ICS 35.020 CCS L 80 T/CIIA 030—2022 微生物数据库安全体系设计要求 Design requirements for database security system in the field of microbiology 2022 - 10 - 20发布 2022 - 10 - 20实施 中国信息协会 发布 团 体 标 准 全国团体标准信息平台 T/CIIA 030 —2022 I 目次 前言 ................................ ................................ ................. II 引言 ................................ ................................ ................ III 1 范围 ................................ ................................ ................ 1 2 规范性引用文件 ................................ ................................ ...... 1 3 术语和定义 ................................ ................................ .......... 1 4 总体要求 ................................ ................................ ............ 2 5 安全风险评估 ................................ ................................ ........ 2 6 安全策略 ................................ ................................ ............ 2 7 安全体系设计要求 ................................ ................................ .... 5 参考文献 ................................ ................................ ............. 10 全国团体标准信息平台 T/CIIA 030 —2022 II 前言 本文件按照 GB/T 1.1—2020《标准化工作导则 第1部分：标准化文件的结构和起草规则》的规定 起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由中国信息协会提出并归口。 本文件起草单位： 中国科学院微生物研究所 、中国科学院成都文献情报中心 、中国科学院武汉病毒 研究所、中国科学院计算机网络信息中心 、广州物联网研究院 、深圳华大生命科学研究院 、北京携云启 源科技有限公司 、杭州迪安生物技术有限公司 、北京微未来科技有限公司 、广东美格基因科技有限公司 、 北京声智科技有限公司 、北京神州绿盟科技有限公司 、北京擎科生物科技有限公司 、中国科学院东北地 理与农业生态研究所农业技术中心 、山东新创生物科技有限公司 、中国国信信息总公司 、北京蓝象标准 咨询服务有限公司。 本文件主要起草人： 左丽媛、 孙定中、邓菲、王芳 、陈方、廖方宇、胡良霖、井晓欢、张鑫磊、任 绪义、王小敏、邱凯、陈孝良、陈安君、杜军、刘俊杰、于镇华、王勇、王进京、乔华阳、马建红、张 德保、段小莉。 本文件为首次发布。 全国团体标准信息平台 T/CIIA 030 —2022 III 引言 科学数据是国家科技创新发展和经济社会发展的重要基础性战略资源，是信息时代传播速度最快、 影响面最宽 、开发利用潜力最大的科技资源。科学数据信息化离不开数据库的建设，因此必须要保证数 据库安全以防止数据被非法使用而造成数据 的泄露、破坏 和更改。微生物数据库安全体系是微生物生物 安防系统的一部分 ，也是数据库信息安全管理系统在微生物学上的应用实例 。目前，微生物数据库的安 全性良莠不齐， 同时从业人员也 缺乏衡量这一特殊系统安全性的参考指标 。 为了协助相关从业人员建立及评价微生物数据库的安全体系、保护微生物数据的信息安全 ，本文件 从信息科学 的角度明确了生物安防中关于数据的安全要求 ，为微生物数据库安全管理 及国家科学数据 安全体系建设提供支撑 。微生物数据库在建立时应先进行安全风险评估，根据评估结果选择合适的 安全 策略，并在此基础上形成更具体的设计要求 ，满足不同类型、不同级别的数据库的安全要求 。 全国团体标准信息平台 T/CIIA 030 —2022 1 微生物数据库安全体系设计 要求 1 范围 本文件规定了微生物 数据库安全体系 设计总体要求、 安全风险评估、安全策略和设计要求。 本文件适用于微生物 数据库的日常维护及安全管理。 2 规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。 其中， 注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 GB/T 20009 —2019 信息安全技术 数据库管理系统安全评估准则 GB/T 20273 —2019 信息安全技术 数据库管理系统安全技术要求 GB/T 25069 —2022 信息安全技术 术语 DB33/T 2351 —2021 数字化改革 公共数据分类分级指南 3 术语和定义 GB/T 20009 —2019、GB/T 20273 —2019、GB/T 25069 —2022和DB33/T 2351 —2021界定的以及下列 术语和定义适用于本文件。 科学数据 scientific data 人类社会科技活动积累的或通过其他方式获取的反映客观世界的本质、特征、变化规律等原始性、 基础性数据 ，以及根据不同科技活动需要进行系统加工整理的各类数据的集合。 [来源：GB/T 31075 —2014，2.2.7] 微生物数据 microbiological data 与微生物有关的文字、数字、图形或其他形式的原始数据或产品。 微生物数据库 microbiological database 以储存微生物数据及其元数据为主的数据库及其数据库管理系统。 生物安防 biosecurity 防止生物因子及其相关处理设备、技术、数据在所有方不知情的情况下被接触或传播的措施。 生物安防风险评估 biosecurity risk assessment 对某一组织所持有的生物因子被不正当使用的风险及其后果进行评估，并制定相应的防范措施的 过程。 数据安全 data security 通过采取必要措施， 确保数据处于有效保护和合法利用的状态， 以及具备保障持续安全状态的能力。 信息控制 information control 对敏感信息进行分级并按照级别确保信息的保密性和完整性的限制性措施。 全国团体标准信息平台 T/CIIA 030 —2022 2 4 总体要求 微生物数据库的安全需求取决于其存储的 科学数据的敏感性， 设计微生物数据库安全体系时 应遵 循以下要求： a) 应对数据库的软硬件及 科学数据本身进行安全风险评估 ，相关要求见第 5章； b) 根据评估结果选择或制定安全策略， 相关要求见第 6章； c) 根据安全策略确定或修改数据库结构并建立一整套适用的安全体系 ，相关要求见 第7章。 数据库不应存储高于其安全等级的 科学数据。如果确有需要，应先对数据库进行升级以达到相应的 安全要求 后，再录入数据。 5 安全风险评估 数据库风险评估 数据库软硬件风险评估应遵循 GB/T 20009 、GB/T 20273 的相关规定。 微生物数据风险评估 5.2.1 概述 微生物相关数据（例如微生物的培养环境、操作方法、来源、致病性等）可能存在潜在风险，应对 其进行风险评估。根据生物安防风险评估结果，选择或制定安全策略，确定数据库结构。 5.2.2 微生物数据安全分级 5.2.2.1 分级依据 微生物数据安全分级按照生物安防风险评估结果进行划分。不同安全等级的数据形成一个偏序格。 同级数据的安全等级在本体系下不能相互比较，若需要比较则应进一步细分。微生物数据安全等级可根 据数据的后续处理方式进行调整。 5.2.2.2 核心数据 关系国家安全、国民经济命脉、重要民生 和重大公共利益等 的数据。 5.2.2.3 重要数据 一旦遭到篡改、破坏、泄露或 者非法获取、非法利用，可能危害国家安全、公共利益的数据。 重要 数据不包含国家秘密和未达到一定数量规模的个人信息。 5.2.2.4 一般数据 不会对国家安全、公共安全形成重要的潜在影响的数据 。 6 安全策略 概述 微生物数据安全体系各部分之间的实