《關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全能力要求》（送審稿）編制說(shuō)明本團(tuán)體標(biāo)準(zhǔn)由中關(guān)村華安關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)聯(lián)盟提出并歸口，旨在指導(dǎo)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安也可供主管監(jiān)管部門(mén)、第三方測(cè)評(píng)機(jī)構(gòu)等對(duì)關(guān)鍵信息基礎(chǔ)設(shè)本團(tuán)體標(biāo)準(zhǔn)的起草單位包括中國(guó)聯(lián)合網(wǎng)絡(luò)通信集團(tuán)有限公司、中關(guān)村華安關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)聯(lián)盟、中國(guó)聯(lián)合網(wǎng)絡(luò)通信有限公司有限公司、中國(guó)電子科技集團(tuán)公司第十五研究所、中國(guó)軟件軟件技術(shù)開(kāi)發(fā)中心、北京國(guó)信城研科學(xué)技術(shù)研究院、國(guó)家工心、工業(yè)和信息化部教育與考試中心、天津恒御科技有限公國(guó)家基礎(chǔ)地理信息中心、南方電網(wǎng)數(shù)字電網(wǎng)集團(tuán)信息通信科科技有限公司、恒安嘉新(北京)科技股份公司、江蘇大道云隱科技有限公司、北京君航偉業(yè)科技發(fā)展有限公司22家單位。這些單位在關(guān)鍵信息基礎(chǔ)設(shè)施防護(hù)及數(shù)據(jù)安全的研究與實(shí)踐領(lǐng)域具備豐富經(jīng)驗(yàn)和技術(shù)實(shí)力，業(yè)務(wù)范圍覆蓋電信、交通、能源、教育等重鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、科研機(jī)構(gòu)、測(cè)評(píng)機(jī)構(gòu)、安全廠商等政策要求，以及關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全防護(hù)能力建設(shè)與行了深入調(diào)研和集中研討。對(duì)國(guó)內(nèi)外相關(guān)標(biāo)準(zhǔn)和文獻(xiàn)進(jìn)行了業(yè)現(xiàn)有數(shù)據(jù)安全防護(hù)規(guī)范性要求與執(zhí)行情況，為本標(biāo)準(zhǔn)的制根據(jù)各單位的專業(yè)優(yōu)勢(shì)和技術(shù)特長(zhǎng)，組建了由22家涵蓋關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、科研院所、測(cè)評(píng)機(jī)構(gòu)、安全廠商的單位構(gòu)成的起草小組，每家單位委派1-2名專家深度參與標(biāo)準(zhǔn)編制工作。起草小組成員包括：曹李浩宇、胡文慧、徐雷、李佳杭、陶冶、陳厚昕、孫琪白惠文、李安倫、吳建華、王世軼、毛爭(zhēng)艷、游順、張少昌、王尊、趙冉、譚志彬、張平賀、修鳳洲、徐彬、李月航、肖紅陽(yáng)、郭建宇李琳、胡興元、劉洋、李恒、方展?jié)?、王海霞、王?mèng)媛、劉志強(qiáng)、黃圣超、增周君、金虎山等。并明確了起草小組各成員的職責(zé)和分工起草小組嚴(yán)格依據(jù)GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定，結(jié)合前期調(diào)研成果在起草過(guò)程中，起草小組充分考量關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全保護(hù)、網(wǎng)絡(luò)安全等級(jí)保護(hù)與關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)的關(guān)聯(lián)性，確立安全能力框架、總體要求。針對(duì)運(yùn)營(yíng)者實(shí)施數(shù)據(jù)安全防護(hù)與評(píng)審，廣泛征集各起草單位代表、小組成員及行業(yè)專依據(jù)內(nèi)部研討與專家評(píng)審意見(jiàn)，起草小組對(duì)標(biāo)準(zhǔn)進(jìn)行多輪修改完善，進(jìn)一步本標(biāo)準(zhǔn)以數(shù)據(jù)安全防護(hù)體系為基礎(chǔ)，緊扣關(guān)鍵信息基礎(chǔ)設(shè)施及數(shù)字生態(tài)安全核心需求，確保標(biāo)準(zhǔn)內(nèi)容準(zhǔn)確反映關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)中，廣泛參考國(guó)內(nèi)外權(quán)威管理要求與技術(shù)文獻(xiàn)，充分汲豐富實(shí)踐經(jīng)驗(yàn)，構(gòu)建科學(xué)的數(shù)據(jù)安全能力框架，并對(duì)關(guān)本標(biāo)準(zhǔn)秉持實(shí)用性導(dǎo)向，緊密貼合關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全防護(hù)的實(shí)際應(yīng)用需求，聚焦其特性及能力建設(shè)關(guān)鍵問(wèn)題，提出針對(duì)性安銜接網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)要求和標(biāo)準(zhǔn)，確保與等級(jí)保護(hù)全面且具操作性的數(shù)據(jù)安全防護(hù)能力要求體系。