微生物数据库安全体系设计要求规范.doc

T/CIIA 030—2022 微生物数据库安全体系设计要求 1 范围 本文件规定了微生物数据库安全体系设计总体要求、安全风险评估、安全策略和设计要求。 本文件适用于微生物数据库的日常维护及安全管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其必威体育精装版版本(包括所有的修改单)适用于本 文件。 GB/T 20009—2019 信息安全技术 数据库管理系统安全评估准则 GB/T 20273—2019 信息安全技术 数据库管理系统安全技术要求 GB/T 25069—2022 信息安全技术 术语 DB33/T 2351—2021 数字化改革 公共数据分类分级指南 3 术语和定义 GB/T 20009—2019、GB/T 20273—2019、GB/T 25069—2022和DB33/T 2351—2021界定的以及下列 术语和定义适用于本文件。 3.1 科学数据 scientific data 人类社会科技活动积累的或通过其他方式获取的反映客观世界的本质、特征、变化规律等原始性、 基础性数据，以及根据不同科技活动需要进行系统加工整理的各类数据的集合。 [来源： GB/T 31075—2014,2.2.7] 3.2 微生物数据 microbiological data 与微生物有关的文字、数字、图形或其他形式的原始数据或产品。 3.3 微生物数据库 microbiological database 以储存微生物数据及其元数据为主的数据库及其数据库管理系统。 3.4 生物安防 biosecurity 防止生物因子及其相关处理设备、技术、数据在所有方不知情的情况下被接触或传播的措施。 3.5 生物安防风险评估 biosecurity risk assessment 对某一组织所持有的生物因子被不正当使用的风险及其后果进行评估，并制定相应的防范措施的 过程。 3.6 数据安全 data security 通过采取必要措施，确保数据处于有效保护和合法利用的状态，以及具备保障持续安全状态的能力。 3.7 信息控制 information control 对敏感信息进行分级并按照级别确保信息的必威体育官网网址性和完整性的限制性措施。 2 T/CIIA 030—2022 4 总体要求 微生物数据库的安全需求取决于其存储的科学数据的敏感性，设计微生物数据库安全体系时应遵 循以下要求： a) 应对数据库的软硬件及科学数据本身进行安全风险评估，相关要求见第5章； b) 根据评估结果选择或制定安全策略，相关要求见第6章； c) 根据安全策略确定或修改数据库结构并建立一整套适用的安全体系，相关要求见第7章。 数据库不应存储高于其安全等级的科学数据。如果确有需要，应先对数据库进行升级以达到相应的 安全要求后，再录入数据。 5 安全风险评估 5.1 数据库风险评估 数据库软硬件风险评估应遵循GB/T 20009、GB/T 20273的相关规定。 5.2 微生物数据风险评估 5.2.1 概述 微生物相关数据(例如微生物的培养环境、操作方法、来源、致病性等)可能存在潜在风险，应对 其进行风险评估。根据生物安防风险评估结果，选择或制定安全策略，确定数据库结构。 5.2.2 微生物数据安全分级 分级依据 微生物数据安全分级按照生物安防风险评估结果进行划分。不同安全等级的数据形成一个偏序格。 同级数据的安全等级在本体系下不能相互比较，若需要比较则应进一步细分。微生物数据安全等级可根 据数据的后续处理方式进行调整。 核心数据 关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。 重要数据 一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益的数据。重要 数据不包含国家秘密和未达到一定数量规模的个人信息。 一般数据 不会对国家安全、公共安全形成重要的潜在影响的数据。 6 安全策略 6.1 概述 微生物数据安全体系各部分之间的实体关系应符合图1的要求。 3 T/CIIA 030—2022 微生物数据库 微生物数据库 系统数据 用户数据 数据库管理系统 安全分级方式 基本属性 权限设置 安全等级 边可控制机制 物理基础设施 基本属性 角色 本地存储 外地云存储 微生物数据 分类入库 用户 图1 微生物数据库安全体系各部分之间的实体关系图 6.2 数据分级管理 6.2.1 数据库物理基础设施 根据数据库持有数据的安全等级不同，应选择适用的数据部署方式，可供选择的数据部署方式如下： d) 本地部署；如果数据库持有的数据以核心数据或未经脱敏的重要数据为主，应把数据