《信息安全技術(shù) 重要數(shù)據(jù)處理安全要求》編制說(shuō)明

一、工作簡(jiǎn)況

1.1任務(wù)來(lái)源

為加強(qiáng)網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)在國(guó)家網(wǎng)絡(luò)安全保障工作中的基礎(chǔ)性、規(guī)范性、引

領(lǐng)性作用，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)（以下簡(jiǎn)稱(chēng)：信安標(biāo)委）調(diào)研國(guó)家網(wǎng)

絡(luò)安全重點(diǎn)工作和技術(shù)產(chǎn)業(yè)發(fā)展需求，研究形成了2022年網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)需

求清單，含《信息安全技術(shù)重要數(shù)據(jù)處理安全要求》。2022年3月，中國(guó)科學(xué)

技術(shù)大學(xué)聯(lián)合相關(guān)單位參與申報(bào)，于2022年10月份通過(guò)信安標(biāo)委立項(xiàng)。2023

年8月6日，國(guó)家標(biāo)準(zhǔn)委下達(dá)了該標(biāo)準(zhǔn)的計(jì)劃號(hào)20230792-T-469。

1.2制定背景

隨著數(shù)據(jù)成為國(guó)家基礎(chǔ)性戰(zhàn)略資源，其安全保護(hù)成為國(guó)家網(wǎng)絡(luò)安全工作的一

項(xiàng)重點(diǎn)。除涉密信息和個(gè)人信息外，還有一部分?jǐn)?shù)據(jù)十分重要和敏感，即重要數(shù)

據(jù)，其一旦被泄露、損毀、篡改、濫用，可能會(huì)帶來(lái)嚴(yán)重后果，危害國(guó)家安全與

公共利益。

這些數(shù)據(jù)可能分布在政務(wù)部門(mén)（如宏觀(guān)經(jīng)濟(jì)數(shù)據(jù)、金融監(jiān)管數(shù)據(jù)、人口資源

數(shù)據(jù)、健康數(shù)據(jù)、執(zhí)法數(shù)據(jù)、交通運(yùn)輸數(shù)據(jù)等），關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者在內(nèi)

的重點(diǎn)行業(yè)企業(yè)（如金融交易數(shù)據(jù)、能源生產(chǎn)和消費(fèi)數(shù)據(jù)、關(guān)鍵信息基礎(chǔ)設(shè)施資

產(chǎn)數(shù)據(jù)、網(wǎng)絡(luò)安全防護(hù)信息等），醫(yī)院、高校等公共服務(wù)機(jī)構(gòu)（如健康醫(yī)療數(shù)據(jù)、

教育數(shù)據(jù)等），具有相應(yīng)資質(zhì)或承擔(dān)特定職能的權(quán)威專(zhuān)業(yè)機(jī)構(gòu)（如地理、地震、

天文、氣象等科學(xué)數(shù)據(jù)及其衍生數(shù)據(jù)等），科研機(jī)構(gòu)（如科研成果及其相關(guān)數(shù)據(jù)

等），互聯(lián)網(wǎng)企業(yè)（如在線(xiàn)提供導(dǎo)航、電子商務(wù)、即時(shí)通信等服務(wù)時(shí)收集、產(chǎn)生

的數(shù)據(jù)，涉及經(jīng)濟(jì)、地理、人口、法人等國(guó)家基礎(chǔ)信息的數(shù)據(jù)等）或?qū)嶓w經(jīng)濟(jì)企

業(yè)（如大型工程施工設(shè)備獲取的敏感工程物理位置、施工土石方數(shù)據(jù)等）。

近年來(lái)，我國(guó)對(duì)重要數(shù)據(jù)已多次提出相關(guān)保護(hù)要求。2021年9月1日，《中

華人民共和國(guó)數(shù)據(jù)安全法》實(shí)施，提出了制定重要數(shù)據(jù)具體目錄的要求。2021

年11月14日，國(guó)家互聯(lián)網(wǎng)信息辦對(duì)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》公開(kāi)征求意見(jiàn)，

