GB/T 37932-2019 标准规范下载简介
GB/T 37932-2019 信息安全技术 数据交易服务安全要求ICS 35.040 L 80
GB/T 379322019
HY/T 251-2018 宗海图编绘技术规范Informationsecuritytechnology Security requirements for data transaction service
GB/T 379322019
言 范围 规范性引用文件 术语和定义 安全概述 4.1参考框架 4.2数据交易安全原则 数据交易参与方安全要求 5.1 数据供方安全要求 5.2 数据需方安全要求 5.3 数据交易服务机构安全要求 交易对象安全 6.1禁止交易数据 6.2 数据质量要求 6.3 个人信息安全保护 6.4 重要数据安全保护 数据交易过程安全 7.1 交易申请 7.2 交易商 7.3 交易实施 7.4 交易结束
GB/T379322019
本标准按照GB/T1.1一2009给出的规则起草。 本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。 本标准起草单位:阿里云计算有限公司、中国电子技术标准化研究院、北京赛西科技发展有限责任 公司、北京软件和信息服务交易所有限公司、贵阳大数据交易所有限责任公司、上海数据交易中心有限 公司、阿里巴巴(北京)软件服务有限公司、中国科学院信息工程研究所、中国移动通信集团公司、陕西省 言息化工程研究院、北京奇安信科技有限公司、中国网络安全审查技术与认证中心、清华天学、西北大 学、陕西省网络与信息安全测评中心、中国科学院软件研究所、启明星辰信息技术集团股份有限公司、北 京天融信科技有限公司、联想(北京)有限公司、西安电子科技大学 本标准主要起草人:叶润国、张大江、孙彦、沈锡铺、刘贤刚、陈雪秀、胡媛媛、孙爱梅、于铁强、胡影 张敏、谢安明、刘玉岭、赵蓓、张群、叶晓俊、吴迪、蔡磊、李怡、金涛、张勇、李克鹏、陈驰、郑新华、张锐卿 常玲、刘嘉林、任兰芳、裴庆祺、孙寒
数据正日益对全球生产、流通、分配、消费活动以及经济运行机制、社会生活方式和国家治理能力产 生重要影响。数据交易可以促进数据资源流通,破除数据孤岛,有效支撑数据应用的快速发展,发挥数 据资源的经济价值。然而,数据交易面临诸多安全问题和挑战,影响了数据应用的进一步健康发展。 为规范数据资源交易行为,建立良好的数据交易秩序,促进数据交易服务参与者安全保障能力提 升,本标准将对数据交易服务进行安全规范,增强对数据交易服务的安全管控能力,在确保数据安全的 前提下,促进数据资源自由流通,从而带动整个数据 业的安全、健康、快速发展
GB/T379322019
本标准规定了通过数据交易服务机构进行数据交易服务的安全要求,包括数据交易参与方、交易对 象和交易过程的安全要求。 本标准适用于数据交易服务机构进行安全自评估,也可供第三方测评机构对数据交易服务机构进 行安全评估时参考
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文 件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T22239—2019 信息安全技术网络安全等级保护基本要求 GB/T25069—2010 信息安全技术术语 GB/T35273—2017 信息安全技术个人信息安全规范 GB/T35274—2017 信息安全技术大数据服务安全能力要求 GB/T36343—2018 信息技术数据交易服务平台交易数据描述 GB/T37988—2019 信息安全技术数据安全能力成熟度模型
GB/T25069一2010和GB/T36343一2018界定的以及下列术语和定义适用于本文件。 3.1 数据交易 datatransaction 数据供方和需方之间以数据商品作为交易对象,进行的以货币或货币等价物交换数据商品的行为 注1:数据商品包括用于交易的原始数据或加工处理后的数据衍生产品 注2:数据交易包括以大数据或其衍生品作为数据商品的数据交易,也包括以传统数据或其衍生品作为数据商品的 数据交易。 3.2 数据供方datasupplier 数据交易中提供数据的组织机构。 3.3 数据需方dataacquirer 数据交易中购买和使用数据的组织机构。 3.4 数据交易服务 datatransaction service 帮助数据供方和需方完成数据交易的活动