在制定過(guò)基礎(chǔ)設(shè)施運(yùn)營(yíng)者、安全廠商、研究機(jī)構(gòu)等多方意見(jiàn)建議，本標(biāo)準(zhǔn)遵循協(xié)調(diào)性原則，充分考慮與現(xiàn)有國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)及國(guó)際標(biāo)準(zhǔn)的協(xié)同性。制定過(guò)程中，深入分析相關(guān)標(biāo)準(zhǔn)內(nèi)容，確保與現(xiàn)格采用通用技術(shù)術(shù)語(yǔ)和定義，保障本標(biāo)準(zhǔn)與其他相關(guān)標(biāo)準(zhǔn)以GB/T35274《數(shù)據(jù)安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》為基礎(chǔ)，融合GB/T22239《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》和GB/T39204《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》的核心要求，深入剖析關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全防護(hù)的總體目標(biāo)。在此基礎(chǔ)上，將能力要求拆解安全管理、數(shù)據(jù)全生命周期安全保障、數(shù)據(jù)安全風(fēng)險(xiǎn)防范等參考了我國(guó)網(wǎng)絡(luò)安全領(lǐng)域的重要標(biāo)準(zhǔn)，例如：GB/T22239《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、GB/T39204《信息安全技術(shù)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》、GB/T35274《數(shù)據(jù)安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》、GB/T41479《信息安全技術(shù)網(wǎng)絡(luò)數(shù)據(jù)處理安全要求》、GB/T37973《信息安全技術(shù)大數(shù)據(jù)安全管理指南》等，確保與現(xiàn)行標(biāo)準(zhǔn)體系的兼容性三、主要試驗(yàn)（或驗(yàn)證）的分析、綜述，技術(shù)經(jīng)濟(jì)論證，預(yù)期的經(jīng)濟(jì)在與等級(jí)保護(hù)制度有機(jī)結(jié)合方面，重點(diǎn)調(diào)研了不同行業(yè)關(guān)鍵信息基礎(chǔ)設(shè)施的數(shù)據(jù)安全防護(hù)實(shí)踐。在明確關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全要求鍵信息基礎(chǔ)設(shè)施的特點(diǎn)，提出了針對(duì)性的補(bǔ)充要求，力求全施的各類場(chǎng)景。在整體能力框架構(gòu)建方面，參考了電信、能的管理要求，初步驗(yàn)證表明，本文件提出的數(shù)據(jù)安全能力要后續(xù)計(jì)劃選取典型關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)單位開(kāi)展試點(diǎn)驗(yàn)證本標(biāo)準(zhǔn)的安全防護(hù)能力要求基于充分的調(diào)研驗(yàn)證制定，起草單位在數(shù)據(jù)安全能力規(guī)劃、建設(shè)及運(yùn)營(yíng)方面具備豐富經(jīng)驗(yàn)，標(biāo)準(zhǔn)內(nèi)容深度運(yùn)營(yíng)機(jī)制等多維度的驗(yàn)證，證明標(biāo)準(zhǔn)在技術(shù)層面具有切實(shí)在經(jīng)濟(jì)合理性方面，本標(biāo)準(zhǔn)通過(guò)細(xì)化關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全防護(hù)能力體系，明確能力建設(shè)的實(shí)施路徑，助力運(yùn)營(yíng)者科學(xué)規(guī)劃數(shù)據(jù)安控制成本預(yù)算，避免運(yùn)營(yíng)者在數(shù)據(jù)安全防護(hù)建設(shè)中的過(guò)度投源的合理配置與高效利用，從而在保障數(shù)據(jù)安全的同時(shí)，實(shí)本標(biāo)準(zhǔn)的實(shí)施將為關(guān)鍵信息基礎(chǔ)設(shè)施相關(guān)行業(yè)提供清晰的數(shù)據(jù)安全能力建設(shè)指引，有助于提升關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者數(shù)據(jù)安全防護(hù)水平務(wù)升級(jí)，促進(jìn)數(shù)據(jù)安全產(chǎn)業(yè)與關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域的深度融將引導(dǎo)行業(yè)資源向高效安全領(lǐng)域配置，構(gòu)建良性互動(dòng)的產(chǎn)業(yè)生明確的數(shù)據(jù)安全能力要求可幫助運(yùn)營(yíng)者建立前瞻性防護(hù)體系，有效減少數(shù)據(jù)泄露、勒索攻擊等安全事件導(dǎo)致的直接經(jīng)濟(jì)損失，同時(shí)降間接風(fēng)險(xiǎn)。