提出了重要數(shù)據(jù)的定義，并設(shè)立了一系列重要數(shù)據(jù)安全監(jiān)管制度。因此，迫切需

要制定一部國(guó)家標(biāo)準(zhǔn)，對(duì)處理重要數(shù)據(jù)提出安全要求。

保護(hù)重要數(shù)據(jù)的前提是識(shí)別重要數(shù)據(jù)。國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)

分類(lèi)分級(jí)要求》已處于報(bào)批稿階段，其給出了識(shí)別重要數(shù)據(jù)的基本原則和考慮因

素，可便于各組織識(shí)別其處理的重要數(shù)據(jù)，為重要數(shù)據(jù)安全保護(hù)工作提供支撐，

也可為各地區(qū)、各部門(mén)制定本地區(qū)、本部門(mén)以及相關(guān)行業(yè)、領(lǐng)域的重要數(shù)據(jù)相關(guān)

標(biāo)準(zhǔn)規(guī)范和具體目錄提供參考。

本標(biāo)準(zhǔn)則規(guī)定了數(shù)據(jù)處理者處理重要數(shù)據(jù)的安全要求。同時(shí)，也可供有關(guān)組

織對(duì)重要數(shù)據(jù)處理活動(dòng)實(shí)施安全監(jiān)管或安全評(píng)估時(shí)參考。

1.3起草過(guò)程

按照項(xiàng)目進(jìn)度要求，編制組首先對(duì)相關(guān)法律法規(guī)及國(guó)內(nèi)外標(biāo)準(zhǔn)文件進(jìn)行深入

閱讀與理解，查閱有關(guān)資料，編寫(xiě)標(biāo)準(zhǔn)編制提綱，在完成提綱交流和修改的基礎(chǔ)

上，開(kāi)始具體的編制工作。

2022年3月，基于前期研究項(xiàng)目成果進(jìn)一步開(kāi)展廣泛調(diào)研，研讀國(guó)內(nèi)外相

關(guān)政策和標(biāo)準(zhǔn)文件，形成標(biāo)準(zhǔn)草案V1.0，開(kāi)展標(biāo)準(zhǔn)申報(bào)。

2022年4月，標(biāo)準(zhǔn)經(jīng)信安標(biāo)委工作組“會(huì)議周”討論通過(guò)，進(jìn)入立項(xiàng)準(zhǔn)備

階段。

2022年6月，根據(jù)信安標(biāo)委統(tǒng)一安排和會(huì)議周建議，對(duì)標(biāo)準(zhǔn)草案進(jìn)行修改，

再次提交標(biāo)準(zhǔn)草案V1.1供專(zhuān)家評(píng)審，并于2022年10月通過(guò)信安標(biāo)委立項(xiàng)。

2022年11月，標(biāo)準(zhǔn)編制組組織參與單位修改標(biāo)準(zhǔn)草案V1.2，供12月份標(biāo)

準(zhǔn)會(huì)議周上進(jìn)行討論。

2023年4月，根據(jù)信安標(biāo)委統(tǒng)一安排，啟動(dòng)標(biāo)準(zhǔn)試點(diǎn)應(yīng)用工作。

2023年5月，根據(jù)前期試點(diǎn)反饋情況和參編單位提供的修改意見(jiàn)，形成征

求意見(jiàn)稿初稿，供標(biāo)準(zhǔn)會(huì)議周專(zhuān)家研討和修改。

2023年8月，根據(jù)標(biāo)準(zhǔn)會(huì)議周上反饋的意見(jiàn)對(duì)標(biāo)準(zhǔn)修改完善，提交信安標(biāo)

委專(zhuān)家會(huì)審議。經(jīng)投票表決，標(biāo)準(zhǔn)征求意見(jiàn)稿獲得通過(guò)。會(huì)后編制組根據(jù)專(zhuān)家意

見(jiàn)對(duì)標(biāo)準(zhǔn)修改完善后提交信安標(biāo)委秘書(shū)處，上網(wǎng)公開(kāi)征求意見(jiàn)。

二、標(biāo)準(zhǔn)編制原則、主要內(nèi)容及其確定依據(jù)

