PAGEPAGE1企業(yè)科學(xué)數(shù)據(jù)安全管理指南范圍本文件適用于各類組織進(jìn)行科學(xué)數(shù)據(jù)安全管理，也可供第三方評估機(jī)構(gòu)參考。（GB/T7027—2002信息分類和編碼的基本原則與方法下列術(shù)語和定義適用于本文件。3.1科學(xué)數(shù)據(jù)scientificdata人類社會科技活動積累的或通過其他方式獲取的反映客觀世界的本質(zhì)、特征、變化規(guī)律等原始性、GB/T31075—2014，2.2.7]3.2科學(xué)數(shù)據(jù)中心scientificdatacenter利用信息、網(wǎng)絡(luò)等現(xiàn)代技術(shù)，對科學(xué)數(shù)據(jù)進(jìn)行整合匯交、分級分類、加工整理和分析挖掘，保障科學(xué)數(shù)據(jù)安全，推動科學(xué)數(shù)據(jù)開放共享，加強(qiáng)國內(nèi)外科學(xué)數(shù)據(jù)交流與合作的專業(yè)化機(jī)構(gòu)。3.3scientificdatasecurityGB/T37988—2019，3.1總則概述國務(wù)院相關(guān)部門、省級人民政府相關(guān)部門是主管部門，其主要職責(zé)包括下列內(nèi)容：）（）科學(xué)數(shù)據(jù)管理相關(guān)單位在實現(xiàn)科學(xué)數(shù)據(jù)價值的同時，確保數(shù)據(jù)安全。主要包括下列內(nèi)容：保密性完整性可用性科學(xué)數(shù)據(jù)環(huán)境下的可用性需求宜保證平臺的抗攻擊能力、安全分析能力和容災(zāi)能力?？煽匦栽诩s定的權(quán)益下，對科學(xué)數(shù)據(jù)的訪問、共享和內(nèi)容具有控制權(quán)限。GB/T7027—2022科學(xué)數(shù)據(jù)安全分級時，首先完成科學(xué)數(shù)據(jù)識別，建立科學(xué)數(shù)據(jù)目錄。針對不同類型的科學(xué)數(shù)據(jù)分別識別其影響對象和評估其影響程度，根據(jù)安全分級規(guī)則確定級別?？茖W(xué)數(shù)據(jù)安全管理主要包括下列內(nèi)容。——理解并遵從科學(xué)數(shù)據(jù)安全相關(guān)的法律法規(guī)、合同、標(biāo)準(zhǔn)等；——正確處理個人信息、重要數(shù)據(jù)；——實施合理的跨組織數(shù)據(jù)保護(hù)策略和實踐。組織宜明確不同角色和其科學(xué)數(shù)據(jù)處理活動的安全責(zé)任，宜明確科學(xué)數(shù)據(jù)管理的責(zé)任主體和促進(jìn)科學(xué)數(shù)據(jù)開放共享的重要載體。可審計概述科學(xué)數(shù)據(jù)采集加工安全包括下列內(nèi)容：——定義采集科學(xué)數(shù)據(jù)的內(nèi)容、范圍和用途；——遵循合規(guī)原則，確保采集的合規(guī)性和安全性；——遵循質(zhì)量保障原則，制定科學(xué)數(shù)據(jù)質(zhì)量保障的策略、規(guī)程和要求；——對采集的科學(xué)數(shù)據(jù)進(jìn)行分類分級標(biāo)識并實施相應(yīng)的安全管理策略和保障措施；——對科學(xué)數(shù)據(jù)采集環(huán)境、設(shè)施和技術(shù)采取必要的安全管理措施；——對科學(xué)數(shù)據(jù)進(jìn)行采集與應(yīng)用管理的信息系統(tǒng)，宜采取入侵防范、惡意代碼檢測、數(shù)據(jù)防漏洞檢查等有效技術(shù)措施，提高數(shù)據(jù)管理系統(tǒng)的防病毒、防攻擊、防竊取、防泄漏等安全防護(hù)能力。