ICS35240

CCSL.80

中華人民共和國國家標(biāo)準(zhǔn)

GB/T43710—2025

科學(xué)數(shù)據(jù)安全審計(jì)要求

Requirementsforauditingofscientificdatasecurity

2025-01-24發(fā)布2025-01-24實(shí)施

國家市場(chǎng)監(jiān)督管理總局發(fā)布

國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T43710—2025

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

審計(jì)總則

4…………………2

概述

4.1…………………2

審計(jì)依據(jù)

4.2……………2

審計(jì)目標(biāo)

4.3……………2

一般審計(jì)要求

5……………3

概述

5.1…………………3

安全策略

5.2……………3

組織建設(shè)

5.3……………3

人力資源管理

5.4………………………3

業(yè)務(wù)連續(xù)性管理

5.5……………………3

管理監(jiān)督

5.6……………4

安全管理

5.7……………4

安全管理辦法

5.7.1…………………4

分類分級(jí)管理

5.7.2…………………4

風(fēng)險(xiǎn)管理

5.7.3………………………4

內(nèi)部審查

5.7.4………………………4

科學(xué)數(shù)據(jù)生存周期業(yè)務(wù)流程

5.8………………………4

科學(xué)數(shù)據(jù)生存周期

5.8.1……………4

通用要求

5.8.2………………………5

采集加工

5.8.3………………………5

存儲(chǔ)備份

5.8.4………………………5

傳輸交換

5.8.5………………………6

開放共享

5.8.6………………………6

使用服務(wù)

5.8.7………………………6

安全處置

5.8.8………………………7

專項(xiàng)審計(jì)要求

6……………7

概述

6.1…………………7

個(gè)人信息安全

6.2………………………7

Ⅰ

GB/T43710—2025

通用管理

6.2.1………………………7

個(gè)人信息識(shí)別與分類分級(jí)

6.2.2……………………8

自動(dòng)化決策處理個(gè)人信息

6.2.3……………………8

個(gè)人信息安全影響評(píng)估

6.2.4………………………8

出境安全風(fēng)險(xiǎn)評(píng)估

6.2.5……………8

應(yīng)急管理

6.2.6………………………8

內(nèi)部審查

6.2.7………………………8

匯交安全

6.3……………9

通用管理

6.3.1………………………9

分類分級(jí)管理

6.3.2…………………9

存儲(chǔ)和傳輸安全管理

6.3.3…………9

匯交數(shù)據(jù)登記管理

6.3.4……………9

內(nèi)部審查

6.3.5………………………9

數(shù)據(jù)出境安全

6.4………………………9

通用管理

6.4.1………………………9

個(gè)人信息出境安全

6.4.2……………10

分類分級(jí)管理

6.4.3…………………10

安全風(fēng)險(xiǎn)評(píng)估

6.4.4…………………10

內(nèi)部審查

6.4.5………………………10

附錄資料性審計(jì)流程

A()………………11

概述

A.1………………11

審計(jì)流程

A.2…………………………11

附錄資料性審計(jì)報(bào)告

B()………………12

概述

B.1…………………12

審計(jì)報(bào)告的類型

B.2……………………12

審計(jì)報(bào)告的結(jié)構(gòu)和內(nèi)容

B.3……………12

審計(jì)報(bào)告樣例

B.4………………………13

參考文獻(xiàn)

……………………16

Ⅱ

GB/T43710—2025

前言

本文件按照標(biāo)準(zhǔn)化工作導(dǎo)則第部分標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則的規(guī)定

GB/T1.1—2020《1:》

起草

。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別專利的責(zé)任

。。

本文件由科學(xué)技術(shù)部提出

。

本文件由全國科技平臺(tái)標(biāo)準(zhǔn)化技術(shù)委員會(huì)歸口

(SAC/TC486)。

本文件起草單位中國科學(xué)院計(jì)算機(jī)網(wǎng)絡(luò)信息中心中國標(biāo)準(zhǔn)化研究院中國網(wǎng)絡(luò)安全審查技術(shù)與

:、、

認(rèn)證中心中國信息通信研究院中國軟件評(píng)測(cè)中心工業(yè)和信息化部軟件與集成電路促進(jìn)中心北京

、、()、

郵電大學(xué)中國科學(xué)院高能物理研究所中國科學(xué)院信息工程研究所北京神州綠盟科技有限公司廣州

、、、、

物聯(lián)網(wǎng)研究院北京迪瞰科技有限公司福建中信網(wǎng)安信息科技有限公司福建大數(shù)據(jù)一級(jí)開發(fā)有限

、、、

公司

。

本文件主要起草人廖方宇魏金俠趙靜李婧龍春杜冠瑤萬巍楊帆王躍達(dá)付豫豪胡良霖

:、、、、、、、、、、、

朱艷華于建軍李翀李菁菁王志強(qiáng)楊青海徐凱程甘杰夫景慧昀周潤松郭盈劉建毅齊法制

、、、、、、、、、、、、、

侯豐堯馬多賀王妍徐震王利明葉曉虎吳鐵軍王偉李東何穎李喆

、、、、、、、、、、。

Ⅲ

GB/T43710—2025

引言

科學(xué)數(shù)據(jù)是戰(zhàn)略性基礎(chǔ)性科技資源具有傳播速度最快影響面最寬開發(fā)利用潛力大的特點(diǎn)深

、,、、,

刻影響著各國的經(jīng)濟(jì)發(fā)展國家安全科技進(jìn)步和綜合競爭力中華人民共和國數(shù)據(jù)安全法中華人

、、?！丁贰?/p>

民共和國個(gè)人信息保護(hù)法和中華人民共和國網(wǎng)絡(luò)安全法共同構(gòu)成了我國網(wǎng)絡(luò)數(shù)據(jù)領(lǐng)域治理的基礎(chǔ)

