《标准《信息安全技术 数据出境安全评估指南》征求意见稿》由会员分享,可在线阅读,更多相关《标准《信息安全技术 数据出境安全评估指南》征求意见稿(36页珍藏版)》请在金锄头文库上搜索。
1、GB/T XXXX XXXX中华人民共和国国家标准GB/T XXXXXXXX信息安全技术 数据出境安全评估指南Information Security Technology- Guidelines for Data Cross-Border Transfer Security Assessment (征求意见稿)2017-08-25XXXX-XX-XX发布XXXX-XX-XX实施ICS35.040L80目 次前言IV引言V信息安全技术数据出境安全评估指南11 范围12 安全自评估规范性引用文件13 术语和定义14 评估流程34.1 评估总体流程34.2 安全自评估流程34.3 主管部门评估流程
2、55 评估要点75.1 出境目的75.2 安全风险8附录A (规范性附录) 重要数据识别指南12A.1 石油天然气12A.2 煤炭12A.3 石化12A.4 电力13A.4.1 发电厂相关信息13A.4.2 输配电信息13A.4.3 建设运维信息13A.4.4 其他信息13A.5 通信13A.5.1 规划建设类数据13A.5.2 运行维护类数据13A.5.3 安全保障类数据14A.5.4 无线电数据14A.5.5 统计分析类数据14A.5.6 其他通信数据14A.6 电子信息14A.7 钢铁15A.7.1 钢铁产业的实力、潜力及竞争力信息15A.7.2 国防军用和国民经济建设发展所需钢材、优特
3、钢产业等实力信息15A.7.3 国家产业发展及外部环境掌控、应对相关信息15A.8 有色金属15A.8.1 有色金属产业的实力、潜力及竞争力信息15A.8.2 国防军工和国民经济建设发展所需有色金属信息15A.8.3 国家有色金属产业发展及外部环境掌控、应对信息15A.9 装备制造15A.9.1 投资信息15A.9.2 重要装备出厂后工程活动信息15A.10 化学工业16A.11 国防军工16A.12 其它工业16A.13 地理信息16A.13.1 重要目标地理信息16A.13.2 标识有下列内容的(对社会公众开放的除外)地理信息17A.13.3 标识有下列目标具体形状及属性的(用于公共服务的
4、设施可以标注名称)地理信息17A.13.4 标识有下列内容属性的地理信息17A.13.5 特殊测绘信息17A.13.6 公开地图数据17A.13.7 北斗卫星导航信息17A.14 民用核设施17A.14.1 民用核设施安全监管信息17A.14.2 民用核设施运行信息17A.14.3 核设施产业发展信息18A.15 交通运输18A.15.1 含有下列内容,或通过汇聚分析能印证、推论出下列信息的数据18A.15.2 以下各个具体领域的属性数据单点可被测定或公开,但集中批量的数据泄露可能会危害国家安全、军事行动或反恐安全18A.16 邮政快递18A.17 水利19A.18 人口健康19A.19 金融
5、19A.19.1 金融机构安全信息19A.19.2 自然人、法人和其他组织金融信息19A.19.3 中央银行、金融监管部门、外汇管理部门工作中产生的不涉及国家秘密的工作秘密。20A.20 征信20A.21 食品药品20A.22 统计20A.22.1 人口20A.22.2 经济21A.23 气象21A.24 广播电视22A.25 海洋环境22A.26 电子商务22A.27 其它22附录B (规范性附录) 个人信息和重要数据出境安全风险评估方法24B.1 评估个人信息出境对个人权益产生的影响等级24B.1.1 个人信息类型和敏感程度24B.1.2 个人信息数量24B.1.3 个人信息范围24B.1
6、.4 个人信息技术处理情况24B.1.5 个人权益影响等级判定24B.2 评估重要数据出境对国家安全、社会公共利益产生的影响等级24B.2.1 重要数据类型24B.2.2 重要数据数量25B.2.3 重要数据范围25B.2.4 重要数据技术处理情况25B.2.5 国家安全和社会公共利益受影响等级判定25B.3 评估安全事件的可能性等级25B.3.1 评估发送方的安全保障能力等级25B.3.2 评估接收方的安全保障能力等级26B.3.3 评估接收方所在国家或区域的政治法律环境26B.3.4 安全事件可能性等级判定27B.4 安全风险综合评估28参 考 文 献29III前言本标准按照GB/T 1.
