经标准编制单位的辛勤努力,现已形成国家标准《信息安全技术 数据交易服务安全要求》征求意见稿。为确保标准质量,信安标委秘书处面向社会广泛征求意见。
恳切希望您对该标准提出宝贵意见。并将意见于2017年10月9日前反馈给信安标委秘书处。
联系人:许玉娜 xuyuna@cesi.cn 010-64102731
全国信息安全标准化技术委员会秘书处
2017年8月25日
标准文本:信息安全技术数据交易服务安全要求
编制说明:
国家标准《信息安全技术 数据交易服务要求》编制说明
一、任务来源
《信息安全技术 大数据交易服务安全要求》是国家标准化管理委员会2017年下达的信息安全国家标准制定项目,国标计划号为XXX。本标准为自主制定标准,由阿里云计算有限公司、中国电子技术标准化研究院牵头组织标准研制,北京软件和信息服务交易所、贵阳数据交易所、上海数据交易中心、阿里巴巴(北京)软件服务有限公司、中国科学院信息工程研究所、九次方、国家信息中心、中国科学院软件所、国家信息安全工程技术研究中心、北京奇虎科技有限公司、北京京东尚科信息技术有限公司、西北大学、陕西省网络与信息安全测评中心等单位共同参与了该标准的起草编制工作。
本标准经过编制组组内深入研讨,以及征询专家意见后,在2017年6月28日大数据安全标准化工作组上征求全国信安标委成员意见后,建议改名为《信息安全技术 数据交易服务安全要求》。
二、项目的目的与意义
数据是一种国家基础性战略资源,数据交易可以加速数据资源流通,促进多源数据融合,破除数据孤岛,有效支撑大数据应用的快速发展,并将极大提升政府、社会整体数据分析能力,发挥数据资源的经济价值。然而,数据交易面临诸多安全问题和挑战,阻碍了大数据应用的进一步发展。
为规范数据资源的交易行为,建立良好的数据交易秩序,维护国家安全和社会公共安全,保守国家秘密、商业秘密,保护个人隐私,维护数据权益人的合法权益,本标准将对数据交易服务进行安全规范,增强对数据交易服务的安全管控能力,在确保数据安全的前提下,促进数据资源自由流通,从而带动整个大数据产业的安全、健康、快速发展。
本标准在编制过程中遵循以下原则:
1)全面性
数据交易服务安全要求应该全面规范数据交易服务涉及的交易参与方、交易对象、交易过程的安全要求,保障数据交易的安全,确实保障数据在流通过程中的国家安全、社会安全和个人隐私安全。
2)代表性
参与数据交易服务安全要求编写的成员包括数据交易服务提供商,比如中国软交所、贵阳大数据交易所、上海数据交易中心、中关村数海大数据交易中心等,也包括提供数据的数据供方,包括阿里巴巴、京东等,同时也包括购买数据的单位。此外也包括了信息安全测评单位,这可以确保所编制的数据交易服务安全要求标准具有广泛的代表性,并在各方之间达成一致。
3)可操作性
数据交易服务安全要求力求做到可操作性,数据交易服务机构或第三方测评机构可以基于该标准,实现对数据交易安全合规性的符合性评价。
4)协调性
数据交易服务安全标准必须保持与其它大数据、信息系统等级保护、个人信息保护标准之间的协调性。
三、主要工作过程
1、2016年6月,项目组筹建数据交易安全标准预研组,对国内外数据交易现状、安全威胁和挑战,以现有数据交易相关标准进行调研,确定数据交易服务安全要求标准化需求。
2、2016年7月初,成立正式的数据交易服务安全要求标准研究组,由阿里云有限公司牵头,中国电子技术标准化研究院、贵阳数据交易所、上海数据交易中心、浙江数据交易中心、清华大学、国家信息中心、陕西省信息安全测评中心等单位组成标准研究组,并在当月的全国信安标委的安全会议周上成功立项后,立即召开了标准研究启动工作会议。
