陳 磊，彭理云，單博深，左曉棟

(1.中國工程院戰(zhàn)略咨詢中心，北京 100088；2.清華大學(xué)科研院所，北京 100084；3.中國科學(xué)技術(shù)大學(xué)，安徽 合肥 230026)

0 引言

當(dāng)前，數(shù)據(jù)已經(jīng)成為新型生產(chǎn)要素，數(shù)據(jù)安全則深刻影響經(jīng)濟(jì)運(yùn)行乃至國家安全。為了進(jìn)一步提高數(shù)據(jù)安全治理能力，我國于2021年9月發(fā)布實(shí)施了《數(shù)據(jù)安全法》，快速制定了一系列數(shù)據(jù)安全制度細(xì)則。“重要數(shù)據(jù)”概念是數(shù)據(jù)安全制度的核心，也是數(shù)據(jù)安全監(jiān)管的主要對(duì)象。為了明確對(duì)重要數(shù)據(jù)的基線安全要求，全國信安標(biāo)委正在組織編制國家標(biāo)準(zhǔn)《信息安全技術(shù) 重要數(shù)據(jù)處理安全要求》，并已于近日公開征求意見。本文介紹了該標(biāo)準(zhǔn)的編制思路。

1 標(biāo)準(zhǔn)編制背景

隨著信息化發(fā)展，海量數(shù)據(jù)加速生產(chǎn)和匯聚，已經(jīng)成為了國家基礎(chǔ)性戰(zhàn)略資源，數(shù)據(jù)安全成為國家網(wǎng)絡(luò)安全工作的一項(xiàng)重點(diǎn)[1-2]。按照數(shù)據(jù)安全的維度，數(shù)據(jù)可分為一般數(shù)據(jù)、重要數(shù)據(jù)、核心數(shù)據(jù)等。重要數(shù)據(jù)直接影響國家安全且分布廣泛，遍布各種規(guī)模的組織，其一旦被泄露、損毀、篡改、濫用將可能造成嚴(yán)重后果，進(jìn)而危害國家安全與公共利益[3-4]。

近年來國家出臺(tái)并實(shí)施了一系列的法律法規(guī)文件，以提高對(duì)重要數(shù)據(jù)的治理能力。2016年實(shí)施的《網(wǎng)絡(luò)安全法》首次對(duì)重要數(shù)據(jù)保護(hù)提出要求[5]；2021年實(shí)施的《數(shù)據(jù)安全法》要求建立數(shù)據(jù)分類分級(jí)保護(hù)制度，對(duì)重要數(shù)據(jù)施行重點(diǎn)保護(hù)[6]；同年國家互聯(lián)網(wǎng)信息辦公室對(duì)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》公開征求意見，該文件擬設(shè)立一系列重要數(shù)據(jù)安全保護(hù)制度。此外，《網(wǎng)絡(luò)安全審查辦法》《數(shù)據(jù)出境安全評(píng)估辦法》等文件也對(duì)重要數(shù)據(jù)保護(hù)作出了相關(guān)規(guī)定。

為落實(shí)國家對(duì)重要數(shù)據(jù)保護(hù)的相關(guān)要求，業(yè)界迫切需要一部國家標(biāo)準(zhǔn)，以具體指導(dǎo)各行業(yè)規(guī)范地處理重要數(shù)據(jù)[7-8]。該標(biāo)準(zhǔn)將對(duì)重要數(shù)據(jù)處理者提出安全要求，也將為相關(guān)組織對(duì)重要數(shù)據(jù)處理者開展安全監(jiān)管活動(dòng)提供評(píng)估參考。

2 標(biāo)準(zhǔn)編制過程

“重要數(shù)據(jù)”是我國首次提出的概念，目前尚未成為一個(gè)國際通用詞匯。但從國際數(shù)據(jù)保護(hù)的趨勢來看，除涉密信息與個(gè)人信息范圍外，世界各國也都在加強(qiáng)對(duì)其他一些特定數(shù)據(jù)的保護(hù)。編制組深入閱讀理解了國內(nèi)外法律法規(guī)及標(biāo)準(zhǔn)文件的相應(yīng)要求，并在此基礎(chǔ)上開展了標(biāo)準(zhǔn)的具體編制工作。

