1 范圍
本標(biāo)準(zhǔn)規(guī)定了通過數(shù)據(jù)交易服務(wù)機(jī)構(gòu)進(jìn)行數(shù)據(jù)交易服務(wù)的安全要求����,包括數(shù)據(jù)交易參與方�����、交易對象和交易過程的安全要求�。
本標(biāo)準(zhǔn)適用于數(shù)據(jù)交易服務(wù)機(jī)構(gòu)進(jìn)行安全自評估���,也可供第三方測評機(jī)構(gòu)對數(shù)據(jù)交易服務(wù)機(jī)構(gòu)進(jìn)行安全評估時(shí)參考����。
2 規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的��。凡是注日期的引用文件���,僅注日期的版本適用于本文件����。凡是不注日期的引用文件�,其最新版本(包括所有的修改單)適用于本文件����。
GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求
GB/T 25069-2010 信息安全技術(shù) 術(shù)語
GB/T 35273-2017 信息安全技術(shù) 個人信息安全規(guī)范
GB/T 35274-2017 信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求
GB/T 36343-2018 信息技術(shù) 數(shù)據(jù)交易服務(wù)平臺 交易數(shù)據(jù)描述
GB/T 37988-2019 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型
3 術(shù)語和定義
GB/T 25069-2010和GB/T 36343-2018界定的以及下列術(shù)語和定義適用于本文件�。
3.1
數(shù)據(jù)交易 data transaction
數(shù)據(jù)供方和需方之間以數(shù)據(jù)商品作為交易對象,進(jìn)行的以貨幣或貨幣等價(jià)物交換數(shù)據(jù)商品的行為�����。
注1:數(shù)據(jù)商品包括用于交易的原始數(shù)據(jù)或加工處理后的數(shù)據(jù)衍生產(chǎn)品�。
注2:數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易,也包括以傳統(tǒng)數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易���。
3.2
數(shù)據(jù)供方 data supplier
數(shù)據(jù)交易中提供數(shù)據(jù)的組織機(jī)構(gòu)�。
3.3
數(shù)據(jù)需方 data acquirer
數(shù)據(jù)交易中購買和使用數(shù)據(jù)的組織機(jī)構(gòu)����。
3.4
數(shù)據(jù)交易服務(wù) data transaction service
幫助數(shù)據(jù)供方和需方完成數(shù)據(jù)交易的活動。
3.5
數(shù)據(jù)交易服務(wù)機(jī)構(gòu) data transaction service provider
為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務(wù)的組織機(jī)構(gòu)�。
3.6
數(shù)據(jù)交易服務(wù)平臺 data transaction service platform
為數(shù)據(jù)交易提供各項(xiàng)服務(wù)的信息化平臺。
3.7
在線數(shù)據(jù)交付 online data delivery
數(shù)據(jù)供方通過網(wǎng)絡(luò)向數(shù)據(jù)需方交付數(shù)據(jù)的模式����。
3.8
離線數(shù)據(jù)交付 offline data delivery
數(shù)據(jù)供需雙方在達(dá)成數(shù)據(jù)交易協(xié)議后,由數(shù)據(jù)供方通過離線方式將數(shù)據(jù)從供方提供給需方的交付模式。
3.9
托管數(shù)據(jù)交易 custodian data delivery
數(shù)據(jù)供需雙方在達(dá)成數(shù)據(jù)交易協(xié)議后��,由供方將數(shù)據(jù)拷貝到數(shù)據(jù)交易服務(wù)機(jī)構(gòu)指定的數(shù)據(jù)托管服務(wù)平臺����,需方在數(shù)據(jù)托管服務(wù)平臺內(nèi)使用數(shù)據(jù)��,數(shù)據(jù)不發(fā)生轉(zhuǎn)移的交付模式�。
3.10
數(shù)據(jù)交易過程 data exchanging process
數(shù)據(jù)供需雙方依托數(shù)據(jù)交易服務(wù)平臺針對具體的數(shù)據(jù)交易對象,進(jìn)行的一次完整和具體的數(shù)據(jù)交易行為���。
注:數(shù)據(jù)交易過程一般分為交易申請�����、交易磋商��、交易實(shí)施和交易結(jié)束等環(huán)節(jié)�����。
3.11
重要數(shù)據(jù) important data
我國機(jī)構(gòu)和個人在境內(nèi)收集���、產(chǎn)生的不涉及國家秘密,但與國家安全、經(jīng)濟(jì)發(fā)展以及公共利益密切相關(guān)的數(shù)據(jù)��。
