TCIIA 026-2022 农业科学数据安全分级指南.pdf

ICS 35.020 CCS L 80 T/CIIA 0262022 农业科学数据安全分级指南 Guidelines for data security classification of agriculture science 2022-10-20 发布 2022-10-20 实施 中国信息协会 发 布 团 体 标 准 全国团体标准信息平台T/CIIA 0262022 I 目次 前言.II 引言.III 1 范围.1 2 规范性引用文件.1 3 术语和定义.1 4 农业科学数据安全分级原则.2 5 农业科学数据安全分级对象.2 6 农业科学数据安全分级过程.2 7 农业科学数据安全分级内容.3 参考文献.6 全国团体标准信息平台T/CIIA 0262022 II 前言 本文件按照GB/T 1.12020标准化工作导则 第1部分：标准化文件的结构和起草规则的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由中国信息协会提出并归口。本文件起草单位：中国农业科学院农业信息研究所、河北平普数政科技有限公司、中国农业科学院农业基因组研究所、北京山水云图科技有限公司、深圳市中农网有限公司、北京一亩田新农网络科技有限公司、北京声智科技有限公司、北京佳格天地科技有限公司、四川赛闯检测股份有限公司、广州广电计量检测股份有限公司、一牧科技（北京）有限公司、北京建筑大学、广西水木星云信息科技有限公司、广西云锋信息科技有限公司、北京滴普科技有限公司、北京网智易通科技有限公司、北京蓝象标准咨询服务有限公司。本文件主要起草人：樊景超、王晓磊、闫建斌、栾德刚、杜然、姜楠、孙炜、胡嵩、彭南峰、陈孝良、张弓、冯丽、彭洪伟、黄敦鹏、马志愤、荣玥芳、郭书含、黄清、文有勋、王兵、金岩、乔华阳、马建红、张德保、段小莉。本文件为首次发布。全国团体标准信息平台T/CIIA 0262022 III 引言 随着我国科技水平的日益提升，产、学、研各界产生了海量科学数据，科学数据管理办法明确要求对科学数据实施分类分级管理，从而在保障科学数据安全的同时，提高开放共享水平。目前在科学数据全生命周期的管理上，安全意识仍较为薄弱，目前对科学数据的管理主要参考网络系统的等保三级体系进行管理。但是，由于其分级目的不是用于科学数据安全管理，导致同一分级系统中的数据因内容的不同而存在不同的安全特性。按照现有信息系统分级管理，难以实施准确的、差异化的安全管理，若按照同类数据中最高安全要求管理必然导致共享不充分，若按最低要求管理则会引发数据安全问题。本文件的制定是为了保证农业科学数据管理责任主体（从事农业科学研究有关科研院所、高等院校和企业等法人单位及组织）在农业科学数据生产、汇交、管理、使用中提升自身数据安全管理能力，帮助产、学、研相关单位有效开展农业科学数据安全检查评估、事件应急处置等工作。通过本文件的实施，有助于建立全方位的数据安全体系，保障数据安全保密性、完整性、可用性，确保业务在安全的环境下稳定运行，避免因数据泄露或影响社会稳定，从而为组织内部数据扣上“安全带”，持续为社会带来价值。全国团体标准信息平台T/CIIA 0262022 1 农业科学数据安全分级指南 1 范围 本文件提供了农业科学数据安全分级原则、分级对象、分级过程，给出了农业科学数据安全分级方法的建议。本文件适用于农业科学数据管理责任主体对农业科学数据进行合理分级，开展数据安全管理与评估工作。2 规范性引用文件 本文件没有规范性引用文件。3 术语和定义 下列术语和定义适用于本文件。农业科学数据 agriculture scientific data 通过基础研究、应用研究、试验开发等产生的数据，以及通过观测监测、考察调查、检验检测等方式取得并用于农业发展自然规律和经济规律科学研究活动的原始数据及其衍生数据。注：农业科学因涉及农业环境、作物和畜牧生产、农业工程和农业经济等多种科学而具有综合性。