按照全國信安標(biāo)委標(biāo)準(zhǔn)申報(bào)立項(xiàng)流程，編制組自2022年3月形成標(biāo)準(zhǔn)草案V1.0版本并提交答辯以來，不斷修改完善標(biāo)準(zhǔn)文件內(nèi)容，于2022年10月通過了信安標(biāo)委標(biāo)準(zhǔn)立項(xiàng)。此后開展了標(biāo)準(zhǔn)試點(diǎn)應(yīng)用工作，結(jié)合試點(diǎn)反饋結(jié)果及專家意見，最終形成了標(biāo)準(zhǔn)征求意見稿，已于近日公開征求意見。

3 標(biāo)準(zhǔn)編制原則

該標(biāo)準(zhǔn)旨在指導(dǎo)數(shù)據(jù)處理者落實(shí)《數(shù)據(jù)安全法》及重要數(shù)據(jù)安全保護(hù)制度的相關(guān)要求。編制組首先研究了兩類基本問題：數(shù)據(jù)安全與基礎(chǔ)性網(wǎng)絡(luò)安全之間的關(guān)系問題，重要數(shù)據(jù)安全與數(shù)據(jù)安全之間的關(guān)系問題。這兩類問題直接關(guān)系整部標(biāo)準(zhǔn)的編制思路，也決定了標(biāo)準(zhǔn)的定位與標(biāo)準(zhǔn)內(nèi)容范圍。

3.1 數(shù)據(jù)安全與基礎(chǔ)性網(wǎng)絡(luò)安全之間的關(guān)系

數(shù)據(jù)安全包含以下四方面內(nèi)涵，不能將數(shù)據(jù)安全單純看作網(wǎng)絡(luò)安全的組成部分。

(1)環(huán)境安全。數(shù)據(jù)安全與其所處的網(wǎng)絡(luò)和系統(tǒng)安全密切相關(guān)，如果網(wǎng)絡(luò)系統(tǒng)遭到惡意入侵，則系統(tǒng)內(nèi)數(shù)據(jù)的安全無從談起。因此在這一層面上，網(wǎng)絡(luò)安全與數(shù)據(jù)安全是密切相關(guān)且無法切割的。

(2)資產(chǎn)安全，即數(shù)據(jù)自身安全。這主要體現(xiàn)在數(shù)據(jù)自身是否能夠防范攻擊、篡改、竊取等惡意網(wǎng)絡(luò)行為。傳統(tǒng)上可以通過加密、脫敏等技術(shù)手段及措施提高數(shù)據(jù)資產(chǎn)的安全保護(hù)水平。

(3)行為安全，即數(shù)據(jù)處理活動(dòng)是否合法。數(shù)據(jù)處理組織在提高數(shù)據(jù)安全外部防護(hù)水平的同時(shí)，是否能夠嚴(yán)格遵守法律法規(guī)，杜絕在數(shù)據(jù)處理過程中出現(xiàn)越權(quán)、專權(quán)乃至監(jiān)守自盜的情況，此類問題至關(guān)重要。

(4)生產(chǎn)要素安全。為了更好地釋放數(shù)據(jù)的潛在價(jià)值，需要解決數(shù)據(jù)確權(quán)授權(quán)、數(shù)據(jù)定價(jià)、數(shù)據(jù)開發(fā)利用主體選擇、數(shù)據(jù)開發(fā)利用過程監(jiān)管等一系列問題，這是當(dāng)前數(shù)據(jù)安全問題中亟需解決的痛點(diǎn)。

