检验检测数据管理规范第3部分：数据安全.pdf

检验检测数据管理规范 第3 部分：数据安全 1 范围 本文件规定了检验检测数据管理通用安全、安全监管、数据传输安全、数据交换安全、数据退役安 全等方面要求。 本文件适用于检验检测信息系统中基础信息的分类，检验检测机构信息系统的建设与应用及机构 数据共享。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 27000 合格评定 词汇和通用原则 GB/T 27020 合格评定 各类检验机构的运作要求 GB/T 11457 信息技术 软件工程术语 GB/T 37988 信息安全技术 数据安全能力成熟度模型 GB/T 39477 信息安全技术 证书信息共享 数据安全技术要求 RB/T 001 认证认可行业标准编写规范 RB/T 002 认证认可行业标准分类规范 RB/T 214 检验检测机构资质认定能力评价 检验检测机构通用要求 RB/T 028 实验室信息管理系统管理规范 3 术语和定义 下列术语和定义适用于本文件。 数据安全 data security 采用技术和管理措施来保护数据的保密性、完整性和可用性等。 大数据 big data 在活动过程中产生的具有体量巨大、来源多样、生成极快、多变等特征并且难以用传统数据体系结 构有效处理的包含大量数据集的数据。 敏感数据 sensitive data 由权威机构确定的受保护的信息数据。 注:敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害。 1 重要数据 important data 不涉及国家秘密，但如果泄露、毁损、丢失或被窃取、篡改和非法使用可能危害国家安全、国计民 生、公共利益的未公开数据。 个人信息 personal Information 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息。 数据脱敏 data masking 通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。 数据擦除 data erase 使用预先定义的无意义、无规律的信息覆盖存储介质上原数据，达到对存储介质内电子数据进行销 毁的目的，存储介质可继续使用。 数据销毁 data destruction 通过物理手段破坏存储介质的实体，让数据无法被读出。数据销毁分为- -级销毁和二级销毁。 4 概述 数据生命周期的各个阶段 本标准定义了数据生命周期的六个阶段，并针对公共数据特点和场景进行了描述。 --数据采集:组织机构内部系统中新产生数据，以及从外部系统收集数据的阶段； --数据传输:数据从一个实体通过网络流动到另一个实体的阶段。在数据方面，通常是检验检测机 构将数据传输归集到云平台、数据资源共享交换平台、大数据中心等； --数据存储:数据以任何数字格式进行物理存储或云存储的阶段。在检验检测数据方面，数据存储 可能涉及采集数据存储、归集汇聚后的数据存储、数据共享交换后的数据存储等； --数据使用:组织机构针对数据进行计算、分析、可视化等操作的阶段。在检验检测数据方面，通 常是对数据进行整合，形成基础数据库和主题数据库，并进行大数据分析利用转化成公共大数据产品或 服务； --数据交换:组织机构与组织机构及个人进行数据共享、开放、交换的阶段。检验检测数据共享通 常是检验检测机构因履行职责需要使用其他数据； --数据退役;不再进行处理的数据进入数据退役阶段，涉及对信息的归档、转移、丢弃、销毁以及 对存储介质的销毁处理等。 2 数据安全体系 数据生命周期安全如图1所示。 图1 数据生命安全周期 5 通用安全 数据安全策略规划 建立组织机构整体的数据安全策略