》《》

性法律標(biāo)志著與我國網(wǎng)絡(luò)大國數(shù)字大國相匹配的制度建設(shè)逐步走向成熟科學(xué)數(shù)據(jù)管理辦法明確

,、。《》

提出應(yīng)加強(qiáng)科學(xué)數(shù)據(jù)全生命周期安全管理制定科學(xué)數(shù)據(jù)安全保護(hù)措施加強(qiáng)數(shù)據(jù)下載的認(rèn)證授權(quán)等

“,;、

防護(hù)管理防止數(shù)據(jù)被惡意使用本文件面向自然科學(xué)領(lǐng)域科學(xué)數(shù)據(jù)安全與合規(guī)需求可促進(jìn)科學(xué)數(shù)據(jù)

,?！?

相關(guān)機(jī)構(gòu)數(shù)據(jù)安全能力提升規(guī)范科學(xué)數(shù)據(jù)安全審計(jì)工作滿足國家對(duì)合規(guī)性方面的要求

,,。

本文件是一項(xiàng)基礎(chǔ)的科學(xué)數(shù)據(jù)安全標(biāo)準(zhǔn)適用于科學(xué)數(shù)據(jù)機(jī)構(gòu)對(duì)科學(xué)數(shù)據(jù)相關(guān)活動(dòng)中所涉及的安

,,

全控制活動(dòng)進(jìn)行審計(jì)規(guī)定了科學(xué)數(shù)據(jù)安全審計(jì)的相關(guān)要求包括總體要求一般審計(jì)要求和專項(xiàng)審計(jì)

。,、

要求總體要求主要對(duì)審計(jì)依據(jù)審計(jì)目標(biāo)進(jìn)行描述一般審計(jì)要求是為了綜合評(píng)價(jià)科學(xué)數(shù)據(jù)相關(guān)機(jī)

。、。

構(gòu)安全目標(biāo)實(shí)現(xiàn)情況而進(jìn)行的審計(jì)從安全策略組織建設(shè)人力資源管理管理監(jiān)督安全管理科學(xué)數(shù)

,、、、、、

據(jù)生存周期業(yè)務(wù)流程等幾個(gè)方面對(duì)科學(xué)數(shù)據(jù)安全控制工作進(jìn)行通用審計(jì)專項(xiàng)審計(jì)要求是根據(jù)外部

,。

要求及內(nèi)部特殊要求而進(jìn)行的審計(jì)可滿足科學(xué)數(shù)據(jù)相關(guān)機(jī)構(gòu)對(duì)個(gè)人信息安全匯交安全數(shù)據(jù)出境安

,、、

全全部或部分的審計(jì)需要鑒于國家對(duì)數(shù)據(jù)安全合規(guī)監(jiān)管體系的不斷完善將對(duì)專項(xiàng)審計(jì)內(nèi)容進(jìn)行更

。,

新滿足國家的監(jiān)管要求

,。

科學(xué)數(shù)據(jù)安全審計(jì)要求的提出旨在客觀反映科學(xué)數(shù)據(jù)相關(guān)活動(dòng)安全控制的執(zhí)行情況從科學(xué)數(shù)據(jù)

,

的保密性可用性完整性可靠性可控性可追溯性不可否認(rèn)性等安全目標(biāo)及合規(guī)性等方面給出科學(xué)

、、、、、、

數(shù)據(jù)安全控制工作的評(píng)價(jià)

。

Ⅳ

GB/T43710—2025

科學(xué)數(shù)據(jù)安全審計(jì)要求

1范圍

本文件規(guī)定了科學(xué)數(shù)據(jù)安全審計(jì)的相關(guān)要求包括總體要求一般審計(jì)要求和專項(xiàng)審計(jì)要求

,、。

本文件適用于科學(xué)數(shù)據(jù)機(jī)構(gòu)對(duì)科學(xué)數(shù)據(jù)相關(guān)活動(dòng)中所涉及的安全控制活動(dòng)進(jìn)行審計(jì)

,。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款其中注日期的引用文

。,

件僅該日期對(duì)應(yīng)的版本適用于本文件不注日期的引用文件其最新版本包括所有的修改單適用于

,;,()

本文件

。

信息安全技術(shù)術(shù)語

GB/T25069

信息技術(shù)科學(xué)數(shù)據(jù)引用

GB/T35294

信息技術(shù)備份存儲(chǔ)備份技術(shù)應(yīng)用要求

GB/T36092—2018

信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南

GB/T3933