《国家标准《信息安全技术 存储介质数据恢复服务安全规范》(征求意见稿)编制说明.docx》由会员分享,可在线阅读,更多相关《国家标准《信息安全技术 存储介质数据恢复服务安全规范》(征求意见稿)编制说明.docx(5页珍藏版)》请在第壹文秘上搜索。
1、一、工作何况1.1 任务来源根据国家标准化管理委员会2022年下达的国家标准制修订计划,信息安全技术存储介质数据恢发服务安全规范由国家信息中心负於承办。本标准由全国信息安全标准化技术委员会归口管理。1.2 制定背景本标准由国家信息中心负货牵头起草,协作起草单位为(按报名参编顺序)中国科学院信息工程研窕所、联想(北京)有限公司、司法鉴定科学研究院、中电长城网际系统应用有限公司等。1.3 起草过程1.3.1 项目启动(1)2022年10月30日,全国信息安全标准化技术委员会卜达信息安全技术存储介质数据恢坡服务安全规范国家标准制定立项,见书全国信息安全标准化技术委员会关于2022年网络安全标准项目立
2、项的通知(信安字(2022)26号)。(2) 2022年U月U日,在全国信息安全标准化技术委倒会立方网站上征集标准参编单位,截至11月11日收到13家单位参编中谙。(3) 2022年U月12日,成立标准编制工作组,并建立微信群,共11名成员。1.3.2标准草案(1)2022年U月12日,继续改进项目申报阶段形成的标准草案(v1.4.0),形成标准草案(v1.5.0)(2) 2022年12月7日,向工作组汇报标准草案。(3) 2023年1月3日,讨论并修改标准草案,形成标准征求意见稿,1.3.3标准征求意见稿(1) 2023年4月13日,参加网络安全国家标准忒点工作部署会,针对编制的试点方案和评
3、价表,对应修改标准文本中管理安全要求和证实方法的对应关系,提供标准易用性。(2) 2023年5月8日,参加网络安全国家标准试点工作方案评审会,并对应修改工作方案.(3) 2023年5月U日,参加网络安全国家标准专家评审会,并对应修改工作方案。(4) 2023年5月26日,召开试点工作启动会。(5) 2023年6月1日,参加标准组工作会,并汇报标准方案。(6) 2023年7月21日,召开武点工作总结会,并对应修改标准文稿“(7) 2023年9月7日,参加专家审杳会,并对应修改标准文稿。二、标准编IM原则、主要内容及其确定依据7.1 标准猿制原则存储介质数据恢亚服务是将无法正常读取的数据从存储介质
4、中史原,使其可正常使用。实施存储介质数据恢宏服务应当遵循如下基本原则:合规原则:以符合涉及数据恢豆的法律、法规和标准规范为原则;可用性原则:恢更的数据可被授权用户正确访问和使用:保密性原则:服务过程中应保护客户的个人信息及存储介质中的数据不被非授权个人、实体处理;完整性原则:数据恢匆过程中确保客户送修存储介膜中的数据不被更改:可审计原则:应确保数据恢史过程中时存储介质的操作可追溯:合作原则:以数据恢更服务提供方和需求方通力合作,共同保障数据恢狂服务安全为原则:7.2 主要内容及其确定依据本标准拟修订GB/T31500-2015信息安全技术存储介质数据恢复服务要求h主要依据国家法律法规标准及技术
5、进步带来的变化,对数据恢灾机构从管理和技术实施的数据安全保障提出要求,并提出相应的评价体系,推动数据恢复行业的合规和安全发展。本标准主要解决支撑网络安全法G数据安全法等法规时数据恢安服务的安全耍求,规范数据恢兔从业机构、从业者、从业环境:提出数据恢复服务管理和技术安全要求:提出数据恢狂服务安全要求评价体系。4中华人民共和国网络安全法、中华人民共和国数据安全法、中华人民共和国个人信息保护法等国家法律法规和标准对保障数据安全提出了明确的要求。数据恢发服务是针对数据的一种特定处理活动,也是保障数据安全的关键环节。而目前数据恢复服务行业在管理和技术实施方面存在着很多数据安全风险,包括行业作坊式特点明显
