海洋科学数据共享安全管理要求.doc

3 T/CIIA 029—2022 海洋科学数据共享安全管理要求 1 范围 本文件规定了海洋科学数据共享安全管理总体要求、共享相关方、共享流程和共享安全管理要求。 本文件适用于海洋科学数据共享的安全管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本(包括所有的修改单)适用于本 文件。 GB/T 22239 信息安全技术 网络安全等级保护基本要求 3 术语和定义 下列术语和定义适用于本文件。 3.1 科学数据 scientific data 人类社会科技活动积累的或通过其他方式获取的反映客观世界的本质、特征、变化规律等原始性、 基础性数据，以及根据不同科技活动需要进行系统加工整理的各类数据的集合。 [来源： GB/T 31075—2014,2.2.7] 3.2 数据共享 data sharing 按照统一的管理策略和规则，为用户提供数据资源的行为和过程。 3.3 数据安全 data security 通过采取必要措施，保障数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 3.4 完整性 integrity 数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变。 [来源： GB/T 25069—2022,3.574, 有修改] 4 总体要求 4.1 责任明确要求 海洋科学数据参与方对科学数据共享过程及结果负责，各参与方通过合同、协议、条款等其他有效 方式，明确界定科学数据共享过程各方承担的安全责任。 4.2 合法合规要求 海洋科学数据共享应遵从科学数据安全管理的相关法律法规、国家及行业标准等，不得损害国家利 益、社会公共利益以及个人和组织合法权益。 4.3 最小授权要求 在保证海洋科学数据共享的基础上，控制共享过程中各参与方具备最小操作权限，确保异常操作所 造成的损失最小。 4 T/CIIA 029—2022 4.4 安全审计要求 对海洋科学数据共享服务行为进行记录，确保可追溯可审查。 5 共享相关方 海洋科学数据共享流程涉及以下三个角色。 a) 海洋科学数据提供方 海洋科学数据提供方主要通过海洋观测、海洋监测、海洋调查等方式采集，以及海洋资料处理、分 析等方式加工汇集开展的数据准备工作，并提供给海洋科学数据发布方进行数据共享服务。 b) 海洋科学数据发布方 海洋科学数据发布方主要依托数据服务平台，基于安全管理保障措施，为海洋科学数据提供方、海 洋科学数据接收方提供数据共享服务。 c) 海洋科学数据接收方 海洋科学数据接收方通过接收数据发布方发布的海洋科学数据，获取数据共享服务。 6 共享流程 海洋科学数据共享流程包括但不限于： a) 数据准备； b) 数据保存； c) 数据发布； d) 共享实施。 共享流程示意图见图1。 数据准备 数据保存 数据发布 共享实施 图1 共享流程示意图 7 共享安全管理要求 7.1 数据准备 数据准备安全管理要求包括但不限于： a) 应遵循国家法律法规等相关规定，明确海洋科学数据采集、处理、加工、管理的规范和程序， 确保准备的数据完整性、时效性以及确权范围； 5 T/CIIA 029—2022 b) 除法律、法规另有规定以外，遵循海洋领域数据敏感性界定规则，确保准备的数据不涉密或已 脱敏，同时确保准备的数据内容不涉及敏感项目、敏感海区； c) 应按照海洋数据分类分级标准，对准备的海洋科学数据设置对应的分类分级标签； d) 应明确准备的海洋科学数据的共享范围、共享方式、共享期限； e) 应通过技术手段确保准备的海洋科学数据完整性、可靠性、 一致性和时效性； f) 应建立海洋科学数据准备过程中的质量监控规则，明确数据质量监控范围及监控方式。 7.2 数据保存 数据保存安全管理要求包括但不限于： a) 明确海洋科学数据安全备份介质，如光盘、硬盘、磁盘阵列等，并置于安全环境保管； b) 应建立海洋科学数据逻辑存储安全配置规则，控制数据存储介质安全，实施对介质的保存、归 档等安全管理措施； c) 应规定海洋科学数据备份介质信息填写规则，如注明海洋科学数据的来源、备份日期、恢复步 骤等信息； d) 应建立海洋科学数据存储介质出入库机制，保留相应记录，便于审计跟踪； e) 应建立海洋科学数据存储冗余策略、管理制度与规程，明确数据备份、恢复的范围、频率、工 具、过程、日志记录规范、数据保存时长等； f) 应建立明确备份人员工作要求，确保实施增量备份，定期进行海洋科学数据的全备份； g) 应建立备份操作责任制，明确海洋科学数据备份丢失、遗漏责任； h) 应建立海洋科学数据分类分级机制，构建海洋科学数据标识，根据数据敏感度、使用风险等制 定相应的控