重要數(shù)據(jù)安全處理要求應(yīng)當(dāng)統(tǒng)籌考慮以上四方面內(nèi)容，而不能僅考慮重要數(shù)據(jù)生命周期過程中的安全處理要求。由于目前已存在大量有關(guān)數(shù)據(jù)環(huán)境安全的標(biāo)準(zhǔn)規(guī)范，故本標(biāo)準(zhǔn)不在該方向過多展開，但仍需強(qiáng)調(diào)三個(gè)方面：一是數(shù)據(jù)處理者應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)處理、傳輸網(wǎng)絡(luò)、存儲(chǔ)環(huán)境等系統(tǒng)組成部分的安全防護(hù)能力，確保處理重要數(shù)據(jù)的系統(tǒng)滿足網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)系統(tǒng)以上的安全標(biāo)準(zhǔn)；二是數(shù)據(jù)處理者應(yīng)當(dāng)使用密碼算法對(duì)重要數(shù)據(jù)與核心數(shù)據(jù)進(jìn)行保護(hù)；三是數(shù)據(jù)處理者使用的云服務(wù)應(yīng)當(dāng)符合國家關(guān)于云計(jì)算服務(wù)安全管理的規(guī)定。

3.2 重要數(shù)據(jù)安全與數(shù)據(jù)安全之間的關(guān)系

近年來，我國網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作加大了對(duì)數(shù)據(jù)安全標(biāo)準(zhǔn)制修訂的支持，每年均有相當(dāng)大比例的指標(biāo)用于委托編制數(shù)據(jù)安全標(biāo)準(zhǔn)，常規(guī)性的數(shù)據(jù)安全要求已不必在重要數(shù)據(jù)安全標(biāo)準(zhǔn)中贅述。故本標(biāo)準(zhǔn)從以下四個(gè)方面突出重要數(shù)據(jù)處理安全要求相較于數(shù)據(jù)安全處理要求的特殊性：一是在安全保護(hù)強(qiáng)度上，重要數(shù)據(jù)安全處理要求要嚴(yán)于普通數(shù)據(jù)安全處理要求；二是在管理制度上，重要數(shù)據(jù)安全處理要求要嚴(yán)于普通數(shù)據(jù)安全處理要求；三是在合規(guī)要求上，凡對(duì)于重要數(shù)據(jù)安全處理在法律法規(guī)層面有明確規(guī)定的，均應(yīng)通過標(biāo)準(zhǔn)的形式予以細(xì)化；四是在配合監(jiān)管上，重要數(shù)據(jù)處理者應(yīng)承擔(dān)其特定的法律義務(wù)。

4 標(biāo)準(zhǔn)主要內(nèi)容

編制組從三個(gè)維度，即數(shù)據(jù)所在的網(wǎng)絡(luò)與系統(tǒng)安全、數(shù)據(jù)處理活動(dòng)生命周期安全和數(shù)據(jù)處理者所在組織的運(yùn)行與管理安全出發(fā)，對(duì)重要數(shù)據(jù)處理提出安全要求。

4.1 設(shè)施安全

標(biāo)準(zhǔn)對(duì)處理重要數(shù)據(jù)過程中使用的信息系統(tǒng)、云平臺(tái)等網(wǎng)絡(luò)設(shè)施提出了安全要求。處理重要數(shù)據(jù)的系統(tǒng)應(yīng)滿足國標(biāo)《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》(GB/T 22239—2019)中對(duì)網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)系統(tǒng)的安全要求；當(dāng)重要數(shù)據(jù)處理者使用到云服務(wù)時(shí)，應(yīng)首先論證重要數(shù)據(jù)上云的必要性，并重點(diǎn)評(píng)估云計(jì)算服務(wù)提供者的安全可信性以及云服務(wù)平臺(tái)的安全狀況。禁止于存在不可接受的安全風(fēng)險(xiǎn)的云服務(wù)平臺(tái)上處理重要數(shù)據(jù)。

4.2 數(shù)據(jù)處理活動(dòng)的安全

數(shù)據(jù)的生命周期包括收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等活動(dòng)，各活動(dòng)之間有明確的邊界，能夠從邏輯上對(duì)各階段進(jìn)行嚴(yán)格的區(qū)分。從安全需求的角度來看，對(duì)于密切相關(guān)的部分活動(dòng)具有同樣適用的安全要求。因此，編制組對(duì)數(shù)據(jù)的生命周期進(jìn)行了合并，僅保留了收集、存儲(chǔ)、使用和加工、傳輸與提供、公開和刪除六個(gè)活動(dòng)，并對(duì)各活動(dòng)提出了具體的安全要求。