林业科学和水产科学有时也包括在广义的农业科学范畴之内。安全分级 security classification 根据业务信息和系统服务的重要性和受损后的影响，确定实施某种保护的等级。来源：GB/T 250692022，3.6 科学数据安全分级 scientific data security grading 按科学数据的保密性、完整性、可用性及派生安全要求，经过一定程序的评估过程确定的科学数据安全等级。农业科学数据管理责任主体 responsible body of agriculture scientific data management 从事农业科学研究有关科研院所、高等院校和企业等法人单位及组织。科学数据全生命周期 scientific data lifecycle 科学数据从采集加工、存储备份、传输交换、开放共享、安全处置，最终实现再利用的一个循环过程。保密性 confidentiality 信息对未授权的个人、实体或过程不可用或不泄露的性质。来源：GB/T 250692022，3.41 完整性 integrity 数据所具有的特性，即无论数据形式作何变化，数据的准确性和一致性均保持不变。来源：GB/T 250692022，3.574，有修改 全国团体标准信息平台T/CIIA 0262022 2 可用性 availability 可由经授权实体按需访问和使用的性质。来源：GB/T 250692022，3.345 4 农业科学数据安全分级原则 农业科学数据安全分级旨在对农业科学数据资源进行全面梳理并确立适当的安全分级，是农业科学数据管理责任主体对所拥有的农业科学数据实施有效安全管理和合规应用的必要前提和基础。农业科学数据分级管理是建立统一、完善的数据全生命周期安全保护框架的基础工作，能够为农业科学数据管理责任主体制定有针对性的数据安全管理措施提供支撑。农业科学数据安全分级宜遵循以下原则。a)合法合规性原则合法合规性原则 基于国家法律法规，宜符合农业科学数据管理机构的有关规定。b)可执行性原则可执行性原则 宜科学合理设置农业科学数据分级规则，且宜具有可操作性。c)时效性原则时效性原则 因科学数据全生命周期不同阶段的价值、影响及保护要求不同，因此其安全分级宜具有一定的有效期限，建议按照级别变更策略对数据级别进行及时调整。d)自主性原则自主性原则 农业科学数据管理责任主体可根据自身数据管理需要（如国家发展战略需要、学科前沿技术研究、科学数据管理业务需要等），基于相关规定自主确定数据安全级别。e)扩展性原则扩展性原则 农业科学数据安全分级方法宜具有概括性和包容性，能够实现各种类型数据的安全分级，以及满足将来可能出现的数据类型和安全需求。5 农业科学数据安全分级对象 农业科学数据安全分级对象宜涵盖以下内容：a)通过基础研究、应用研究、试验开发等产生的农业科学数据，以及通过观测监测、考察调查、检验检测等方式获取并用于科学研究活动的原始数据及其衍生数据；农业科学数据以数据文件、数据库、纸质报表或报告等多种形态存在；b)农业科学数据的描述信息，即用于描述数据来源、处理过程、对象内容、分级定义、格式说明和质量控制情况等配套信息；通常以元数据、辅助说明文档或数据文件中的特殊结构块等载体进行记录；c)农业科学数据管理责任主体相关信息系统内生成和存储的数据，宜包括数据未发表的暂存数据、订单信息、用户检索与访问数据信息和统计分析数据等；d)其他宜进行安全分级的农业科学数据。6 农业科学数据安全分级过程 组织保障 农业科学数据安全分级工作的开展宜具备一定的组织保障，建议由农业科学数据管理责任主体统筹组织。组织保障宜包括以下内容：a)农业科学数据管理责任主体宜设立数据分级管理决策机制和管理部门（或组织），明确科学数据分级、监管和保护的职责；b)农业科学数据管理责任主体宜制定数据管理制度，明确科学数据的识别、分级、标识、使用、交换、处理的要求和措施；c)管理部门（或组织）宜根据农业科学数据全生命周期特点，定期组织科学数据的梳理和安全分级，并根据安全分级调整保护措施。