2.1標(biāo)準(zhǔn)編制原則

本標(biāo)準(zhǔn)旨在指導(dǎo)數(shù)據(jù)處理者落實(shí)《中華人民共和國(guó)數(shù)據(jù)安全法》及重要數(shù)據(jù)

安全保護(hù)制度的相關(guān)要求。編制組首先對(duì)兩方面問(wèn)題做了把握，這決定了標(biāo)準(zhǔn)的

定位與標(biāo)準(zhǔn)內(nèi)容邊界。

一是明確與基礎(chǔ)性網(wǎng)絡(luò)安全要求的區(qū)別。編制組從四個(gè)方面理解數(shù)據(jù)安全的

內(nèi)涵：

環(huán)境安全（網(wǎng)絡(luò)與系統(tǒng)的安全）

資產(chǎn)安全（數(shù)據(jù)自身的安全）

行為安全（數(shù)據(jù)處理活動(dòng)的合規(guī)性）

生產(chǎn)要素安全（解決確權(quán)、開(kāi)發(fā)利用、運(yùn)營(yíng)等問(wèn)題）

標(biāo)準(zhǔn)應(yīng)該同時(shí)涉及重要數(shù)據(jù)安全的以上各個(gè)方面，不能僅從數(shù)據(jù)收集處理的

生命周期來(lái)理解數(shù)據(jù)處理安全需求。鑒于環(huán)境安全已有大量標(biāo)準(zhǔn)規(guī)范，故標(biāo)準(zhǔn)不

在網(wǎng)絡(luò)與信息系統(tǒng)安全方面過(guò)多展開(kāi)。但有以下三個(gè)方面需要突出：

數(shù)據(jù)處理者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)的要求，加強(qiáng)數(shù)據(jù)處理系統(tǒng)、數(shù)

據(jù)傳輸網(wǎng)絡(luò)、數(shù)據(jù)存儲(chǔ)環(huán)境等安全防護(hù)，處理重要數(shù)據(jù)的系統(tǒng)原則上應(yīng)

當(dāng)滿(mǎn)足三級(jí)以上網(wǎng)絡(luò)安全等級(jí)保護(hù)要求。（《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例（征

求意見(jiàn)稿）》）

數(shù)據(jù)處理者應(yīng)當(dāng)使用密碼對(duì)重要數(shù)據(jù)和核心數(shù)據(jù)進(jìn)行保護(hù)。（《網(wǎng)絡(luò)數(shù)據(jù)

安全管理?xiàng)l例（征求意見(jiàn)稿）》）

數(shù)據(jù)處理者使用的云應(yīng)當(dāng)符合國(guó)家關(guān)于云計(jì)算服務(wù)安全管理的規(guī)定。

二是明確與普通數(shù)據(jù)處理的差異性要求，從四個(gè)方面理解重要數(shù)據(jù)處理的特

殊安全要求：

在安全保護(hù)的強(qiáng)度上，要嚴(yán)格于普通數(shù)據(jù)。

在管理制度上，要嚴(yán)格于普通數(shù)據(jù)。

在合規(guī)要求上，法律法規(guī)有明確的要求，均應(yīng)通過(guò)標(biāo)準(zhǔn)予以細(xì)化。

在配合監(jiān)管上，重要數(shù)據(jù)處理者有特定的法律義務(wù)。

經(jīng)以上分析，標(biāo)準(zhǔn)組決定不再贅述數(shù)據(jù)安全基礎(chǔ)要求，而是突出以上四個(gè)方

面。

2.2主要內(nèi)容及其確定依據(jù)

本標(biāo)準(zhǔn)主要技術(shù)內(nèi)容包括以下方面：

（1）設(shè)施安全，描述了處理重要數(shù)據(jù)的信息系統(tǒng)、云平臺(tái)應(yīng)滿(mǎn)足的安全

要求。

（2）數(shù)據(jù)處理過(guò)程的安全，重點(diǎn)突出重要數(shù)據(jù)全生命周期中，各處理過(guò)