(1)收集活動(dòng)

標(biāo)準(zhǔn)從數(shù)據(jù)采集過程的合法性、數(shù)據(jù)采集質(zhì)量及落實(shí)國家數(shù)據(jù)安全分類分級(jí)制度三個(gè)方面提出要求。數(shù)據(jù)處理者應(yīng)當(dāng)按照法律法規(guī)的要求規(guī)范數(shù)據(jù)收集程序，明確收集數(shù)據(jù)的目的、范圍、頻度、方式及存儲(chǔ)期限，并對(duì)數(shù)據(jù)收集過程進(jìn)行安全性評(píng)估。在國家和行業(yè)主管監(jiān)管部門有關(guān)數(shù)據(jù)分類分級(jí)的規(guī)定下，結(jié)合本組織的具體情況，充分考慮數(shù)據(jù)特征、業(yè)務(wù)類型等因素，進(jìn)一步制定、落實(shí)并定期更新本組織的數(shù)據(jù)分類分級(jí)管理制度。

(2)存儲(chǔ)活動(dòng)

標(biāo)準(zhǔn)在重要數(shù)據(jù)存儲(chǔ)管理、存儲(chǔ)位置、存儲(chǔ)期限、備份與恢復(fù)四個(gè)方面提出要求。重要數(shù)據(jù)處理者應(yīng)當(dāng)制定重要數(shù)據(jù)存儲(chǔ)管理制度，對(duì)安全保護(hù)、訪問流程等過程做出明確的規(guī)定，采用密碼技術(shù)等手段保護(hù)重要數(shù)據(jù)的完整性與保密性。數(shù)據(jù)處理者應(yīng)在公共信息網(wǎng)絡(luò)與存儲(chǔ)系統(tǒng)之間提供邏輯隔離措施，落實(shí)在境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)不得存儲(chǔ)于境外服務(wù)器的要求，從時(shí)間和空間兩個(gè)維度上對(duì)重要數(shù)據(jù)進(jìn)行安全管控。同時(shí)應(yīng)制定重要數(shù)據(jù)備份與恢復(fù)計(jì)劃，定期開展數(shù)據(jù)恢復(fù)實(shí)戰(zhàn)演練并及時(shí)評(píng)估數(shù)據(jù)恢復(fù)質(zhì)量，避免因重要數(shù)據(jù)丟失、損毀而導(dǎo)致組織業(yè)務(wù)中斷乃至終止等情況的發(fā)生。

(3)使用與加工活動(dòng)

標(biāo)準(zhǔn)在重要數(shù)據(jù)的訪問控制、安全評(píng)估、保密審查等方面提出要求。重要數(shù)據(jù)處理者應(yīng)當(dāng)遵循最小特權(quán)、職責(zé)分離等原則，對(duì)重要數(shù)據(jù)制定訪問控制策略，建立統(tǒng)一身份認(rèn)證和訪問管理平臺(tái)，嚴(yán)格限制重要數(shù)據(jù)所在系統(tǒng)中特權(quán)賬號(hào)的設(shè)置與使用。同時(shí)應(yīng)當(dāng)制定重要數(shù)據(jù)安全評(píng)估制度，在重要數(shù)據(jù)使用加工前對(duì)使用目的、范圍、方式、人員、防護(hù)措施等信息進(jìn)行評(píng)估，并將評(píng)估結(jié)果交由該組織數(shù)據(jù)安全負(fù)責(zé)人進(jìn)行審批。數(shù)據(jù)處理者應(yīng)當(dāng)建立保密審查制度，按照國家有關(guān)規(guī)定對(duì)數(shù)據(jù)加工結(jié)果進(jìn)行審查。當(dāng)審查結(jié)果中發(fā)現(xiàn)國家秘密信息時(shí)，應(yīng)當(dāng)及時(shí)上報(bào)并按照相關(guān)保密規(guī)定處理，避免出現(xiàn)因重要數(shù)據(jù)匯集而泄露國家秘密信息的情況。

