ICS35.240 CCSL80 中华人民共和国国家标准 GB/T43710—2025 科学数据安全审计要求 Requirementsforauditingofscientificdatasecurity 2025-01-24发布 2025-01-24实施 国家市场监督管理总局 国家标准化管理委员会发布目 次 前言 Ⅲ ………………………………………………………………………………………………………… 引言 Ⅳ ………………………………………………………………………………………………………… 1 范围 1 ……………………………………………………………………………………………………… 2 规范性引用文件 1 ………………………………………………………………………………………… 3 术语和定义 1 ……………………………………………………………………………………………… 4 审计总则 2 ………………………………………………………………………………………………… 4.1 概述 2 ………………………………………………………………………………………………… 4.2 审计依据 2 …………………………………………………………………………………………… 4.3 审计目标 2 …………………………………………………………………………………………… 5 一般审计要求 3 …………………………………………………………………………………………… 5.1 概述 3 ………………………………………………………………………………………………… 5.2 安全策略 3 …………………………………………………………………………………………… 5.3 组织建设 3 …………………………………………………………………………………………… 5.4 人力资源管理 3 ……………………………………………………………………………………… 5.5 业务连续性管理 3 …………………………………………………………………………………… 5.6 管理监督 4 …………………………………………………………………………………………… 5.7 安全管理 4 …………………………………………………………………………………………… 5.7.1 安全管理办法 4 ………………………………………………………………………………… 5.7.2 分类分级管理 4 ………………………………………………………………………………… 5.7.3 风险管理 4 ……………………………………………………………………………………… 5.7.4 内部审查 4 ……………………………………………………………………………………… 5.8 科学数据生存周期业务流程 4 ……………………………………………………………………… 5.8.1 科学数据生存周期 4 …………………………………………………………………………… 5.8.2 通用要求 5 ……………………………………………………………………………………… 5.8.3 采集加工 5 ……………………………………………………………………………………… 5.8.4 存储备份 5 ……………………………………………………………………………………… 5.8.5 传输交换 6 ……………………………………………………………………………………… 5.8.6 开放共享 6 ……………………………………………………………………………………… 5.8.7 使用服务 6 ……………………………………………………………………………………… 5.8.8 安全处置 7 ……………………………………………………………………………………… 6 专项审计要求 7 …………………………………………………………………………………………… 6.1 概述 7 ………………………………………………………………………………………………… 6.2 个人信息安全 7 ……………………………………………………………………………………… ⅠGB/T43710—2025 6.2.1 通用管理 7 ……………………………………………………………………………………… 6.2.2 个人信息识别与分类分级 8 …………………………………………………………………… 6.2.3 自动化决策处理个人信息 8 …………………………………………………………………… 6.2.4 个人信息安全影响评估 8 ……………………………………………………………………… 6.2.5 出境安全风险评估 8 …………………………………………………………………………… 6.2.6 应急管理 8 ……………………………………………………………………………………… 6.2.7 内部审查 8 ……………………………………………………………………………………… 6.3 汇交安全 9 …………………………………………………………………………………………… 6.3.1 通用管理 9 ……………………………………………………………………………………… 6.3.2 分类分级管理 9 ………………………………………………………………………………… 6.3.3 存储和传输安全管理 9 ………………………………………………………………………… 6.3.4 汇交数据登记管理 9 …………………………………………………………………………… 6.3.5 内部审查 9 ……………………………………………………………………………………… 6.4 数据出境安全 9 ……………………………………………………………………………………… 6.4.1 通用管理 9 ……………………………………………………………………………………… 6.4.2 个人信息出境安全 10 …………………………………………………………………………… 6.4.3 分类分级管理 10 ………………………………………………………………………………… 6.4.4 安全风险评估 10 ………………………………………………………………………………… 6.4.5 内部审查 10 ……………………………………………………………………………………… 附录A(资料性) 审计流程 11 ……………………………………………………………………………… A.1 概述 11 ……………………………………………………………………………………………… A.2 审计流程 11 ………………………………………………………………………………………… 附录B(资料性) 审计报告 12 ……………………………………………………………………………… B.1 概述 12 ………………………………………………………………………………………………… B.2 审计报告的类型 12 …………………………………………………………………………………… B.3 审计报告的结构和内容 12 …………………………………………………………………………… B.4 审计报告样例 13 ……………………………………………………………………………………… 参考文献 16 …………………………………………………………………………………………………… ⅡGB/T43710—2025 前 言 本文件按照GB/T1.1—2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由科学技术部提出。 本文件由全国科技平台标准化技术委员会归口(SAC/TC486)。 本文件起草单位:中国科学院计算机网络信息中心、中国标准化研究院、中国网络安全审查技术与 认证中心、中国信息通信研究院、中国软件评测中心(工业和信息化部软件与集成电路促进中心)、北京 邮电大学、中国科学院高能物理研究所、中国科学院信息工程研究所、北京神州绿盟科技有限公司、广州 物联网研究院、北京迪瞰科技有限公司、福建中信网安信息科技有限公司、福建大数据一级开发有限 公司。 本文件主要起草人:廖方宇、魏金侠、赵静、李婧、龙春、杜冠瑶、万巍、杨帆、王跃达、付豫豪、胡良霖、 朱艳华、于建军、李翀、李菁菁、王志强、杨青海、徐凯程、甘杰夫、景慧昀、周润松、郭盈、刘建毅、齐法制、 侯丰尧、马多贺、王妍、徐震、王利明、叶晓虎、吴铁军、王伟、李东、何颖、李喆。 ⅢGB/T43710—2025 引 言 科学数据是战略性、基础性科技资源,具有传播速度最快、影响面最宽、开发利用潜力大的特点,深 刻影响着各国的经济发展、国家安全、科技进步和综合竞争力。《中华人民共和国数据安全法》《中华人 民共和国个人信息保护法》和《中华人民共和国网络安全法》共同构成了我国网络数据领域治理的基础 性法律,标志着与我国网络大国、数字大国相匹配的制度建设逐步走向成熟。《科学数据管理办法》明确 提出“应加强科学数据全生命周期安全管理,制定科学数据安全保护措施;加强数据下载的认证、授权等 防护管理,防止数据被恶意使用。”本文件面向自然科学领域科学数据安全与合规需求,可促进科学数据 相关机构数据安全能力提升,规范科学数据安全审计工作,满足国家对合规性方面的要求。 本文件是一项基础的科学数据安全标准,适用于科学数据机构,对科学数据相关活动中所涉及的安