程應(yīng)滿(mǎn)足的安全要求：

收集：包括數(shù)據(jù)來(lái)源、識(shí)別、數(shù)據(jù)分類(lèi)、數(shù)據(jù)分級(jí)、數(shù)據(jù)編目等要求，

重點(diǎn)突出采集過(guò)程的合法性和數(shù)據(jù)質(zhì)量、落實(shí)國(guó)家數(shù)據(jù)安全分類(lèi)分級(jí)

制度要求等內(nèi)容；

存儲(chǔ)：包括存儲(chǔ)保護(hù)、存儲(chǔ)位置、存儲(chǔ)期限、備份與恢復(fù)等要求；

使用與加工：包括重要數(shù)據(jù)在使用和加工過(guò)程中應(yīng)進(jìn)行的訪(fǎng)問(wèn)控制、

評(píng)估、審批、保密審查等方面的要求；

傳輸與提供：包括重要數(shù)據(jù)在對(duì)外提供和共享時(shí)應(yīng)遵循的安全要求，

如法律文件、評(píng)估與審批、監(jiān)督與保護(hù)、交易、接收方義務(wù)、向境外

提供等內(nèi)容；

公開(kāi)：公開(kāi)重要數(shù)據(jù)及其加工結(jié)果時(shí)，數(shù)據(jù)處理者應(yīng)采取的安全要求；

刪除：描述了數(shù)據(jù)處理者如何安全地刪除已廢棄或超出約定期限的重

要數(shù)據(jù)，包括數(shù)據(jù)刪除、介質(zhì)銷(xiāo)毀等。

（3）運(yùn)行與管理安全，主要包括組織與人員、數(shù)據(jù)治理、供應(yīng)鏈、審計(jì)、

應(yīng)急處置、風(fēng)險(xiǎn)評(píng)估、配合監(jiān)督管理等運(yùn)行安全要求。

組織與人員：主要體現(xiàn)法律法規(guī)提出的相關(guān)要求，包括安全負(fù)責(zé)人、

安全管理機(jī)構(gòu)、機(jī)構(gòu)變化、管理制度、人員、培訓(xùn)等要求；

數(shù)據(jù)治理設(shè)施：主要從數(shù)據(jù)治理工具本身、統(tǒng)一管理等角度描述數(shù)據(jù)

治理設(shè)施的安全要求；

供應(yīng)鏈管理：描述了重要數(shù)據(jù)處理者在采購(gòu)管理、供應(yīng)商管理、評(píng)估

等方面應(yīng)遵循的要求，以更好的應(yīng)對(duì)復(fù)雜、嚴(yán)峻的國(guó)際網(wǎng)絡(luò)空間安全

威脅；

應(yīng)急響應(yīng)：描述重要數(shù)據(jù)處理者在應(yīng)急預(yù)案、演練計(jì)劃、技術(shù)團(tuán)隊(duì)、

處置機(jī)制等方面的要求；

安全風(fēng)險(xiǎn)評(píng)估：描述了評(píng)估制度、評(píng)估內(nèi)容、評(píng)估時(shí)機(jī)等要求；

配合監(jiān)督管理：包括流程規(guī)范、提供技術(shù)支持、配合整改措施等。

2.3修訂前后技術(shù)內(nèi)容的對(duì)比[適用于國(guó)家標(biāo)準(zhǔn)修訂項(xiàng)目]

不適用。

三、試驗(yàn)驗(yàn)證的分析、綜述報(bào)告，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)效益、社會(huì)

效益和生態(tài)效益

3.1試驗(yàn)驗(yàn)證的分析、綜述報(bào)告

本標(biāo)準(zhǔn)給出了重要數(shù)據(jù)處理的安全要求，為數(shù)據(jù)處理者合法、正當(dāng)，以及安

全地處理其掌握的重要數(shù)據(jù)提供技術(shù)支撐和最佳實(shí)踐，將有助于國(guó)家數(shù)據(jù)安全法

律法規(guī)的落地實(shí)施。經(jīng)實(shí)驗(yàn)驗(yàn)證，標(biāo)準(zhǔn)內(nèi)容具備合理性和可操作性，可有力支撐