科學(xué)數(shù)據(jù)存儲備份安全包括下列內(nèi)容：——將不同類別和級別的科學(xué)數(shù)據(jù)分開存儲，并采取物理或邏輯隔離機(jī)制；——建立存儲冗余策略和管理制度，以及數(shù)據(jù)備份與恢復(fù)操作過程規(guī)范；——存入系統(tǒng)中的科學(xué)數(shù)據(jù)由專人錄入和核對。數(shù)據(jù)在存儲之前反復(fù)檢查確保數(shù)據(jù)準(zhǔn)確性?？茖W(xué)數(shù)據(jù)傳輸交換安全包括下列內(nèi)容：——遵循責(zé)任不隨數(shù)據(jù)轉(zhuǎn)移原則；——遵循可審計原則，記錄時間、數(shù)據(jù)接收方等相關(guān)信息；——利用加密、簽名、鑒別和認(rèn)證等機(jī)制對數(shù)據(jù)傳輸進(jìn)行安全管理，防止數(shù)據(jù)遭泄漏和篡改；——采取身份鑒別、消息鑒別和第三方仲裁等技術(shù)手段來保證數(shù)據(jù)交換過程的真實性和有效性；——涉密數(shù)據(jù)傳輸?shù)挠涗浖叭罩颈４娌灰松儆诎肽辏婕皣颐孛艿臄?shù)據(jù)傳輸?shù)挠涗浖叭罩颈４娌灰松儆谝荒?。科學(xué)數(shù)據(jù)開放共享安全包括下列內(nèi)容：——通過在業(yè)務(wù)系統(tǒng)、產(chǎn)品對外部客戶供數(shù)據(jù)時，以及通過合作的方式與第三方合作伙伴交換共享數(shù)據(jù)時，執(zhí)行對數(shù)據(jù)交換過程的安全風(fēng)險控制，以實現(xiàn)對數(shù)據(jù)價值保護(hù)的有效性、對法律法規(guī)的符合性；——通過在數(shù)據(jù)發(fā)布的過程中對發(fā)布數(shù)據(jù)的格式、適應(yīng)范圍、發(fā)布者與使用者權(quán)利和義務(wù)執(zhí)行的必要控制，以實現(xiàn)數(shù)據(jù)發(fā)布過程中數(shù)據(jù)的安全可控與合規(guī)；——通過基于組織機(jī)構(gòu)數(shù)據(jù)存儲安全需求和合規(guī)性要求建立數(shù)據(jù)訪問控制機(jī)制，防止對存儲數(shù)據(jù)的未授權(quán)訪問風(fēng)險；——規(guī)定處理數(shù)據(jù)的范圍、權(quán)限、級別，并能防止越權(quán)操作；——科學(xué)數(shù)據(jù)開放共享時，不得對科學(xué)數(shù)據(jù)原始記錄作任何篡改或損壞；科學(xué)數(shù)據(jù)共享完畢后，檢査并保持?jǐn)?shù)據(jù)處理結(jié)果的原樣；——科學(xué)數(shù)據(jù)根據(jù)分級要素，可劃分不同的安全級別，不同應(yīng)用信息系統(tǒng)環(huán)境之間數(shù)據(jù)流向宜有控制，不宜在存儲或處理安全級別低的信息系統(tǒng)環(huán)境中處理安全級別高的數(shù)據(jù)?？茖W(xué)數(shù)據(jù)使用服務(wù)安全包括下列內(nèi)容：——按規(guī)定授權(quán)原則確定不同用戶的數(shù)據(jù)訪問權(quán)限，并由專人負(fù)責(zé)編制授權(quán)表；——劃分用戶類別和權(quán)限，使數(shù)據(jù)的使用被限制在工作確需的范圍內(nèi)；——規(guī)定科學(xué)數(shù)據(jù)分類、分級、用戶使用的許可等級和相應(yīng)的數(shù)據(jù)使用規(guī)則，以保證數(shù)據(jù)的安全使用；——按照不同安全級別對數(shù)據(jù)的產(chǎn)生、傳輸