(4)傳輸與提供活動(dòng)

標(biāo)準(zhǔn)在法律文件、評(píng)估審批、監(jiān)督保護(hù)、數(shù)據(jù)交易、接收方義務(wù)、跨境傳輸?shù)确矫鎸?duì)重要數(shù)據(jù)處理提出安全要求。數(shù)據(jù)處理者在對(duì)外提供或共享重要數(shù)據(jù)時(shí)，應(yīng)對(duì)數(shù)據(jù)使用目的、范圍、方式、數(shù)據(jù)量、可能造成的安全風(fēng)險(xiǎn)、接收方誠信狀況、守法情況、安全防護(hù)能力、人員情況等信息進(jìn)行評(píng)估，與數(shù)據(jù)接收方簽訂重要數(shù)據(jù)安全處理合同等法律文件，并監(jiān)督接收方履行安全保護(hù)義務(wù)。在傳輸重要數(shù)據(jù)時(shí)，雙方應(yīng)在鑒別兩端主體身份的基礎(chǔ)上，采取加密、防重放等措施建立安全通道，并在不同網(wǎng)絡(luò)區(qū)域間建立安全隔離，確保數(shù)據(jù)傳輸過程中的保密性、安全性及不可否認(rèn)性。當(dāng)存在重要數(shù)據(jù)及其衍生數(shù)據(jù)的交易活動(dòng)時(shí)，數(shù)據(jù)處理者應(yīng)對(duì)數(shù)據(jù)交易的全過程進(jìn)行審計(jì)，并建立追溯數(shù)據(jù)交易過程的能力。當(dāng)數(shù)據(jù)處理者向位于境外的數(shù)據(jù)接收者提供重要數(shù)據(jù)時(shí)，應(yīng)按照國家的規(guī)定履行應(yīng)盡的義務(wù)。數(shù)據(jù)接收方應(yīng)當(dāng)提供不低于數(shù)據(jù)處理者的數(shù)據(jù)安全保護(hù)能力，嚴(yán)格履行合同等法律文件所規(guī)定的義務(wù)，在不超過約定的目的、范圍、方式的前提下處理重要數(shù)據(jù)，并提供數(shù)據(jù)刪除機(jī)制，對(duì)超出期限的重要數(shù)據(jù)進(jìn)行安全處理。

(5)公開活動(dòng)

標(biāo)準(zhǔn)對(duì)數(shù)據(jù)處理者公開重要數(shù)據(jù)及其加工結(jié)果的活動(dòng)提出了安全要求。數(shù)據(jù)處理者應(yīng)當(dāng)制定重要數(shù)據(jù)公開管理制度，定時(shí)評(píng)估公開內(nèi)容、形式、范圍、期限是否正當(dāng)、必要，同時(shí)評(píng)估安全防護(hù)和管理措施是否有效。數(shù)據(jù)處理者應(yīng)定期更新和評(píng)估已公開的重要數(shù)據(jù)，對(duì)不適宜繼續(xù)公開或超出公開期限的重要數(shù)據(jù)進(jìn)行召回與銷毀。

(6)刪除活動(dòng)

標(biāo)準(zhǔn)對(duì)數(shù)據(jù)處理者如何安全地刪除重要數(shù)據(jù)提出要求。數(shù)據(jù)處理者應(yīng)當(dāng)明確數(shù)據(jù)刪除操作規(guī)范，制定重要數(shù)據(jù)刪除評(píng)估與審批程序，開發(fā)數(shù)據(jù)刪除技術(shù)與工具，并嚴(yán)格按照操作規(guī)范開展重要數(shù)據(jù)的刪除活動(dòng)。同時(shí)建立數(shù)據(jù)刪除效果評(píng)估機(jī)制，定期檢查數(shù)據(jù)刪除措施的有效性，并維護(hù)數(shù)據(jù)刪除過程日志清單。數(shù)據(jù)處理者應(yīng)制定重要數(shù)據(jù)存儲(chǔ)介質(zhì)管理制度與介質(zhì)銷毀管理制度，明確存儲(chǔ)介質(zhì)的訪問使用管理規(guī)范，并對(duì)專有介質(zhì)進(jìn)行重點(diǎn)管理。數(shù)據(jù)處理者應(yīng)對(duì)介質(zhì)訪問、使用、銷毀全過程進(jìn)行記錄和審計(jì)，并定期對(duì)檢查銷毀效果及日志記錄。