數(shù)據(jù)分類(lèi)分級(jí)制度落地實(shí)施。

標(biāo)準(zhǔn)試點(diǎn)應(yīng)用由標(biāo)準(zhǔn)牽頭單位中國(guó)科學(xué)技術(shù)大學(xué)組織實(shí)施，總體負(fù)責(zé)各參與

方的協(xié)調(diào)管理、試點(diǎn)應(yīng)用的工作推進(jìn)。國(guó)家工業(yè)信息安全發(fā)展研究中心作為標(biāo)準(zhǔn)

應(yīng)用推廣的牽頭單位，具體負(fù)責(zé)試點(diǎn)單位的選取、溝通協(xié)調(diào)等工作。

標(biāo)準(zhǔn)試驗(yàn)驗(yàn)證主要包括以下內(nèi)容：

確定試點(diǎn)單位。根據(jù)實(shí)施應(yīng)用方案，確定承擔(dān)試點(diǎn)應(yīng)用的具體單位和具

體實(shí)施細(xì)則。

檢查和評(píng)估。成員單位根據(jù)《信息安全技術(shù)重要數(shù)據(jù)處理安全要求》

評(píng)估試點(diǎn)單位重要數(shù)據(jù)安全防護(hù)狀況，驗(yàn)證是否滿(mǎn)足標(biāo)準(zhǔn)要求，以及與

標(biāo)準(zhǔn)要求的能力差距，并給出整改建議。

分析總結(jié)。成員單位對(duì)實(shí)施應(yīng)用工作進(jìn)行總結(jié)，梳理并分析檢查和評(píng)估

結(jié)果，形成標(biāo)準(zhǔn)實(shí)施應(yīng)用總結(jié)報(bào)告。

專(zhuān)家評(píng)審。專(zhuān)家組根據(jù)標(biāo)準(zhǔn)實(shí)施應(yīng)用總結(jié)報(bào)告，評(píng)估標(biāo)準(zhǔn)的科學(xué)性、合

理性、完備性和可操作性，形成實(shí)施應(yīng)用總結(jié)分析報(bào)告。一方面，報(bào)告

為試點(diǎn)企業(yè)的重要數(shù)據(jù)安全管理和合規(guī)提出了建議和改進(jìn)措施，另一方

面，也為完善標(biāo)準(zhǔn)文本、促進(jìn)落地實(shí)施給出了建議和最佳實(shí)踐。

3.2預(yù)期的經(jīng)濟(jì)效益、社會(huì)效益和生態(tài)效益

本標(biāo)準(zhǔn)圍繞重要數(shù)據(jù)收集、存儲(chǔ)、使用、傳輸、共享、刪除等處理過(guò)程中的

安全要求，為數(shù)據(jù)處理者合法、正當(dāng)，以及安全地處理其掌握的重要數(shù)據(jù)提供技

術(shù)支撐和最佳實(shí)踐，將有助于《中華人民共和國(guó)數(shù)據(jù)安全法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管

理?xiàng)l例（征求意見(jiàn)稿）》等數(shù)據(jù)安全監(jiān)管法律法規(guī)的落地實(shí)施。同時(shí)，也為重要

數(shù)據(jù)監(jiān)管者、測(cè)評(píng)人員等提供了實(shí)踐指南。

本標(biāo)準(zhǔn)將為我國(guó)數(shù)據(jù)安全保護(hù)，特別是重要數(shù)據(jù)管理提供基礎(chǔ)技術(shù)支撐，有

助于防范重要數(shù)據(jù)安全風(fēng)險(xiǎn)、完善我國(guó)網(wǎng)絡(luò)安全頂層設(shè)計(jì)，具有重大社會(huì)效益。

本標(biāo)準(zhǔn)明確了數(shù)據(jù)處理者處理重要數(shù)據(jù)的安全要求，有助于數(shù)據(jù)交易、出境安全

評(píng)估、安全審查等制度的科學(xué)、有效實(shí)施，從而便利數(shù)據(jù)跨境流動(dòng)、促進(jìn)國(guó)際貿(mào)

