國家標準《信息安全技術 數據交易服務安全要求》征求意見稿
責編:mhshi |2017-09-01 10:50:54經標準編制單位的辛勤努力,現已形成國家標準《信息安全技術 數據交易服務安全要求》征求意見稿。為確保標準質量,信安標委秘書處面向社會廣泛征求意見。
懇切希望您對該標準提出寶貴意見。并將意見于2017年10月9日前反饋給信安標委秘書處。
聯系人:許玉娜???xuyuna@cesi.cn?? 010-64102731
全國信息安全標準化技術委員會秘書處
2017年8月25日
標準文本:信息安全技術數據交易服務安全要求
編制說明:
國家標準《信息安全技術 數據交易服務要求》編制說明
一、任務來源
《信息安全技術 大數據交易服務安全要求》是國家標準化管理委員會2017年下達的信息安全國家標準制定項目,國標計劃號為XXX。本標準為自主制定標準,由阿里云計算有限公司、中國電子技術標準化研究院牽頭組織標準研制,北京軟件和信息服務交易所、貴陽數據交易所、上海數據交易中心、阿里巴巴(北京)軟件服務有限公司、中國科學院信息工程研究所、九次方、國家信息中心、中國科學院軟件所、國家信息安全工程技術研究中心、北京奇虎科技有限公司、北京京東尚科信息技術有限公司、西北大學、陜西省網絡與信息安全測評中心等單位共同參與了該標準的起草編制工作。
本標準經過編制組組內深入研討,以及征詢專家意見后,在2017年6月28日大數據安全標準化工作組上征求全國信安標委成員意見后,建議改名為《信息安全技術 數據交易服務安全要求》。
二、項目的目的與意義
數據是一種國家基礎性戰略資源,數據交易可以加速數據資源流通,促進多源數據融合,破除數據孤島,有效支撐大數據應用的快速發展,并將極大提升政府、社會整體數據分析能力,發揮數據資源的經濟價值。然而,數據交易面臨諸多安全問題和挑戰,阻礙了大數據應用的進一步發展。
為規范數據資源的交易行為,建立良好的數據交易秩序,維護國家安全和社會公共安全,保守國家秘密、商業秘密,保護個人隱私,維護數據權益人的合法權益,本標準將對數據交易服務進行安全規范,增強對數據交易服務的安全管控能力,在確保數據安全的前提下,促進數據資源自由流通,從而帶動整個大數據產業的安全、健康、快速發展。
本標準在編制過程中遵循以下原則:
1)全面性
數據交易服務安全要求應該全面規范數據交易服務涉及的交易參與方、交易對象、交易過程的安全要求,保障數據交易的安全,確實保障數據在流通過程中的國家安全、社會安全和個人隱私安全。
2)代表性
參與數據交易服務安全要求編寫的成員包括數據交易服務提供商,比如中國軟交所、貴陽大數據交易所、上海數據交易中心、中關村數海大數據交易中心等,也包括提供數據的數據供方,包括阿里巴巴、京東等,同時也包括購買數據的單位。此外也包括了信息安全測評單位,這可以確保所編制的數據交易服務安全要求標準具有廣泛的代表性,并在各方之間達成一致。
3)可操作性
數據交易服務安全要求力求做到可操作性,數據交易服務機構或第三方測評機構可以基于該標準,實現對數據交易安全合規性的符合性評價。
4)協調性
數據交易服務安全標準必須保持與其它大數據、信息系統等級保護、個人信息保護標準之間的協調性。
三、主要工作過程
1、2016年6月,項目組籌建數據交易安全標準預研組,對國內外數據交易現狀、安全威脅和挑戰,以現有數據交易相關標準進行調研,確定數據交易服務安全要求標準化需求。
2、2016年7月初,成立正式的數據交易服務安全要求標準研究組,由阿里云有限公司牽頭,中國電子技術標準化研究院、貴陽數據交易所、上海數據交易中心、浙江數據交易中心、清華大學、國家信息中心、陜西省信息安全測評中心等單位組成標準研究組,并在當月的全國信安標委的安全會議周上成功立項后,立即召開了標準研究啟動工作會議。
