(高清版)GB∕T 37932-2019 信息安全技術 數(shù)據(jù)交易服務安全要求

ICS35.040GB/T37932—2019信息安全技術數(shù)據(jù)交易服務安全要求國家市場監(jiān)督管理總局中國國家標準化管理委員會GB/T37932—2019 I Ⅱ 3術語和定義 24.1參考框架 4.2數(shù)據(jù)交易安全原則 35數(shù)據(jù)交易參與方安全要求 35.1數(shù)據(jù)供方安全要求 5.3數(shù)據(jù)交易服務機構安全要求 6交易對象安全 66.1禁止交易數(shù)據(jù) 6 6.3個人信息安全保護 66.4重要數(shù)據(jù)安全保護 6 67.1交易申請 67.2交易磋商 77.3交易實施 77.4交易結束 7IGB/T37932—2019本標準按照GB/T1.1—2009給出的規(guī)則起草。本標準由全國信息安全標準化技術委員會(SAC/TC260)提出并歸口。ⅡGB/T37932—2019為規(guī)范數(shù)據(jù)資源交易行為，建立良好的數(shù)據(jù)交易秩序，促進數(shù)據(jù)交易服務參與者安全保障能力提1GB/T37932—2019信息安全技術數(shù)據(jù)交易服務安全要求22239—2019信息安全技術25069—2010信息安全技術術語35273—2017信息安全技術35274—2017信息安全技術36343—2018信息技術數(shù)據(jù)交易服務平臺交易數(shù)據(jù)描述37988—2019信息安全技術數(shù)據(jù)安全能力成熟度模型GB/T25069—2010和GB/T36343—2018界定的以及下列術語和定義適用于本文件。注1:數(shù)據(jù)商品包括用于交易的原始數(shù)據(jù)或加工處理后的數(shù)據(jù)衍生產(chǎn)品。注2:數(shù)據(jù)交易包括以大數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的數(shù)據(jù)交易，也包括以傳統(tǒng)數(shù)據(jù)或其衍生品作為數(shù)據(jù)商品的2GB/T37932—20193.5為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務的組織機構。3.6為數(shù)據(jù)交易提供各項服務的信息化平臺。3.7數(shù)據(jù)供方通過網(wǎng)絡向數(shù)據(jù)需方交付數(shù)據(jù)的模式。3.8離線數(shù)據(jù)交付offlinedatadelivery數(shù)據(jù)供需雙方在達成數(shù)據(jù)交易協(xié)議后，由數(shù)據(jù)供方通過離線方式將數(shù)據(jù)從供方提供給需方的交付模式。3.9托管數(shù)據(jù)交易custodiandatadelivery數(shù)據(jù)供需雙方在達成數(shù)據(jù)交易協(xié)議后，由供方將數(shù)據(jù)拷貝到數(shù)據(jù)交易服務機構指定的數(shù)據(jù)托管服3.10數(shù)據(jù)供需雙方依托數(shù)據(jù)交易服務平臺針對具體的數(shù)據(jù)交易對象，進行的一次完整和具體的數(shù)據(jù)交3.11會公共利益造成不利影響的數(shù)據(jù)(包括原始數(shù)據(jù)和衍生數(shù)據(jù))。[GB/T35274—2017,定義3.13]4安全概述數(shù)據(jù)交易是供需雙方對原始數(shù)據(jù)或加工處理后的數(shù)據(jù)依照交易過程進行的活動。通過數(shù)據(jù)交易服務機構進行的數(shù)據(jù)交易服務參考框架如圖1所示。數(shù)據(jù)交易涉及數(shù)據(jù)供方、數(shù)據(jù)需方和數(shù)據(jù)交易服務機構。