3、2016年7月到12月,标准研究组开展数据交易安全分析调研,包括对国内外数据交易服务机构的交易规则、制度等的调研分析、以及派人对数据交易服务机构进行实地调研等,组织4次研讨会,2次研究报告集中编写会议,完成数据交易安全要求标准草案的编制,以及数据交易服务安全要求研究报告的撰写。
4、2017年1月到3月,就数据交易服务安全要求标准草案和研究报告,召开了两次专家内审会议,请专家对标准草案和研究报告提出意见,并根据专家意见对标准草案和报告进行进一步完善。
5、 2017年3月27日,数据交易服务安全要求标准研究项目正式完成验收。
6、2017年4月11日,在武汉的信安标委安全会议周上,完成数据交易服务安全要求标准编制的正式立项。
7、2017年5月7日,标准编制组召开标准编制启动会议,在启动会上,要求多家交易所介绍交易规则,然后,对标准草案进行了深入分析,对标准草案结构进行了微调,并进行了标准编制任务分工。
7、2017年6月8日,标准编制组对标准草案第一次修改版进行了深入讨论,提出了修改意见,并进行了第二次编写分工。
8、2017年6月14日,标准编制组对标准草案第二修改版进行了深入讨论分析,对发现的问题进行修正,形成数据交易服务安全要求标准草案第三版。
9、2017年6月20日,标准编制组对标准草案第三修改版进行了深入讨论和交叉评审,对发现的问题进行修正,形成最后的数据交易服务安全要求标准草案第四版。
10、2017年6月26日,标准编制组对第四版的数据交易服务安全要求草案进行了内部评审,项目组根据专家意见进行进一步完善,得到了最后的数据交易服务安全要求标准草案。
11、2017年6月28日,标准编制组在大数据工作组全会上对标准草案进行了汇报,听取了大数据工作组各成员的意见,同意将标准名称改为《信息安全技术 数据交易服务安全要求》,并根据成员意见进一步完善了标准文本,形成标准征求意见稿。
四、标准的主要内容
本标准规定了数据交易服务涉及的交易参与方、交易对象和交易过程的安全要求。本标准适用于提供数据交易服务的组织进行安全自评估,也适用于第三方机构对数据交易服务组织进行安全测评。
本标准主要框架如下:
1 范围
2 规范性引用文件
3 术语定义及缩略语
3.1 术语和定义
4 安全概述
4.1 总则
4.2 数据交易安全原则
5 数据交易参与方安全
5.1 数据供方安全要求
5.2 数据需方安全要求
5.3 数据交易服务机构安全要求
6 交易对象安全
6.1 禁止交易数据
6.2 数据质量要求
6.3 个人信息安全保护
7 数据交易过程安全
7.1 交易申请
7.2 交易磋商
7.3 交易实施
7.4 交易结束
五、与相关法律法规及国家有关规定、国内相关标准的关系
本标准规范了数据交易服务机构在依托数据交易服务平台为数据供需双方提供数据交易服务时应该满足的安全要求,整个标准从数据交易服务参与方安全、交易对象安全和交易过程安全三个方面规范了数据交易服务的安全要求。本标准对提升我国数据交易市场的规范性,加强对数据交易的监管,实现数据的安全、有序流通具有十分重要的参考意义。
本标准将支撑我国正在制定的数据安全管理办法。并与正在制定的《信息技术 数据交易服务平台 基本数据描述》、《信息技术 数据交易服务平台 通用功能要求》以及《信息安全技术 大数据服务安全能力要求》一起,旨在推动数据交易服务市场的安全有序、健康发展。
六、重大分歧意见的处理经过和依据
本标准的制定过程中,对现有数据交易所的现有交易规范进行了深入的调研分析,并广泛邀请各数据交易所参与标准的研制,整个标准编制过程中没有出现过重大分歧意见。
七、国家标准作为强制性国家标准或推荐性国家标准的建议
建议本标准作为推荐性国家标准发布实施。
八、贯彻国家标准的要求和措施建议(包括组织措施、技术措施、过渡办法等内容)
无。
九、其他事项说明
本标准不涉及专利。
标准编制组
2017年8月