T/CIITA 506-2022 数据元件安全审核要求

ICS35.020

CCSL78

团体标准

T/CIITA506-2022

数据元件安全审核要求

Auditrequirementofdatacomponentforsecurity

2022-07-28发布2022-08-28实施

中国信息产业商会发布

T/CIITA506-2022

目次

前言..........................................................................................................................................III

引言..........................................................................................................................................IV

1范围............................................................................................................................................1

2规范性引用文件.........................................................................................................................1

3术语和定义.................................................................................................................................1

4缩略语.........................................................................................................................................4

5总体要求.....................................................................................................................................4

6安全审核内容.............................................................................................................................4

7安全审核流程.............................................................................................................................4

7.1流程规范..............................................................................................................................4

7.2数据资源的申请..................................................................................................................5

7.3数据元件模型的开发..........................................................................................................5

7.4数据元件的发布..................................................................................................................5

8安全审核技术要求.....................................................................................................................5

8.1数据资源的申请阶段..........................................................................................................5

8.2数据元件的模型开发阶段..................................................................................................6

8.3数据元件的发布阶段..........................................................................................................6

附录A（资料性）数据样本脱敏方法与敏感信息....................................................................8

参考文献...........................................................................................................................12

I

T/CIITA506-2022

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草

规则》的规定起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。

本文件由中国信息产业商会团体标准专业委员会提出并归口。

本文件起草单位：中国电子信息产业集团有限公司、中国电子系统技术有限公司、清华

大学、北京大数据研究院、奇安信科技集团股份有限公司、中电云数智科技有限公司、南京

赛宁信息技术有限公司。

本文件主要起草人：陆志鹏、国丽、乔亲旺、周崇毅、刘国栋、胡成盛、杨二龙、王理

达、欧高炎、朱立锋、郑曦、温彦龙、修心、范国浩、章纯梓、胡俊、谢冬水、刘宇馨。

III

T/CIITA506-2022

引言

为贯彻落实《中华人民共和国国民经济和社会发展第十四个五年规划和2035

年远景目标纲要》《“十四五”数据经济发展规划》（国发〔2021〕29号）、《关于

加强数字政府建设的指导意见》（国发〔2022〕14号）、《中华人民共和国认证

认可条例》、《关于开展数据安全管理认证工作的公告》（国家市场监督管理总局、

国家互联网信息办公室联合印发，2022年第18号）和GB/T41479-2022《信息

安全技术网络数据处理安全要求》的相关要求，激活数据要素潜在价值，探索

破解数据要素市场化配置中的重点、难点、堵点问题，，推动与实体经济深度融

合，我们启动了数据安全、数据要素、数据产业三大领域的探索，以“数据安全

与数据要素化工程”的名义进行攻关。工程的内容，设计和定义了数据要素加工

中心和数据要素金库。其中，数据元件开发平台作为数据要素加工中心的五大业

务平台之一，在数据元件开发、生产、入库的全流程中，对数据资源、开发流程

和审批流程进行管理，实现了数据元件从设计、开发调试、生产管理到入库编目

的全流程管控，进而实现“数据可用不可见，数据不动程序动”。围绕数据元件

的结构，所进行的流程管理和过程控制，称为数据元件的结构化。结构化，就是

数据安全与数据要素化工程的显著特征。

与数据元件开发平台直接关联的本文件《数据元件安全审核要求》，规定了数据

元件安全审核内容、安全审核流程和安全审核技术要求。

Ⅳ

T/CIITA506-2022

数据元件安全审核要求

1范围

本文件规定了对数据元件进行安全审核的内容、安全审核流程和安全审核技术要求。

本文件适用于平台运营方进行数据元件的安全审核。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期

的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括

所有的修改单）适用于本文件。

GB/T30276—2020信息安全技术网络安全漏洞管理规范

GB/T35273信息安全技术个人信息安全规范

GB/T35274—2017信息安全技术大数据服务安全能力要求

GB/T39412信息安全技术代码安全审计规范

T/CIITA406-2022数据元件的结构要求

3术语和定义

T/CIITA406-2022的术语以及下列术语和定义适用于本文件。

3.1

平台运营方operatorofplatform

政府专门成立或指定的非营利性机构，在政府授权下，对城市数据资源和数据元件进行

统一的运营管理。

3.2

安全审核auditingforsecurity

通过对数据元件开发过程中影响数据安全的因素进行发现和审核，确保数据元件在流通

过程中达到安全使用的目的。

3.3

数据资源的申请app