4.3 數(shù)據(jù)處理活動(dòng)的安全

目前，很多數(shù)據(jù)安全方案聚焦于網(wǎng)絡(luò)安全建設(shè)及網(wǎng)絡(luò)安全技術(shù)應(yīng)用，往往缺乏對(duì)組織運(yùn)營及管理安全等方面的關(guān)注。標(biāo)準(zhǔn)從人員組織、數(shù)據(jù)治理設(shè)施、供應(yīng)鏈管理、應(yīng)急處理、風(fēng)險(xiǎn)評(píng)估、配合監(jiān)督管理六個(gè)方面，對(duì)開展重要數(shù)據(jù)處理活動(dòng)的組織提出安全要求，指導(dǎo)各類組織提高自身重要數(shù)據(jù)保護(hù)能力。

(1)明確組織相關(guān)人員與組織內(nèi)設(shè)機(jī)構(gòu)的職責(zé)。數(shù)據(jù)處理者應(yīng)當(dāng)成立重要數(shù)據(jù)安全管理機(jī)構(gòu)，并委任專人作為重要數(shù)據(jù)安全負(fù)責(zé)人。管理機(jī)構(gòu)負(fù)責(zé)制定數(shù)據(jù)安全管理制度、操作規(guī)程和重要數(shù)據(jù)安全事件應(yīng)急預(yù)案，確保重要數(shù)據(jù)安全管理制度覆蓋全部重要數(shù)據(jù)處理活動(dòng)。重要數(shù)據(jù)安全負(fù)責(zé)人應(yīng)當(dāng)被賦予充足的資源，以使其能夠獨(dú)立履行職責(zé)，從而落實(shí)本單位重要數(shù)據(jù)保護(hù)計(jì)劃。組織應(yīng)當(dāng)定期開展重要數(shù)據(jù)安全風(fēng)險(xiǎn)監(jiān)測、風(fēng)險(xiǎn)評(píng)估及應(yīng)急演練，同時(shí)對(duì)參與重要數(shù)據(jù)處理的相關(guān)人員進(jìn)行嚴(yán)格的管理。在人員錄用前組織應(yīng)對(duì)其進(jìn)行安全背景審查，并定期對(duì)相關(guān)人員進(jìn)行重要數(shù)據(jù)處理安全培訓(xùn)及評(píng)估考核，以確保其具有足夠的專業(yè)知識(shí)與技能。

(2)數(shù)據(jù)治理設(shè)施。標(biāo)準(zhǔn)對(duì)重要數(shù)據(jù)處理過程中使用到的數(shù)據(jù)治理工具及管理系統(tǒng)提出安全要求。數(shù)據(jù)處理者應(yīng)當(dāng)實(shí)施數(shù)據(jù)安全治理策略并部署數(shù)據(jù)治理工具，設(shè)立數(shù)據(jù)處理活動(dòng)檢測規(guī)則與安全基線以管理審計(jì)數(shù)據(jù)資產(chǎn)活動(dòng)，并預(yù)測識(shí)別潛在的數(shù)據(jù)安全風(fēng)險(xiǎn)。同時(shí)要求數(shù)據(jù)處理者使用數(shù)據(jù)治理工具，制定并實(shí)施本組織范圍內(nèi)的訪問控制策略，對(duì)有權(quán)限訪問重要數(shù)據(jù)的人員進(jìn)行嚴(yán)格管理，并使用密鑰及證書管理系統(tǒng)對(duì)組織的加解密流程進(jìn)行統(tǒng)一管理。