數(shù)據(jù)交易服務機構依托數(shù)據(jù)交易服務平臺，為數(shù)據(jù)供需雙方提供數(shù)據(jù)交易服務。從數(shù)據(jù)交易服3GB/T37932—2019數(shù)據(jù)交易服務機構交易過程申請交易磋商交易申請交易磋商交易實施數(shù)據(jù)交易服務平臺d)個人信息保護原則：數(shù)據(jù)供需雙方和數(shù)據(jù)交易服務機構應采取個人信息安全保護技術和管理5數(shù)據(jù)交易參與方安全要求數(shù)據(jù)交易服務機構應確保數(shù)據(jù)供方滿足以下要求：a)為一年內無重大數(shù)據(jù)類違法違規(guī)記錄的合法組織機構。b)完成在數(shù)據(jù)交易服務機構的注冊，并經(jīng)數(shù)據(jù)交易服務機構審核通過，才允許參與數(shù)據(jù)交易c)數(shù)據(jù)供方應證明其具備向數(shù)據(jù)需方安全交付數(shù)據(jù)的能力。d)向數(shù)據(jù)交易服務機構提供書面的安全承諾，內容包括但不限于：交易數(shù)據(jù)來源合法性證明材e)遵守數(shù)據(jù)交易服務機構的安全管理制度和流程。數(shù)據(jù)交易服務機構應確保數(shù)據(jù)需方滿足以下要求：4GB/T37932—2019a)為一年內無重大數(shù)據(jù)類違法違規(guī)記錄的合法組織機構。b)完成在數(shù)據(jù)交易服務機構的注冊，并經(jīng)數(shù)據(jù)交易服務機構審核通過，才允許參與數(shù)據(jù)交易c)證明具備對交易數(shù)據(jù)實施安全保護的能力。據(jù)交易安全原則、愿意接受數(shù)據(jù)交易服務機構安全監(jiān)督、遵守與數(shù)據(jù)供方約定的數(shù)據(jù)安全要g)遵守數(shù)據(jù)交易服務機構的安全管理制度和流程。數(shù)據(jù)交易服務機構應滿足以下基本要求：a)得到我國行政或主管部門的授權或許可。b)為一年內無重大數(shù)據(jù)類違法違規(guī)記錄的境內合法組織機構。c)具備承擔數(shù)據(jù)交易服務相對應的安全保障能力。d)將從事境內數(shù)據(jù)交易服務的數(shù)據(jù)交易服務平臺部署在我國境內。e)對數(shù)據(jù)供方提供的數(shù)據(jù)來源合法性證明材料聲明進行審核。f)對數(shù)據(jù)違規(guī)使用行為進行監(jiān)測。g)制定并執(zhí)行交易違規(guī)處罰規(guī)則。h)未經(jīng)授權不擅自使用數(shù)據(jù)供方或需方的數(shù)據(jù)或數(shù)據(jù)衍生品。i)至少滿足GB/T37988—2019中的三級要求。數(shù)據(jù)交易服務機構應滿足以下要求：c)為數(shù)據(jù)交易管理人員或操作人員執(zhí)行的管理或業(yè)務操作建立操作規(guī)程。e)建立和執(zhí)行針對數(shù)據(jù)供方和需方的安全管理制度和流程。f)建立供需方的信用管理機制。d)對數(shù)據(jù)交易重要崗位人員進行安全5GB/T37932—2019e)與數(shù)據(jù)交易重要崗位人員簽署安全保密協(xié)議，與重要崗位人員簽署崗位責任協(xié)議。崗位要求相適應的安全管理知識和專業(yè)技術水平。數(shù)據(jù)交易服務平臺應滿足以下要求：a)符合GB/T22239—2019中第3級的相關安全要求。b)提供對數(shù)據(jù)泄露進行處置的緊急預案。c)采用的密碼技術遵循相關國家標準和行業(yè)標準。數(shù)據(jù)交易服務平臺應滿足以下要求：相關程序和產(chǎn)生的數(shù)據(jù)結果進行審核。