行审计。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 25069 信息安全技术 术语
GB/T 35294 信息技术 科学数据引用
GB/T 36092-2018 信息技术 备份存储 备份技术应用要求
GB/T 39335 信息安全技术 个人信息安全影响评估指南
GB/T 42574 信息安全技术 个人信息处理中告知和同意的实施指南
GB/T 43705 科学数据安全分类分级指南
GB/T 43708 科学数据安全要求通则
GB/T 44024 科学数据权益保护基本要求
3 术语和定义
GB/T 25069和GB/T 43708界定的以及下列术语和定义适用于本文件。
3.1
科学数据 scientificdata
在自然科学、工程技术科学等领域,科学研究活动中形成的以及通过观测监测、考察调查、检验检测
等方式获取的原始及其衍生信息的记录,或可用于科学研究活动的其他数据。
[来源:GB/T 437......
|