(3)供應(yīng)鏈安全。標(biāo)準(zhǔn)在組織采購、供應(yīng)商及供應(yīng)鏈評(píng)估三個(gè)方面提出安全要求。數(shù)據(jù)處理者應(yīng)當(dāng)完善產(chǎn)品服務(wù)采購策略，優(yōu)先采購安全可信的網(wǎng)絡(luò)產(chǎn)品與服務(wù)，確保產(chǎn)品和服務(wù)生產(chǎn)交付的安全。同時(shí)數(shù)據(jù)處理者應(yīng)當(dāng)制定供應(yīng)鏈安全管理制度，明確供應(yīng)商管理目標(biāo)、原則與范圍，劃分供求雙方的數(shù)據(jù)安全責(zé)任與義務(wù)，在建立信息共享機(jī)制、供應(yīng)商黑名單機(jī)制的基礎(chǔ)上，監(jiān)測因采購活動(dòng)而導(dǎo)致的重要數(shù)據(jù)向供應(yīng)商轉(zhuǎn)移的情況。此外，重要數(shù)據(jù)處理者應(yīng)當(dāng)制定供應(yīng)鏈安全評(píng)估制度，定期審查供應(yīng)鏈安全風(fēng)險(xiǎn)，并依據(jù)審查結(jié)果及時(shí)調(diào)整供應(yīng)商的選擇。

(4)應(yīng)急處理。數(shù)據(jù)處理者應(yīng)當(dāng)建立應(yīng)急響應(yīng)中心與技術(shù)團(tuán)隊(duì)，建立本組織與主管部門之間關(guān)于數(shù)據(jù)安全事件應(yīng)急處理協(xié)調(diào)的溝通渠道，制定重要數(shù)據(jù)安全實(shí)踐應(yīng)急預(yù)案與重要數(shù)據(jù)安全事件演練計(jì)劃，定期實(shí)施應(yīng)急演練。在發(fā)生數(shù)據(jù)安全事件時(shí)，數(shù)據(jù)處理者應(yīng)及時(shí)向上級(jí)主管部門報(bào)告。

(5)風(fēng)險(xiǎn)評(píng)估。數(shù)據(jù)處理者應(yīng)當(dāng)建立數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估制度，明確風(fēng)險(xiǎn)評(píng)估流程并定期對(duì)重要數(shù)據(jù)處理活動(dòng)開展評(píng)估。評(píng)估結(jié)果應(yīng)以風(fēng)險(xiǎn)報(bào)告的形式及時(shí)報(bào)送網(wǎng)信及主管部門。報(bào)送內(nèi)容應(yīng)包括重要數(shù)據(jù)處理者基本信息，重要數(shù)據(jù)處理目的、規(guī)模、方式、范圍，重要數(shù)據(jù)安全管理制度及實(shí)施情況，重要數(shù)據(jù)處理過程中存在的安全風(fēng)險(xiǎn)等方面內(nèi)容。

(6)配合監(jiān)督管理。數(shù)據(jù)處理者應(yīng)當(dāng)制定配合主管部門或執(zhí)法部門進(jìn)行重要數(shù)據(jù)安全監(jiān)督檢查的流程與規(guī)范，在符合法律程序的條件下，向有關(guān)部門開放數(shù)據(jù)訪問并提供技術(shù)支持。在有關(guān)部門發(fā)現(xiàn)重要數(shù)據(jù)處理活動(dòng)存在較大安全風(fēng)險(xiǎn)時(shí)，數(shù)據(jù)處理者應(yīng)當(dāng)根據(jù)有關(guān)部門要求暫停業(yè)務(wù)以防止風(fēng)險(xiǎn)擴(kuò)散，并盡快處理安全風(fēng)險(xiǎn)以及時(shí)恢復(fù)服務(wù)。

5 與已有法律、行政法規(guī)、標(biāo)準(zhǔn)規(guī)范間的關(guān)系

標(biāo)準(zhǔn)的編制目的是為了配合《數(shù)據(jù)安全法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見稿)》等數(shù)據(jù)安全監(jiān)管法律法規(guī)的落地實(shí)施，其規(guī)范對(duì)象為電子形式存在的重要數(shù)據(jù)。

