标准资料
团体标准《信息安全技术大数据安全等级保护测评指引》
编制说明
一、工作简况
1.1任务来源
根据中关村信息安全测评联盟2020年同意批准的《中关村信息安全测评联盟
团体标准制修订立项申请书》,公安部信息安全等级保护评估中心负责标准制定
项目《信息安全技术大数据安全等级保护定级及测评工作指南》。
1.2主要起草单位和工作组成员
公安部第三研究所(公安部信息安全等级保护评估中心)主要负责起草,深
圳市网安计算机安全检测技术有限公司、浙江东安检测技术有限公司、山东建筑
大学、深圳市信息安全管理中心、中国软件评测中心、山东新潮信息技术有限公
司、贵州省信息与计算科学重点实验室、国家信息技术安全研究中心等单位共同
参与了该标准的起草工作。
1.3确定编制内容
标准编制组以网络安全测评工作实践为基础,以T/ISEAA002-2021《信息安
全技术大数据安全等级保护基本要求》、GB/T28448-2019《信息安全技术网络
安全等级保护测评要求》为主要参考依据,规定了网络安全等级保护第二级到第
四级大数据等级保护对象的安全测评方法和要求,完成《信息安全技术大数据安
全等级保护定级及测评工作指南》标准的编制工作。包括:
(1)依据T/ISEAA002-2021《信息安全技术大数据安全等级保护基本要
求》条款,给出各要求项的单项测评实施方法;
(2)明确大数据系统的等级保护对象存在形态;
(3)针对大数据系统这类特殊的测评对象,给出测评中需要特殊关注和注
意的测评实施要点,包括系统调研、测评对象确定、测评指标确定、测评实施关
注点等。
1.4主要工作过程
1.4.1草案
标准资料
2021年9月至2021年10月,标准编制组人员首先对所参阅的文献、标准等资
料进行查阅和理解,编写标准编制提纲,并在对提纲进行修改完善的基础上,开
始具体的编制工作。
2021年11月至2022年1月,标准编制组按照计划调研了国际和国内大数据安
全保护及安全测评情况,分析并总结了大数据安全保护的安全关注点和要素,可
能面临的重大风险,安全保护工作要求等;同时标准编制组调研了与该标准相关
的其他国家标准和行业标准,完成了《大数据安全等级保护定级及测评工作指南
编制研究报告》。
2022年2月至2022年7月标准编制组在前述工作成果《信息安全技术大数据
安全等级保护定级及测评工作指南编制研究报告》的基础上,以编制组人员收集
的资料为基础,在不断的讨论和研究中,完善内容,形成了本标准草案前四章以
及第三级安全测评要求的内容,并召开工作组研讨会,针对已有内容进行研讨,
并在内部统一意见建议将标准名称改为《网络安全等级保护大数据测评指南》。
2022年8月至2022年12月,标准编制组进一步修改完善标准已有内容,并在
第三级安全测评要求基础上完成了第二级以及第四级安全测评要求,形成了《网
络安全等级保护大数据测评指南》标准草案。
2023年1月至2023年3月,标准编制组在编制组涉及单位内部征求标准草案意
见,并根据意见修改完善,形成了新一版《网络安全等级保护大数据测评指南》
标准草案。
二、标准编制原则和确定主要内容的论据及解决的主要问题
标准编制的基本原则是配合《中华人民共和国网络安全法》(以下简称“网
络安全法”)的实施,进一步推进网络安全等级保护工作的开展,进一步适应信
息技术的发展。基于上述原则并依据T/ISEAA002-2021《信息安全技术大数据
安全等级保护基本要求》,针对大数据系统提出安全测评扩展要求。
1.标准编制原则和目的
《信息安全等级保护管理办法》(公通字[2007]43号)明确指出信息系统运
营、使用单位应当接受公安机关、国家指定的专门部门的安全监督、检查、指导,
而且等级测评的技术测评报告是其检查内容之一。这就要求等级测评过程规范、
测评结论准确、公正及可重现。
标准资料
《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019