GB/T 43710-2025 科学数据安全审计要求

ICS35240

CCSL.80

中华人民共和国国家标准

GB/T43710—2025

科学数据安全审计要求

Requirementsforauditingofscientificdatasecurity

2025-01-24发布2025-01-24实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T43710—2025

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

审计总则

4…………………2

概述

4.1…………………2

审计依据

4.2……………2

审计目标

4.3……………2

一般审计要求

5……………3

概述

5.1…………………3

安全策略

5.2……………3

组织建设

5.3……………3

人力资源管理

5.4………………………3

业务连续性管理

5.5……………………3

管理监督

5.6……………4

安全管理

5.7……………4

安全管理办法

5.7.1…………………4

分类分级管理

5.7.2…………………4

风险管理

5.7.3………………………4

内部审查

5.7.4………………………4

科学数据生存周期业务流程

5.8………………………4

科学数据生存周期

5.8.1……………4

通用要求

5.8.2………………………5

采集加工

5.8.3………………………5

存储备份

5.8.4………………………5

传输交换

5.8.5………………………6

开放共享

5.8.6………………………6

使用服务

5.8.7………………………6

安全处置

5.8.8………………………7

专项审计要求

6……………7

概述

6.1…………………7

个人信息安全

6.2………………………7

Ⅰ

GB/T43710—2025

通用管理

6.2.1………………………7

个人信息识别与分类分级

6.2.2……………………8

自动化决策处理个人信息

6.2.3……………………8

个人信息安全影响评估

6.2.4………………………8

出境安全风险评估

6.2.5……………8

应急管理

6.2.6………………………8

内部审查

6.2.7………………………8

汇交安全

6.3……………9

通用管理

6.3.1………………………9

分类分级管理

6.3.2…………………9

存储和传输安全管理

6.3.3…………9

汇交数据登记管理

6.3.4……………9

内部审查

6.3.5………………………9

数据出境安全

6.4………………………9

通用管理

6.4.1………………………9

个人信息出境安全

6.4.2……………10

分类分级管理

6.4.3…………………10

安全风险评估

6.4.4…………………10

内部审查

6.4.5………………………10

附录资料性审计流程

A()………………11

概述

A.1………………11

审计流程

A.2…………………………11

附录资料性审计报告

B()………………12

概述

B.1…………………12

审计报告的类型

B.2……………………12

审计报告的结构和内容

B.3……………12

审计报告样例

B.4………………………13

参考文献

……………………16

Ⅱ

GB/T43710—2025

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由科学技术部提出

。

本文件由全国科技平台标准化技术委员会归口

(SAC/TC486)。

本文件起草单位中国科学院计算机网络信息中心中国标准化研究院中国网络安全审查技术与

:、、

认证中心中国信息通信研究院中国软件评测中心工业和信息化部软件与集成电路促进中心北京

、、()、

邮电大学中国科学院高能物理研究所中国科学院信息工程研究所北京神州绿盟科技有限公司广州

、、、、

物联网研究院北京迪瞰科技有限公司福建中信网安信息科技有限公司福建大数据一级开发有限

、、、

公司

。

本文件主要起草人廖方宇魏金侠赵静李婧龙春杜冠瑶万巍杨帆王跃达付豫豪胡良霖

:、、、、、、、、、、、

朱艳华于建军李翀李菁菁王志强杨青海徐凯程甘杰夫景慧昀周润松郭盈刘建毅齐法制

、、、、、、、、、、、、、

侯丰尧马多贺王妍徐震王利明叶晓虎吴铁军王伟李东何颖李喆

、、、、、、、、、、。

Ⅲ

GB/T43710—2025

引言

科学数据是战略性基础性科技资源具有传播速度最快影响面最宽开发利用潜力大的特点深

、,、、,

刻影响着各国的经济发展国家安全科技进步和综合竞争力中华人民共和国数据安全法中华人

、、。《》《

民共和国个人信息保护法和中华人民共和国网络安全法共同构成了我国网络数据领域治理的基础

》《》

性法律标志着与我国网络大国数字大国相匹配的制度建设逐步走向成熟科学数据管理办法明确

,、。《》

提出应加强科学数据全生命周期安全管理制定科学数据安全保护措施加强数据下载的认证授权等

“,;、

防护管理防止数据被恶意使用本文件面向自然科学领域科学数据安全与合规需求可促进科学数据

,。”,

相关机构数据安全能力提升规范科学数据安全审计工作满足国家对合规性方面的要求

,,。

本文件是一项基础的科学数据安全标准适用于科学数据机构对科学数据相关活动中所涉及的安

,,

全控制活动进行审计规定了科学数据安全审计的相关要求包括总体要求一般审计要求和专项审计

。,、

要求总体要求主要对审计依据审计目标进行描述一般审计要求是为了综合评价科学数据相关机

。、。

构安全目标实现情况而进行的审计从安全策略组织建设人力资源管理管理监督安全管理科学数

,、、、、、

据生存周期业务流程等几个方面对科学数据安全控制工作进行通用审计专项审计要求是根据外部

,。

要求及内部特殊要求而进行的审计可满足科学数据相关机构对个人信息安全汇交安全数据出境安

,、、

全全部或部分的审计需要鉴于国家对数据安全合规监管体系的不断完善将对专项审计内容进行更

。,

新满足国家的监管要求

,。

科学数据安全审计要求的提出旨在客观反映科学数据相关活动安全控制的执行情况从科学数据

,

的保密性可用性完整性可靠性可控性可追溯性不可否认性等安全目标及合规性等方面给出科学

、、、、、、

数据安全控制工作的评价

。

Ⅳ

GB/T43710—2025

科学数据安全审计要求

1范围

本文件规定了科学数据安全审计的相关要求包括总体要求一般审计要求和专项审计要求

,、。

本文件适用于科学数据机构对科学数据相关活动中所涉及的安全控制活动进行审计

,。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

信息安全技术术语

GB/T25069

信息技术科学数据引用

GB/T35294

信息技术备份存储备份技术应用要求

GB/T36092—2018

信息安全技术个人信息安全影响评估指南

GB/T39335

信息安全技术个人信息处理中告知和同意的实施指南

GB/T42574

科学数据安全分类分级指南

GB/T43705

科学数据安全要求通则

GB/T43708

科学数据权益保护基本要求

GB/T44024

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069GB/T43708。

31

.

科学数据scientificdata

在自然科学工程技术科学等领域科学研究活动中形成的以及通过观测监测考察调查检验检测

、,、、

等方式获取的原始及其衍生信息的记录或可用于科学研究活动的其他数据

,。

来源

[:GB/T43708—2025,3.1]

32

.

科学数据安全scientificdatasecurity

通过管理和技术措施针对国家安全科技安全社会公共利益和他人合法权益确保科学数据持续

,、、,

得到有效保护和合规利用的状态

。

来源

[:GB/T43708—2025,3.2]

33

.

科学数据生存周期scientificdatalifecycle

科学数据从采集加工存储备份传输交换开放共享使用服务安全处置最终实现再利用的一个

、、、、、,

循环过程

。

来源

[:GB/T43708—2025,3.3]

1