通過(guò)提升數(shù)據(jù)安全防護(hù)能力，不僅有利于保障運(yùn)行，更能維護(hù)經(jīng)濟(jì)秩序和社會(huì)穩(wěn)定，為運(yùn)營(yíng)主體和社會(huì)四、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)的程度，以及與國(guó)際、國(guó)內(nèi)同類標(biāo)GDPR（通用數(shù)據(jù)保護(hù)條例）等國(guó)際標(biāo)準(zhǔn)及國(guó)外先進(jìn)規(guī)范進(jìn)行了系統(tǒng)性研究。鑒于當(dāng)前國(guó)際層面缺乏針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全的專門(mén)標(biāo)適用場(chǎng)景、法律體系及技術(shù)要求上與我國(guó)國(guó)情存在差異，因國(guó)際主流標(biāo)準(zhǔn)如ISO27000系列（信息安全管理體系）、NIST隱私框架及GDPR，主要聚焦通用數(shù)據(jù)安全與隱私保護(hù)，尚未形成針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全的專項(xiàng)標(biāo)準(zhǔn)體系。本標(biāo)準(zhǔn)緊密結(jié)合我國(guó)《關(guān)鍵信息基礎(chǔ)法規(guī)要求，針對(duì)電信、交通、電力等關(guān)鍵領(lǐng)域信息基礎(chǔ)設(shè)施從組織保障、技術(shù)防護(hù)、應(yīng)急處置等維度構(gòu)建能力體系，在國(guó)內(nèi)已發(fā)布實(shí)施GB/T39204《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求》等基礎(chǔ)性國(guó)家標(biāo)準(zhǔn)，但在數(shù)據(jù)安全領(lǐng)域的能力要求尚未形成細(xì)化規(guī)范。礎(chǔ)設(shè)施數(shù)據(jù)安全能力提出具體要求和指標(biāo)，填補(bǔ)了國(guó)內(nèi)關(guān)鍵《中華人民共和國(guó)個(gè)人信息保護(hù)法》《關(guān)鍵信息基礎(chǔ)設(shè)施安據(jù)安全管理?xiàng)l例》等現(xiàn)行法律法規(guī)要求，在數(shù)據(jù)收集、存儲(chǔ)規(guī)范中確保與上位法的一致性，杜絕標(biāo)準(zhǔn)內(nèi)容與法律條在關(guān)鍵信息基礎(chǔ)設(shè)施領(lǐng)域，數(shù)據(jù)安全是保障系統(tǒng)穩(wěn)定運(yùn)行的核心要素。當(dāng)前行業(yè)缺乏針對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施數(shù)據(jù)安全的專項(xiàng)能力規(guī)實(shí)際需求，明確數(shù)據(jù)安全組織保障、技術(shù)防護(hù)、應(yīng)急處者構(gòu)建數(shù)據(jù)安全防護(hù)體系提供精準(zhǔn)指導(dǎo)，滿足中關(guān)村華作為團(tuán)體標(biāo)準(zhǔn)，本標(biāo)準(zhǔn)為關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者、檢測(cè)機(jī)構(gòu)、安全廠商等相關(guān)方搭建統(tǒng)一技術(shù)交流平臺(tái)。通過(guò)標(biāo)準(zhǔn)制定與推廣，推動(dòng)設(shè)領(lǐng)域的經(jīng)驗(yàn)共享與技術(shù)協(xié)作，鼓勵(lì)企業(yè)在合規(guī)框架下開(kāi)展中關(guān)村華安關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)聯(lián)盟負(fù)責(zé)組織標(biāo)準(zhǔn)宣傳工作，通過(guò)舉辦標(biāo)準(zhǔn)宣貫會(huì)、技術(shù)論壇、行業(yè)研討會(huì)等形式，向會(huì)員單位解讀標(biāo)準(zhǔn)內(nèi)容、實(shí)施意義及應(yīng)用價(jià)值，提升標(biāo)準(zhǔn)的組織開(kāi)展針對(duì)本標(biāo)準(zhǔn)的培訓(xùn)教育活動(dòng)，邀請(qǐng)起草專家對(duì)相關(guān)人員開(kāi)展專項(xiàng)培鼓勵(lì)具備條件的會(huì)員單位率先開(kāi)展標(biāo)準(zhǔn)試點(diǎn)應(yīng)用，通過(guò)總結(jié)實(shí)踐經(jīng)驗(yàn)，形成應(yīng)用案例，展示標(biāo)準(zhǔn)的可行性和有效性，為行業(yè)提供可復(fù)中關(guān)村華安關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)聯(lián)盟建立對(duì)本標(biāo)準(zhǔn)貫徹實(shí)施情況的監(jiān)督機(jī)制，定期對(duì)會(huì)員單位及相關(guān)企業(yè)的標(biāo)準(zhǔn)執(zhí)在標(biāo)準(zhǔn)貫徹實(shí)施過(guò)程中，建立專門(mén)的標(biāo)準(zhǔn)反饋