標(biāo)準(zhǔn)與《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)規(guī)則》等其他標(biāo)準(zhǔn)規(guī)范共同構(gòu)成了數(shù)據(jù)安全處理的重要技術(shù)文件體系。標(biāo)準(zhǔn)編制組與國家互聯(lián)網(wǎng)信息辦網(wǎng)絡(luò)數(shù)據(jù)管理局保持了密切溝通，且編制組主要成員與《信息安全技術(shù) 網(wǎng)絡(luò)數(shù)據(jù)分類分級(jí)規(guī)則》高度重合，因此工作具有很好的繼承性。

目前，國際上尚無其他與重要數(shù)據(jù)處理相關(guān)的標(biāo)準(zhǔn)，因此無法直接采標(biāo)或者直接借鑒。但實(shí)際上，世界各國都在個(gè)人信息、國家秘密之外規(guī)定了各自關(guān)心的“敏感信息”，且多數(shù)提出了數(shù)據(jù)本地化存儲(chǔ)的要求，嚴(yán)格管控此類數(shù)據(jù)的出境。此外，云計(jì)算、關(guān)鍵信息基礎(chǔ)設(shè)施、人工智能等領(lǐng)域的國際標(biāo)準(zhǔn)也在不同程度上涉及網(wǎng)絡(luò)安全問題，為本標(biāo)準(zhǔn)的編制提供了經(jīng)驗(yàn)借鑒。

6 標(biāo)準(zhǔn)預(yù)計(jì)影響與未來展望

重要數(shù)據(jù)保護(hù)制度是我國數(shù)據(jù)安全工作中一項(xiàng)基礎(chǔ)性、全局性的重大制度。隨著國標(biāo)《重要數(shù)據(jù)處理安全要求》公開征求意見，關(guān)于重要數(shù)據(jù)的兩部國家標(biāo)準(zhǔn)都已揭開面紗。從重要數(shù)據(jù)的識(shí)別到對(duì)重要數(shù)據(jù)的管理，從重要數(shù)據(jù)安全合規(guī)使用到重要數(shù)據(jù)安全保護(hù)，所有的安全要求都要有專業(yè)化、自動(dòng)化工具的支持?！吨匾獢?shù)據(jù)安全處理要求》國標(biāo)的出臺(tái)，為我國數(shù)據(jù)安全保護(hù)制度的具體落實(shí)提供了詳細(xì)的參考，重要數(shù)據(jù)安全保護(hù)這一新產(chǎn)業(yè)方向的發(fā)展已經(jīng)具備了基本條件，更廣泛的技術(shù)手段及監(jiān)管方案正在呼之欲出。

未來，我國應(yīng)當(dāng)遵循相關(guān)法律法規(guī)的規(guī)定、具體依據(jù)國家標(biāo)準(zhǔn)，全面落實(shí)數(shù)據(jù)分類分級(jí)保護(hù)制度，不斷完善數(shù)據(jù)安全頂層設(shè)計(jì)，明確數(shù)據(jù)安全保護(hù)措施，統(tǒng)籌數(shù)據(jù)安全保護(hù)問題與產(chǎn)業(yè)發(fā)展問題。要積極應(yīng)對(duì)數(shù)據(jù)要素在要素市場中面臨的問題，著力解決數(shù)據(jù)產(chǎn)權(quán)分置難、流轉(zhuǎn)交易難、收益分配難、監(jiān)管治理難的“四難”局面。從制度與技術(shù)兩個(gè)方面入手，認(rèn)真研究國家數(shù)據(jù)基礎(chǔ)制度的組成及內(nèi)涵，明確國家數(shù)據(jù)基礎(chǔ)制度落地實(shí)施所需的技術(shù)，切實(shí)維護(hù)國家安全與經(jīng)濟(jì)發(fā)展，筑牢國家數(shù)據(jù)安全防線。