注:重要數(shù)據(jù)通常指公共通信和信息服務(wù)�、能源、交通��、水利����、金融、公共服務(wù)���、電子政務(wù)等重要行業(yè)和領(lǐng)域的各類機(jī)構(gòu)在開展業(yè)務(wù)活動中收集和產(chǎn)生的����,不涉及國家秘密�,但一旦泄露、篡改或?yàn)E用將會對國家安全�����、經(jīng)濟(jì)發(fā)展和社會公共利益造成不利影響的數(shù)據(jù)(包括原始數(shù)據(jù)和衍生數(shù)據(jù))��。
[GB/T 35274-2017�,定義3.13]
4 安全概述
4.1 參考框架
數(shù)據(jù)交易是供需雙方對原始數(shù)據(jù)或加工處理后的數(shù)據(jù)依照交易過程進(jìn)行的活動�����。通過數(shù)據(jù)交易服務(wù)機(jī)構(gòu)進(jìn)行的數(shù)據(jù)交易服務(wù)參考框架如圖1所示���。數(shù)據(jù)交易涉及數(shù)據(jù)供方�����、數(shù)據(jù)需方和數(shù)據(jù)交易服務(wù)機(jī)構(gòu)��。數(shù)據(jù)交易服務(wù)機(jī)構(gòu)依托數(shù)據(jù)交易服務(wù)平臺�����,為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務(wù)�。從數(shù)據(jù)交易服務(wù)機(jī)構(gòu)角度出發(fā),數(shù)據(jù)交易過程一般包括交易申請����、交易磋商、交易實(shí)施和交易結(jié)束四個環(huán)節(jié)�。常見的數(shù)據(jù)交付模式包括在線模式、離線模式和托管模式����。
圖1 數(shù)據(jù)交易服務(wù)參考框架
4.2 數(shù)據(jù)交易安全原則
數(shù)據(jù)交易應(yīng)遵循以下原則:
a)合法合規(guī)原則:數(shù)據(jù)交易應(yīng)遵守我國關(guān)于數(shù)據(jù)安全管理的相關(guān)法律法規(guī)��,尊重社會公德��,不得損害國家利益�、社會公共利益和他人合法權(quán)益���。
b)主體責(zé)任共擔(dān)原則:數(shù)據(jù)供需雙方及數(shù)據(jù)交易服務(wù)機(jī)構(gòu)對數(shù)據(jù)交易后果負(fù)責(zé)�����,共同確保數(shù)據(jù)交易的安全�����。
c)數(shù)據(jù)安全防護(hù)原則:數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)采取數(shù)據(jù)安全保護(hù)��、檢測和響應(yīng)等措施��,防止數(shù)據(jù)丟失����、損毀��、泄露和篡改,確保數(shù)據(jù)安全���。
d) 個人信息保護(hù)原則:數(shù)據(jù)供需雙方和數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)采取個人信息安全保護(hù)技術(shù)和管理措施�����,避免個人信息的非法收集����、非法獲取��、非法出售����、濫用���、泄露等安全風(fēng)險(xiǎn)�����,切實(shí)保護(hù)個人權(quán)益�����。
e)交易過程可控原則:應(yīng)確保數(shù)據(jù)交易參與方的真實(shí)可信����、交易對象合法、數(shù)據(jù)交付過程可控和交易的非否認(rèn)性��,做到安全事件可追溯�、安全風(fēng)險(xiǎn)可防范。
5 數(shù)據(jù)交易參與方安全要求
5.1 數(shù)據(jù)供方安全要求
數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保數(shù)據(jù)供方滿足以下要求:
a)為一年內(nèi)無重大數(shù)據(jù)類違法違規(guī)記錄的合法組織機(jī)構(gòu)�����。
b)完成在數(shù)據(jù)交易服務(wù)機(jī)構(gòu)的注冊���,并經(jīng)數(shù)據(jù)交易服務(wù)機(jī)構(gòu)審核通過�,才允許參與數(shù)據(jù)交易業(yè)務(wù)�����。
c)數(shù)據(jù)供方應(yīng)證明其具備向數(shù)據(jù)需方安全交付數(shù)據(jù)的能力����。
d)向數(shù)據(jù)交易服務(wù)機(jī)構(gòu)提供書面的安全承諾,內(nèi)容包括但不限于:交易數(shù)據(jù)來源合法性證明材料����、交易數(shù)據(jù)滿足法律法規(guī)和政策要求�����、對交易數(shù)據(jù)質(zhì)量評估說明��、遵守?cái)?shù)據(jù)交易安全原則���、愿意接受數(shù)據(jù)交易服務(wù)機(jī)構(gòu)安全監(jiān)督、愿意對數(shù)據(jù)流通后果負(fù)責(zé)等�。
e)遵守?cái)?shù)據(jù)交易服務(wù)機(jī)構(gòu)的安全管理制度和流程。
5.2 數(shù)據(jù)需方安全要求
數(shù)據(jù)交易服務(wù)機(jī)構(gòu)應(yīng)確保數(shù)據(jù)需方滿足以下要求:
以上為標(biāo)準(zhǔn)部分內(nèi)容����,如需看標(biāo)準(zhǔn)全文�����,請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版�����。