6、,存在很多管理和技术安全风险:行业诚信度不够,缺乏数据恢宓从业者、从业者、从业环境的规范:数据恢及服务班量不好衡量.缺乏评价体系等问题。因此,亟需进一步规范数据恢复服务行业,尤其需要熠加在数字要素和数据安全大背景卜的安全要求,确保数据恢发服务行业的数据处理者合规安全的恢笑数据.7.3 修订前后技术内容的对比:仅适用于国家标准修订项目本文件代替GB.T31500-20156信息安全技术存储介痂数据恢纪服芬要求,与GB.T31500-2015相比,除结构调整和编辑性改动外,主要技术变化如下:a)标准名称更改为信息安全技术存储介质数据快笈服务安全规范:b)“服务原则”改为“概述和原则”,“可核杳原则
7、”改为“可审计原则”,增加了“合规原则”和“合作原则”条款、增加“4.I概述”,概述数据恢兔服务级别分类和文中条款分类(见第4章,2015版的第4章):c)安全要求的分类由“服务条件要求”“服务过程要求”“服务管理要求”三个大类别修改为“安全管理要求”“安全实施要求两大类别(见第5章和第6章,2015年版的第5章、第6堂和第7章):0在“5.1从业机构”中,将要求进一步按照数据恢史服务级别划分为两类,并对应细化了原先条款(见5.1节):e)在“5.2从业人员”中,将要求进一步按照数据恢复服务级别划分为两类,并对应细化了原先条款(见5.2节):f)”5.3服务场所及机房”结构上整体调整,将“5.
8、3服务场所及机房”“5.4设备配Sr“7.2设备”“7.3机房”7.4存储介质”详细条款合并,更改为“5.3从业环境”,具体包括h5.3.1服务场所”“5.3.2设施设备”详细条款要求(见5.3节):g)增加“5.4质量控制”要求(见5.4节);h)增加“5.5安全审计”要求(见5.5节):i)“6服务过程要求”更改为“6安全实施要求”(见第6章、2015版的第6章);j)增加了uri安全管理测评方法”,针对“基本要求”“增强要求”,对应第6章安全管要求,描述了测评方法(见第7章):k)蝌加了“8安全实施测评方法”,对应第6章安全实施要求,描述了测评方法(见第8章);D在“8.4数据交付”中,
9、增加J核对条款b)提供数据恢品交付清单,并有核实记录”和远程交付条款d)如需远程交付,应进行数据加密”(见8.4节):m)在“8.5数据销毁”中,增加J数据销毁策略和管理审批相关条款b)、c)2条(见8.5节);三、试险WE的分析、综述报告,技术经济论证,期的经济效益、社会效益和生态效益3.1 试殴殴证的分析、综述报告无。3.2 技术经济论证无。3.3 预期的经济效益、社会效益和生态效益本标准是数据恢史服务的基础标准,对于数据恢史服务的开展和评价具有普遍的指导意义。因此,建议所为从事数据恢复服务的机构和企业,开展本标准的宜贯、培训和落实,使其融入组织的数据安全日常工作中。四、与国际、国外同类标
10、准技术内容的对比情况,或者与汨试的用外样品、样机的有关数据对比情况无。五、以国际标准为基础的起草情况,以及是否合规引用或者采用国际国外标准,并说明未采用国际标准的原因无。六、与有关法律、行政法规及相关标准的关系本标准符合我国相关的现行法律、法规和规章,同时参考共他服务数据安全要求的相关标准。七、重大分政意见的处理经过和依据无。八、涉及专利的有关说明本标准不涉及专利。九、实施国家标准的要求,以及姐织措注、技术措注、过渡期和实施日期的建议等措施建议本标准是数据快更服务安全的基础标准,建议依据本标准,评价数据恢复服务机构并构建完善的管理和技术规范体系,合规安全的实施数据快第活动。十、其他应当说明的事项无。国家标准信息安全技术存储介质数据恢复服务安全规范(征求意见稿)编制说明国家标准信息安全技术存储介质数据恢复服务安全规范(征求意见稿)编制说明国家标准信息安全技术存储介质数据恢复服务安全规范(征求意见稿)编制说明
