中国 国家標準「情報セキュリティ技術：データセキュリティのリスクアセスメント手法」の公開と意見募集 (2023.08.21)

こんにちは、丸山満彦です。

情報セキュリティのリスクマネジメント手法については、かつてはGMITS (ISO/IEC TR 13335) というISOから発行されているTRがあったのですが、廃止されていまはなく、情報セキュリティのリスクマネジメントについてのISOとしてISO/IEC 27005:2022 Information security, cybersecurity and privacy protection — Guidance on managing information security risksがあります。

これに近い中国の標準としては、GB/T 20984-2022：信息安全技术 信息安全风险评估方法 (preview)があります。

今回、中国のいわゆるTC260が提案している「情報セキュリティ技術：データセキュリティのリスクアセスメント手法」は、データセキュリティに集中しているように見えますね。。。という意味では、中国独特のもののようですね。。

 

● 全国信息安全标准化技术委员会

・2023.08.21 关于国家标准《信息安全技术 数据安全风险评估方法》征求意见稿征求意见的通知

 

標準案

・[PDF] 信息安全技术数据安全风险评估方法

・[DOCX] 仮訳

 

 

説明

・[PDF] 信息安全技术 数据安全风险评估方法-编制说明

国家标准《信息安全技术数据安全风险评估方法》（征求意见稿）编制说明	国家標準「情報セキュリティ技術：データセキュリティリスクアセスメント手法」（公開草案） 説明
一、工作简况	I. 概要
1.1 任务来源	1.1 業務所管
根据国家标准化管理委员会2023年下达的国家标准制修订计划，《信息安全技术 数据安全风险评估方法》由中国电子技术标准化研究院负责承办，并联合国家信息技术安全研究中心、国家计算机网络应急技术处理协调中心等单位编制，计划号：20230257-T-469。本标准由全国信息安全标准化技术委员会归口管理。	国家標準化管理委員会が2023年に発布した国家標準作成・改正計画によると、「情報セキュリティ技術データセキュリティリスクアセスメント方法」は中国国家電子技術標準化研究院（CNISET）が請け負い、国家情報技術セキュリティ研究センター（NITSRC）、国家コンピュータネットワーク緊急対応技術処理調整センター（NCCERTH）及びその他の単位が計画番号第20230257-T-469号に基づいて共同で作成する。 本標準は、国家情報セキュリティ標準化専門委員会によって管理される。
1.2 制定背景	1.2 背景
2022年3月6日，全国信息安全标准化技术委员会发布《关于发布2022年度网络安全国家标准需求的通知》（信安秘字〔2022〕47号)，在附件《2022年网络安全国家标准需求清单》中明确了有关需求“支撑《数据安全法》第十八条、第三十条对数据安全风险评估相关规定的落地实施。 ”	2022年3月6日、国家情報セキュリティ標準化技術委員会は、「2022年サイバーセキュリティ要求事項国家標準の公開に関する通知」（新安密言[2022]第47号）を発表し、附属書「2022年サイバーセキュリティ要求事項国家標準一覧」の中で、関連する要求事項として「データセキュリティ法第18条及び第30条のデータセキュリティリスク評価に関する関連規定の実施支援」を明確に定義した。 データセキュリティリスクアセスメントに関連する規定の実施を支援する。"
我国高度重视数据安全工作，先后出台《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规。与此同时，数据安全风险和违法违规问题依然严峻，国家数据安全、企业商业秘密和公民个人信息安全防护需求迫切。为了规范数据处理活动，保障数据安全，《数据安全法》明确提出建立数据安全风险评估机制要求。数据安全风险评估，主要针对数据处理者的数据和数据处理活动进行风险评估，旨在掌握数据安全总体状况，发现存在的数据处理不合理、缺少有效的数据安全措施等风险隐患，为进一步健全数据安全管理制度和技术措施，提高数据安全治理能力奠定基础。	中国はデータセキュリティを非常に重視しており、「中華人民共和国データセキュリティ法」や「中華人民共和国個人情報保護法」などの法規を導入している。 その一方で、データセキュリティのリスクや法律違反は依然として深刻であり、国家データセキュリティ、企業の営業秘密、国民の個人情報のセキュリティ保護が急務となっている。 データ処理活動を規制し、データセキュリティーを保護するため、データセキュリティー法はデータセキュリティーリスクアセスメントメカニズムの確立を明確に打ち出している。 データセキュリティリスクアセスメントは、主にデータ処理者のデータとデータ処理活動を対象にリスクアセスメントを実施し、データセキュリティの全体状況を把握し、不合理なデータ処理の存在、効果的なデータセキュリティ対策の欠如などのリスクや隠れた危険を発見し、データセキュリティ管理体制と技術対策をさらに改善し、データセキュリティガバナンス能力を向上させ、基礎を築くことを目的としている。
本标准给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等，明确了数据安全风险评估各阶段的实施要点和工作方法。适用于指导数据处理者、第三方评估机构开展数据安全风险评估，也可供有关主管监管部门实施数据安全检查评估时参考。	本基準は、データセキュリティリスク評価の基本概念、要素関係、分析原則、実施プロセス、評価内容、分析評価方法などを示し、データセキュリティリスク評価の各段階の実施ポイントと作業方法を規定している。 本書はデータ処理者及び第三者評価機関がデータセキュリティリスク評価を実施する際の指導に適しており、関連主管監督機関がデータセキュリティ検査及びアセスメントを実施する際の参考資料としても利用できる。