3.5 数据交易服务机构 datatransaction serviceprovider 为数据供需双方提供数据交易服务的组织机构 3.6 数据交易服务平台datatransactionserviceplatform 为数据交易提供各项服务的信息化平台。 3.7 在线数据交付onlinedatadelivery 数据供方通过网络向数据需方交付数据的模式。 3.8 离线数据交付offlinedatadelivery 数据供需双方在达成数据交易协议后,由数据供方通过离线方式将数据从供方提供给需方的交付 模式。 3.9 托管数据交易custodiandatadelivery 数据供需双方在达成数据交易协议后,由供方将数据拷贝到数据交易服务机构指定的数据托管服 务平台,需方在数据托管服务平台内使用数据,数据不发生转移的交付模式。 3.10 数据交易过程dataexchangingprocess 数据供需双方依托数据交易服务平台针对具体的数据交易对象,进行的一次完整和具体的数据交 易行为。 注:数据交易过程一般分为交易申请、交易商、交易实施和交易结束等环节。 3.11 重要数据importantdata 我国机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切 相关的数据。 注:重要数据通常指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的各类机 构在开展业务活动中收集和产生的,不涉及国家秘密,但一且泄露、寡改或滥用将会对国家安全、经济发展和社 会公共利益造成不利影响的数据(包括原始数据和衍生数据)。 [GB/T352742017,定义3.13
数据交易是供需双方对原始数据或加工处理后的数据依照交易过程进行的活动。通过数据交易服 各机构进行的数据交易服务参考框架如图1所示。数据交易涉及数据供方、数据需方和数据交易服务 几构。数据交易服务机构依托数据交易服务平台,为数据供需双方提供数据交易服务。从数据交易服 务机构角度出发,数据交易过程一般包括交易申请、交易商、交易实施和交易结束四个环节。常见的 数据交付模式包括在线模式、离线模式和托管模式
GB/T379322019
4.2数据交易安全原则
图1数据交易服务参考框架
5数据交易参与方安全要求
5.1数据供方安全要求
数据交易服务机构应确保数据供方满足以下要求: 为一年内无重大数据类违法违规记录的合法组织机构。 b 完成在数据交易服务机构的注册,并经数据交易服务机构审核通过,才允许参与数据交易 业务。 C 数据供方应证明其具备向数据需方安全交付数据的能力, d) 向数据交易服务机构提供书面的安全承诺,内容包括但不限于:交易数据来源合法性证明材 料、交易数据满足法律法规和政策要求、对交易数据质量评估说明、遵守数据交易安全原则、愿 意接受数据交易服务机构安全监督、愿意对数据流通后果负责等。 e 遵守数据交易服务机构的安全管理制度和流程
JG/T 118-2018 建筑隔震橡胶支座5.2数据需方安全要求
数据交易服务机构应确保数据需方满足以下要求:
a) 为一年内无重大数据类违法违规记录的合法组织机构。 b 完成在数据交易服务机构的注册,并经数据交易服务机构审核通过,才允许参与数据交易 业务。 证明具备对交易数据实施安全保护的能力。 提供书面的数据交易和使用安全承诺,内容包括但不限于:满足法律法规和政策要求、遵守数 据交易安全原则、愿意接受数据交易服务机构安全监督、遵守与数据供方约定的数据安全要 求、对所持有数据提供充分的安全保护、未经明确授权不公开或转交数据给第三方等。 e 按照供需双方约定的使用目的、范围、方式和期限使用数据,禁止进行个人信息的重新识别。 在按照数据交易约定方式完成数据使用后,应及时销毁交易数据。 遵守数据交易服务机构的安全管理制度和流程
5.3数据交易服务机构安全要求
数据交易服务机构应满足以下基本要求: 得到我国行政或主管部门的授权或许可。 b) 为一年内无重大数据类违法违规记录的境内合法组织机构。 具备承担数据交易服务相对应的安全保障能力 将从事境内数据交易服务的数据交易服务平台部署在我国境内 e) 对数据供方提供的数据来源合法性证明材料声明进行审核。 f) 对数据违规使用行为进行监测。 g 制定并执行交易违规处罚规则。 h) 未经授权不擅自使用数据供方或需方的数据或数据衍生品。 至少满足GB/T37988一2019中的三级要求
3.2组织安全管理要求
SL 221-2019 中小河流水能开发规划编制规程5.3.2.1安全管理制度和规程
数据交易服务机构应满足以下要求: 制定数据交易服务安全管理策略,说明数据交易安全总体目标、范围、原则和安全框架等。 b 建立数据交易服务安全管理制度,包括但不限于:交易参与方安全管理制度、数据安全管理制 度、个人信息安全保护制度等 为数据交易管理人员或操作人员执行的管理或业务操作建立操作规程。 d 定期对数据交易服务安全管理策略、制度和规程进行评审,并及时进行更新。 e) 建立和执行针对数据供方和需方的安全管理制度和流程。 建立供需方的信用管理机制
5.3.2.2安全相关组织机构和人员