7、1-2009的规则起草。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:上海华东电信研究院、工业和信息化部电信研究院、公安部第一研究所、阿里巴巴(北京)软件服务有限公司、北京大学互联网发展研究中心、中国电子技术标准化研究院、中国电子信息产业发展研究院、国家信息技术安全研究中心、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、蚂蚁金服、国信优易数据有限公司。 本标准主要起草人:覃庆玲、洪延青、魏薇、张郁安、张媛媛、姜宇泽、陈诗洋、魏亮、韩煜、何延哲、郭晓雷、陈渌萍、李海涛、王洁萍、周波、李程远、赵冉冉、李克鹏、王昕、赵会敏、周润松、刘俊河、白晓媛、代威、贾
8、思琪、邵华、杨国威、范洺銣、王梦寅、柳雁军、顾伟、杨思磊、赵然、田申、乔建雄、马宁、唐一鸿、王秉正、王肃、胡影、张振涛、庞妺、郭建楠等。 IV引言近年来,随着互联网的蓬勃发展,数据流动无处不在。数据流动所产生的经济价值和社会价值凸显,这一过程中的安全风险也随之增加,国家安全、经济发展、社会公共利益、个人隐私受到严重威胁,防范数据泄露和滥用所产生的风险日益紧迫。本标准规定了数据出境安全评估流程、评估要点、评估方法等内容,国家网信部门、行业主管部门以及网络运营者按照本指南对其向境外提供的个人信息和重要数据进行主管部门评估和安全自评估,发现存在的安全问题和风险,及时采取措施,确保个人信息和重要数据合
9、法流动的同时,避免其对国家安全、经济发展、社会公共利益和个人信息主体权益造成不利影响。IV11GB/T XXXX XXXX信息安全技术数据出境安全评估指南1 范围本标准提出了个人信息和重要数据出境的安全评估流程、要点和方法。本标准适用于网络运营者开展的个人信息和重要数据出境安全自评估,以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估。2 安全自评估规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069-2010 信息安全技术 术语GB/T
10、 AAAAA-AAAA 信息安全技术 个人信息安全规范GB/T 20984-2007 信息安全技术 信息安全风险评估规范3 术语和定义GB/T AAAAA-AAAA 信息安全技术 个人信息安全规范和GB/T 20984-2007 信息安全技术 信息安全风险评估规范中的术语和定义,以及下列术语和定义适用于本文件。3.1网络运营者 network operator网络的所有者、管理者和网络服务提供者。3.2境内运营 domestic operation网络运营者在中华人民共和国境内开展业务,提供产品或服务的活动。注1:未在中华人民共和国境内注册的网络运营者,但在中华人民共和国境内开展业务,或向中华
11、人民共和境内提供产品或服务的,属于境内运营。判断网络运营者是否在中华人民共和国境内开展业务,或向中华人民共和境内提供产品或服务的参考因素包括但不限于:使用中文;以人民币作为结算货币;向中国境内配送物流等。注2:中华人民共和国境内的网络运营者仅向境外机构、组织或个人开展业务、提供商品或服务,且不涉及境内公民个人信息和重要数据的,不视为境内运营。3.3个人信息 personal data以电子或其他方式记录的能够单独或与其他信息结合识别自然人身份的各种信息,如姓名、出生日期、身份证号、个人账号信息、住址、电话号码、指纹、虹膜等。注:关于个人信息的范围和类别可参考信息安全技术 个人信息安全规范附录A
12、3.4个人敏感信息personalsensitiveinformation指一旦泄露、披露或滥用可能危害人身和财产安全、损害个人名誉和身心健康、导致歧视性待遇等的个人信息。通常情况下,身份证号、银行卡号、健康记录、生物识别等属于个人敏感信息。注:关于个人敏感信息的范围和类别可参考信息安全技术 个人信息安全规范附录B。 3.5重要数据important data相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)。注1:具体范围见附录A。注2:经政府信息公开渠道合法公开的,不再属于重要数据。3.6加工处理data pro
13、cessing针对个人信息和重要数据实施的操作,包括个人信息和重要数据的收集、存储、访问、修改、转让、披露、匿名化、去标识化、恢复、删除、销毁等。 3.7数据出境data cross-border transfer网络运营者通过网络等方式,将其在中华人民共和国境内运营中收集和产生的个人信息和重要数据,通过直接提供或开展业务、提供服务、产品等方式提供给境外的机构、组织或个人的一次性活动或连续性活动。注1:以下情形属于数据出境:a) 向本国境内,但不属于本国司法管辖或未在境内注册的主体提供个人信息和重要数据;b) 数据未转移存储至本国以外的地方,但被境外的机构、组织、个人访问查看的(公开信息、网页
14、访问除外);c) 网络运营者集团内部数据由境内转移至境外,涉及其在境内运营中收集和产生的个人信息和重要数据的。注2:非在境内运营中收集和产生的个人信息和重要数据经由本国出境,未经任何变动或加工处理的,不属于数据出境。注3:非在境内运营中收集和产生的个人信息和重要数据在境内存储、加工处理后出境,不涉及境内运营中收集和产生的个人信息和重要数据的,不属于数据出境。3.8数据出境安全风险 risk of data cross-border transfer数据出境可能对国家安全、经济发展、社会公共利益和个人合法利益带来的风险。3.9安全自评估 self assessment网络运营者依照相关国家法律法规和标准的规定,自行组织或委托网络安全服务机构对数据出境开展安全评估。3.10主管部门评估competent authority assessment国家网信部门、行业主管部门依照相关国家法律法规和标准的规定组织对数据出境开展主管部门评估。3.11数据脱敏处理 data masking对个人信息和重要数据通过脱敏规则进行数据变形处理,降低其敏感程度。3.12个人信息主体同意consent of personal informatio