e)在托管數(shù)據(jù)交付模式下，對交易數(shù)據(jù)進行安全存儲和備份，確保數(shù)據(jù)的保密性、完整性和可數(shù)據(jù)交易服務平臺應滿足以下要求：數(shù)據(jù)交易服務平臺應滿足以下要求：c)安全保存數(shù)據(jù)交易日志、數(shù)據(jù)來源合法性等文件至少6個月。e)允許數(shù)據(jù)供方和數(shù)據(jù)需方查詢與自己數(shù)據(jù)交易相關的日志信息，并允許導出。f)提供數(shù)據(jù)交易日志訪問接口給國家監(jiān)管部門或第三方審計機構。對于提供托管數(shù)據(jù)交付模式的數(shù)據(jù)交易服務機構，應遵循GB/T35274—2017來建設和運維數(shù)據(jù)6GB/T37932—2019安全托管服務平臺。a)受法律保護的數(shù)據(jù)。行了必要的去標識化處理以達到無法識別出個體的程度。d)從非法或違規(guī)渠道獲取的數(shù)據(jù)。e)與原供方所簽訂的合約要求禁止轉售或公開的數(shù)據(jù)。f)其他法律法規(guī)明確禁止交易的數(shù)據(jù)。數(shù)據(jù)交易服務機構應確保交易數(shù)據(jù)滿足以下質量要求：a)數(shù)據(jù)供方應向數(shù)據(jù)交易服務機構提供交易數(shù)據(jù)獲取渠道合法，權利清晰無爭議的承諾或證明b)數(shù)據(jù)供方應向數(shù)據(jù)交易服務機構提供擁有交易數(shù)據(jù)完整相關權益的明確聲明。c)數(shù)據(jù)供方應向數(shù)據(jù)交易服務機構提供數(shù)據(jù)真實性的明確聲明。f)數(shù)據(jù)供方應按照GB/T36343—2018的要求對交易數(shù)據(jù)進行準確描述，明確數(shù)據(jù)類別等內容，i)數(shù)據(jù)交易服務機構應對交易數(shù)據(jù)分類結果進行審核。數(shù)據(jù)交易服務機構應確保數(shù)據(jù)交易在個人信息安全保護方面滿足以下要求：b)要求數(shù)據(jù)供方對交易數(shù)據(jù)進行個人信息安全風險評估，提供個人信息安全風險評估報告。數(shù)據(jù)交易服務機構應確保交易數(shù)據(jù)在重要數(shù)據(jù)安全保護方面滿足以下要求：a)滿足GB/T35274—2017中5.6.2的增強要求。b)要求數(shù)據(jù)供方對交易數(shù)據(jù)進行重要數(shù)據(jù)數(shù)據(jù)交易服務機構應確保交易申請環(huán)節(jié)滿足以下要求：GB/T37932—2019c)數(shù)據(jù)交易服務機構對數(shù)據(jù)供方提供的樣本數(shù)據(jù)進行內容審核，確認數(shù)據(jù)合法合規(guī)。對于不符e)數(shù)據(jù)交易服務機構對數(shù)據(jù)需方的數(shù)據(jù)需求進行審核通過后方可發(fā)布。數(shù)據(jù)交易服務機構應確保交易磋商環(huán)節(jié)滿足以下要求：c)數(shù)據(jù)交易服務機構應對審核通過的訂單進行登記備案，并對供需雙方發(fā)出交易確認通知。數(shù)據(jù)交易服務機構應確保交易實施環(huán)節(jié)滿足以下要求：a)數(shù)據(jù)交易服務機構應審核數(shù)據(jù)需方的數(shù)據(jù)安全能力成熟度，確保不低于數(shù)據(jù)供方的數(shù)據(jù)安全d)數(shù)據(jù)交易服務機構應對交易過程中的違法違規(guī)數(shù)據(jù)具有追溯能力。e)對于在線數(shù)據(jù)交付模式，數(shù)據(jù)交易服務機構應在供需雙方的數(shù)據(jù)傳輸鏈路上部署交易數(shù)據(jù)監(jiān)g)數(shù)據(jù)供方在數(shù)據(jù)需方未完全獲取數(shù)據(jù)內容前，有義務保證交易數(shù)據(jù)質量和數(shù)量符合數(shù)據(jù)