3、2016年7月到12月,標準研究組開展數據交易安全分析調研,包括對國內外數據交易服務機構的交易規則、制度等的調研分析、以及派人對數據交易服務機構進行實地調研等,組織4次研討會,2次研究報告集中編寫會議,完成數據交易安全要求標準草案的編制,以及數據交易服務安全要求研究報告的撰寫。
4、2017年1月到3月,就數據交易服務安全要求標準草案和研究報告,召開了兩次專家內審會議,請專家對標準草案和研究報告提出意見,并根據專家意見對標準草案和報告進行進一步完善。
5、?2017年3月27日,數據交易服務安全要求標準研究項目正式完成驗收。
6、2017年4月11日,在武漢的信安標委安全會議周上,完成數據交易服務安全要求標準編制的正式立項。
7、2017年5月7日,標準編制組召開標準編制啟動會議,在啟動會上,要求多家交易所介紹交易規則,然后,對標準草案進行了深入分析,對標準草案結構進行了微調,并進行了標準編制任務分工。
7、2017年6月8日,標準編制組對標準草案第一次修改版進行了深入討論,提出了修改意見,并進行了第二次編寫分工。
8、2017年6月14日,標準編制組對標準草案第二修改版進行了深入討論分析,對發現的問題進行修正,形成數據交易服務安全要求標準草案第三版。
9、2017年6月20日,標準編制組對標準草案第三修改版進行了深入討論和交叉評審,對發現的問題進行修正,形成最后的數據交易服務安全要求標準草案第四版。
10、2017年6月26日,標準編制組對第四版的數據交易服務安全要求草案進行了內部評審,項目組根據專家意見進行進一步完善,得到了最后的數據交易服務安全要求標準草案。
11、2017年6月28日,標準編制組在大數據工作組全會上對標準草案進行了匯報,聽取了大數據工作組各成員的意見,同意將標準名稱改為《信息安全技術 數據交易服務安全要求》,并根據成員意見進一步完善了標準文本,形成標準征求意見稿。
四、標準的主要內容
本標準規定了數據交易服務涉及的交易參與方、交易對象和交易過程的安全要求。本標準適用于提供數據交易服務的組織進行安全自評估,也適用于第三方機構對數據交易服務組織進行安全測評。
本標準主要框架如下:
1 范圍
2 規范性引用文件
3 術語定義及縮略語
3.1 術語和定義
4 安全概述
4.1 總則
4.2 數據交易安全原則
5 數據交易參與方安全
5.1 數據供方安全要求
5.2 數據需方安全要求
5.3 數據交易服務機構安全要求
6 交易對象安全
6.1 禁止交易數據
6.2 數據質量要求
6.3 個人信息安全保護
7 數據交易過程安全
7.1 交易申請
7.2 交易磋商
7.3 交易實施
7.4 交易結束
五、與相關法律法規及國家有關規定、國內相關標準的關系
本標準規范了數據交易服務機構在依托數據交易服務平臺為數據供需雙方提供數據交易服務時應該滿足的安全要求,整個標準從數據交易服務參與方安全、交易對象安全和交易過程安全三個方面規范了數據交易服務的安全要求。本標準對提升我國數據交易市場的規范性,加強對數據交易的監管,實現數據的安全、有序流通具有十分重要的參考意義。
本標準將支撐我國正在制定的數據安全管理辦法。并與正在制定的《信息技術 數據交易服務平臺 基本數據描述》、《信息技術 數據交易服務平臺 通用功能要求》以及《信息安全技術 大數據服務安全能力要求》一起,旨在推動數據交易服務市場的安全有序、健康發展。
六、重大分歧意見的處理經過和依據
本標準的制定過程中,對現有數據交易所的現有交易規范進行了深入的調研分析,并廣泛邀請各數據交易所參與標準的研制,整個標準編制過程中沒有出現過重大分歧意見。
七、國家標準作為強制性國家標準或推薦性國家標準的建議
建議本標準作為推薦性國家標準發布實施。
八、貫徹國家標準的要求和措施建議(包括組織措施、技術措施、過渡辦法等內容)
無。
九、其他事項說明
本標準不涉及專利。
標準編制組
2017年8月