分级流程 全国团体标准信息平台T/CIIA 0262022 3 农业科学数据安全分级流程宜分为数据资产梳理、数据安全分级准备、数据安全级别判定、数据安全级别审核及数据安全级别批准。数据分级流程基本步骤如下：a)第一步：对数据进行盘点、梳理与分类，形成统一的数据资产清单，并进行数据安全分级合规性相关准备工作；b)第二步：明确数据分级的颗粒度（如数据集、数据文件等）；c)第三步：识别数据安全分级关键要素；d)第四步：按照数据安全分级规则，结合国家及行业有关法律法规、部门规章，对数据安全等级进行初步判定；e)第五步：综合考虑数据规模、数据聚合、数据时效性、数据形态（如是否经汇总、加工、统计、脱敏或匿名化处理）等因素，对数据安全级别进行复核，调整形成数据安全级别评定结果及分级清单，原始形态的衍生数据由数据生产部门定级复核，非原始形态的衍生数据由衍生数据所在部门定级复核；f)第六步：审核数据安全级别评定过程和结果，必要时重复第三步及其后工作，直至安全级别的划定与农业科学数据管理责任主体数据安全保护目标相一致；g)第七步：最终由管理部门（或组织）对数据安全分级结果进行审议批准。7 农业科学数据安全分级内容 分级要素 7.1.1 概述 安全性（保密性、完整性、可用性）是信息安全风险评估中的重要参考属性。数据安全性遭到破坏后可能造成的影响（如可能造成的危害、损失或潜在的风险等），是确定数据安全级别的重要判断依据。数据安全影响的评估主要考虑影响对象和影响程度两个要素。7.1.2 影响对象 7.1.2.1 影响对象是指农业科学数据安全性遭到破坏后受到影响的对象，包括但不限于国家安全、公共权益、个人权益、组织合法权益。7.1.2.2 影响对象的确定宜主要考虑以下内容：a)影响对象为国家安全的情况：一般指数据的安全性遭到破坏后，可能对国家安全、社会和农业市场稳定等造成影响；b)影响对象为公共权益的情况：一般指数据的安全性遭到破坏后，可能对公众的政治权利、经济效益等造成影响；c)影响对象为个人权益情况：一般指数据的安全性遭到破坏后，可能对个人的个人信息、私人活动和私有领域等造成影响；d)影响对象为组织合法权益的情况：一般指数据的安全性遭到破坏后，可能对组织的生产运营、声誉形象、公信力等造成影响。7.1.3 影响程度 7.1.3.1 影响程度指农业科学数据安全性遭到破坏后所产生影响的大小，按其程度宜划分为：非常严重、严重、中等、轻微和无影响，相关说明见表1所示。表1 影响程度说明 影响程度 参考说明 非常严重 a)可能导致危及国家安全的重大事件，发生危害国家利益或造成重大损失的情况 b）可能导致严重危害社会秩序和公共利益，引发公众广泛诉讼等事件，或者导致农业市场秩序遭到严重破坏等情况 全国团体标准信息平台T/CIIA 0262022 4 表1 影响程度说明（续）影响程度 参考说明 非常严重 c)可能导致组织遭到监管部门严重处罚，或者影响重要/关键业务无法正常开展的情况，遭受无可挽回的经济损失 d)可能导致重大个人信息安全风险、侵犯个人权益等严重危害个人权益的事件 严重 a)可能导致危害社会秩序和公共利益的事件，引发区域性集体诉讼事件，或者导致农业市场秩序遭到破坏等情况 b)可能导致组织遭到监管部门处罚，或者影响部分业务无法正常开展的情况，遭受重大经济损失 c)可能导致一定规模的个人信息泄漏、滥用等安全风险，或对个人权益可能造成一定影响的事件 中等 a)可能导致个别诉讼事件，使组织经济利益、声誉等轻微受损 b)可能导致组织部分业务临时性中断，遭受一定经济损失的情况 c)可能导致超出个人授权加工、处理、使用数据的情况，对个人权益造成部分或潜在影响 轻微 可能对组织合法权益和个人权益等产生轻微影响，但不会影响国家安全、农业市场秩序或组织各项业务正常开展 无损害 对国家利益、社会秩序和公共利益、个人权益、组织合法权益不造成影响 a 农业市场秩序遭到严重破坏是指致使农业经济运行