《信息安全技术 存储介质数据恢复服务安全规范》编制说明.docx

国家标准材料 PAGE 1 国家标准《信息安全技术 存储介质数据恢复服务安全规范》（征求意见稿）编制说明 一、工作简况 1.1 任务来源 根据国家标准化管理委员会2022年下达的国家标准制修订计划，《信息安全技术 存储介质数据恢复服务安全规范》由国家信息中心负责承办。本标准由全国信息安全标准化技术委员会归口管理。 1.2 制定背景 本标准由国家信息中心负责牵头起草，协作起草单位为（按报名参编顺序）中国科学院信息工程研究所、联想（北京）有限公司、司法鉴定科学研究院、中电长城网际系统应用有限公司等。 1.3 起草过程 1.3.1项目启动 2022年10月30日，全国信息安全标准化技术委员会下达《信息安全技术　存储介质数据恢复服务安全规范》国家标准制定立项，见《全国信息安全标准化技术委员会关于2022年网络安全标准项目立项的通知》（信安字〔2022〕26号）。 2022年11月11日，在全国信息安全标准化技术委员会官方网站上征集标准参编单位，截至11月11日收到13家单位参编申请。 2022年11月12日，成立标准编制工作组，并建立微信群，共11名成员。 1.3.2 标准草案 2022年11月12日，继续改进项目申报阶段形成的标准草案(v14.0)，形成标准草案(v15.0)。 2022年12月7日，向工作组汇报标准草案。 2023年1月3日，讨论并修改标准草案，形成标准征求意见稿。 1.3.3 标准征求意见稿 2023年4月13日，参加网络安全国家标准试点工作部署会，针对编制的试点方案和评价表，对应修改标准文本中管理安全要求和证实方法的对应关系，提供标准易用性。 2023年5月8日，参加网络安全国家标准试点工作方案评审会，并对应修改工作方案。 2023年5月11日，参加网络安全国家标准专家评审会，并对应修改工作方案。 （4）2023年5月26日，召开试点工作启动会。 （5）2023年6月1日，参加标准组工作会，并汇报标准方案。 （6）2023年7月21日，召开试点工作总结会，并对应修改标准文稿。 （7）2023年9月7日，参加专家审查会，并对应修改标准文稿。 二、标准编制原则、主要内容及其确定依据 2.1 标准编制原则 存储介质数据恢复服务是将无法正常读取的数据从存储介质中复原，使其可正常使用。实施存储介质数据恢复服务应当遵循如下基本原则： 合规原则：以符合涉及数据恢复的法律、法规和标准规范为原则； 可用性原则：恢复的数据可被授权用户正确访问和使用； 必威体育官网网址性原则：服务过程中应保护客户的个人信息及存储介质中的数据不被非授权个人、实体处理； 完整性原则：数据恢复过程中确保客户送修存储介质中的数据不被更改； 可审计原则: 应确保数据恢复过程中对存储介质的操作可追溯； 合作原则：以数据恢复服务提供方和需求方通力合作，共同保障数据恢复服务安全为原则； 2.2 主要内容及其确定依据 本标准拟修订《GB/T 31500-2015 信息安全技术 存储介质数据恢复服务要求》。主要依据国家法律法规标准及技术进步带来的变化，对数据恢复机构从管理和技术实施的数据安全保障提出要求，并提出相应的评价体系，推动数据恢复行业的合规和安全发展。本标准主要解决支撑《网络安全法》《数据安全法》等法规对数据恢复服务的安全要求，规范数据恢复从业机构、从业者、从业环境；提出数据恢复服务管理和技术安全要求；提出数据恢复服务安全要求评价体系。 《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等国家法律法规和标准对保障数据安全提出了明确的要求。数据恢复服务是针对数据的一种特定处理活动，也是保障数据安全的关键环节。而目前数据恢复服务行业在管理和技术实施方面存在着很多数据安全风险，包括行业作坊式特点明显，存在很多管理和技术安全风险；行业诚信度不够，缺乏数据恢复从业者、从业者、从业环境的规范；数据恢复服务质量不好衡量，缺乏评价体系等问题。因此，亟需进一步规范数据恢复服务行业，尤其需要增加在数字要素和数据安全大背景下的安全要求，确保数据恢复服务行业的数据处理者合规安全的恢复数据。 2.3 修订前后技术内容的对比[仅适用于国家标准修订项目] 本文件代替GB.T 31500—2015 《信息安全技术　存储介质数据恢复服务要求》，与GB.T 31500—2015相比，除结构调整和编辑性改动外，主要技术变化如下： 标准名称更改为《信息安全技术 存储介质数据恢复服务安全规范》； “服务原则”改为“概述和原则”，“可核查原则”改为“可审计原则”，增加了“合规原则”和“合作原则”条款、增加“4.1 概述”，概述数据恢复服务级别分类和文中条款分类（见第4章，2015版的第4章）； 安全要求的分类由“服务条件要求”“服务过程要