易，有利于經(jīng)濟(jì)發(fā)展與國(guó)際合作。

四、與國(guó)際、國(guó)外同類(lèi)標(biāo)準(zhǔn)技術(shù)內(nèi)容的對(duì)比情況，或者與測(cè)試的國(guó)外樣品、

樣機(jī)的有關(guān)數(shù)據(jù)對(duì)比情況

目前，國(guó)際上沒(méi)有重要數(shù)據(jù)處理安全要求的標(biāo)準(zhǔn)，無(wú)法直接采標(biāo)或直接借鑒。

但實(shí)際上，世界各國(guó)都對(duì)各自關(guān)心的“敏感信息”（非個(gè)人信息、非涉密系統(tǒng)）

進(jìn)行管理，且多數(shù)提出了數(shù)據(jù)本地化存儲(chǔ)要求，嚴(yán)格管控此類(lèi)數(shù)據(jù)的出境。

此外，云計(jì)算、關(guān)基信息基礎(chǔ)設(shè)施、人工智能等領(lǐng)域的國(guó)際標(biāo)準(zhǔn)也在不同程

度上涉及數(shù)據(jù)安全問(wèn)題，可為本標(biāo)準(zhǔn)的編制提供經(jīng)驗(yàn)借鑒。

五、以國(guó)際標(biāo)準(zhǔn)為基礎(chǔ)的起草情況，以及是否合規(guī)引用或者采用國(guó)際國(guó)外

標(biāo)準(zhǔn)，并說(shuō)明未采用國(guó)際標(biāo)準(zhǔn)的原因

不適用。

六、與有關(guān)法律、行政法規(guī)及相關(guān)標(biāo)準(zhǔn)的關(guān)系

本標(biāo)準(zhǔn)的編制目的是為了配合《中華人民共和國(guó)數(shù)據(jù)安全法》、《網(wǎng)絡(luò)數(shù)據(jù)安

全管理?xiàng)l例（征求意見(jiàn)稿）》等數(shù)據(jù)安全監(jiān)管法律法規(guī)的落地實(shí)施。本標(biāo)準(zhǔn)在題

目中沒(méi)有突出“網(wǎng)絡(luò)數(shù)據(jù)”，但規(guī)范對(duì)象為電子形式存在的重要數(shù)據(jù)。

本標(biāo)準(zhǔn)與《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)規(guī)則》等標(biāo)準(zhǔn)規(guī)范共同構(gòu)成了

數(shù)據(jù)安全處理的重要技術(shù)文件。標(biāo)準(zhǔn)編制組與國(guó)家互聯(lián)網(wǎng)信息辦網(wǎng)絡(luò)數(shù)據(jù)管理局

保持了密切溝通，且編制組主要成員與《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)分類(lèi)分級(jí)規(guī)則》

高度重合，工作有很好的繼承性。

標(biāo)準(zhǔn)申報(bào)組涵蓋了國(guó)家互聯(lián)網(wǎng)信息辦、工業(yè)和信息化部、國(guó)家市場(chǎng)監(jiān)管總局

在數(shù)據(jù)安全監(jiān)管方面的技術(shù)支撐單位。同時(shí)，還包括評(píng)估機(jī)構(gòu)、認(rèn)證機(jī)構(gòu)、研究

機(jī)構(gòu)、企業(yè)、行業(yè)用戶(hù)單位，在重要數(shù)據(jù)安全評(píng)估、標(biāo)準(zhǔn)制定與推廣應(yīng)用、行業(yè)

重要數(shù)據(jù)分類(lèi)分級(jí)管理與實(shí)踐等方面有深入研究，經(jīng)驗(yàn)豐富，為本標(biāo)準(zhǔn)制定提供

了很好的基礎(chǔ)。

七、重大分歧意見(jiàn)的處理經(jīng)過(guò)和依據(jù)

無(wú)。

八、涉及專(zhuān)利的有關(guān)說(shuō)明

本標(biāo)準(zhǔn)不涉及專(zhuān)利。

九、實(shí)施國(guó)家標(biāo)準(zhǔn)