1.3 起草过程 2022年3月，成立编制工作组，启动标准编制工作，形成标准草案，同步编制研究报告、实施应用方案。	1.3 起草プロセス 2022年3月、準備作業部会が設立され、規格の準備を開始し、規格草案を作成し、調査報告書と実施・適用プログラムを同時に作成した。
2022年4月，在信安标委标准会议周的WG7工作组内进行立项汇报，通过工作组立项投票。	2022年4月、情報セキュリティ標準化委員会の標準化会議の週のWG7作業部会で、作業部会プロジェクト投票を経て、プロジェクト報告書を提出する。
2022年5-10月。组织多次研讨会，起草组先后完成3次标准草案的修改，形成《数据安全风险评估研究报告》、《<信息安全技术 数据安全风险评估方法> 实施应用方案》。	2022年5月～10月 数回のワークショップを開催し、起草グループは3回の規格案の改訂を完了し、データセキュリティリスクアセスメントに関する研究報告書と<情報セキュリティ技術データセキュリティリスクアセスメント手法>の実施と応用プログラムを形成した。
2022年6月，在信安标委标准会议周的WG7工作组内进行立项汇报，通过立项专家评审。	2022年6月、情報セキュリティ標準化委員会の標準化会議の週のWG7作業部会で報告され、プロジェクトの専門家の評価に合格した。
2022年11月2日，信安标委发布标准立项通知，标准获得信安标委立项。	2022年11月2日、情報セキュリティ標準委員会(ISSC)は標準プロジェクト通知を発行し、標準はISSCからプロジェクトを授与された。
2022年11月16日至11月30日，标准公开征集参编单位。	2022年11月16日から11月30日まで、規格は参加ユニットを公募した。
2022年11月-12月，召开编制组会议，对标准草案进行完善。	2022年11月～12月、準備グループ会議を開催し、規格案を改善した。
2022年11月25日，参与国标委标准项目立项答辩，回应了专家质询。	2022年11月25日、国家標準委員会の標準プロジェクトの弁明に参加し、専門家の質問に答えた。
2022年12月6日，在信安标委会议周的WG7工作组对标准工作进展进行了汇报，通过工作组投票，建议将本标准推进至征求意见稿。	2022年12月6日、SINOSEC会議の週のWG7作業部会は、標準作業の進捗状況を報告し、作業部会の投票を通じて、この標準は、コメントのためのドラフトに進めることが推奨された。
2022年12月至2023年2月，针对会议周专家意见，完善标准内容。	2022年12月から2023年2月にかけて、会議週の専門家の意見を受け、規格の内容を改善した。
2023年3月27日，参加秘书处组织的征求意见稿专家审查会，评审专家对标准提出38条意见。	2023年3月27日、事務局主催の暴露ドラフト専門家レビュー会議に参加し、規格のレビュー専門家が38のコメントを提出した。
2023年4月-5月，处理专家意见，完善标准内容。	2023年4月～5月、専門家の意見に対処し、規格の内容を改善する。
2023年6月1日，在信安标委会议周的WG7工作组对标准工作进展进行了汇报，收集42条意见。	2023年6月1日、SGSEC会議の週のWG7ワーキンググループは、標準作業の進捗状況を報告し、42のコメントを収集した。
2023年6月-8月，处理专家意见，完善标准内容。	2023年6月～8月、専門家の意見に対処し、標準の内容を改善する。
二、标准编制原则、主要内容及其确定依据	II. 標準作成の原則、主な内容とその決定根拠である。
2.1 标准编制原则本标准在编制过程中遵循了问题导向原则、协调性原则。	2.1 標準作成の原則 本標準は、作成過程において、問題志向と協調の原則に従う。
2.2 主要内容及其确定依据	2.2 主な内容とその根拠
本标准为支撑《数据安全法》第十八条、第三十条对数据安全风险评估相关规定落实，贯彻《个人信息保护法》《网络数据安全管理条例（征求意见稿）》有关要求，建设数据安全风险评估的协作和统一管理机制，发现国家、重点行业领域和地方区域的数据安全风险，理清数据安全建设方向，针对性提升我国数据安全能力水平。	本標準は、データセキュリティリスクアセスメントに関する「データセキュリティ法」第18条及び第30条の実施を支持し、「個人情報保護法」及び「ネットワークデータセキュリティ管理条例（意見公募案）」の関連要求を実施し、データセキュリティリスクアセスメントのための協調的かつ統一的な管理メカニズムを構築し、国家、主要産業分野及び地方のデータセキュリティリスクを発見し、データセキュリティ構築の方向性を明らかにする。 中国のデータセキュリティ能力レベルの向上を目標とする。
本文件提出了数据安全风险评估的基本概念、要素关系、分析原理、实施流	本書は、データセキュリティリスク評価の基本概念、要素関係、分析原則、実施フロー及びアセスメント内容を提示する。
程、评估内容，明确了数据安全风险评估各阶段的实施要点和工作方法，包括：	本書は、データセキュリティリスク評価の基本概念、要素間の関係、分析原則、実施フロー、アセスメント内容を提示し、データセキュリティリスク評価の各段階の実施ポイントと作業方法を規定する：
1) 评估要素间关系；	1) アセスメント要素間の関係；
2) 风险分析原理；	2) リスク分析の原則；
3) 评估适用情形；	3) 該当状況のアセスメント；
4) 评估实施流程；	4) アセスメントの実施プロセス
5) 评估内容框架；	5) アセスメント内容の枠組み；
6) 评估方法；	6) アセスメントの方法論
7) 数据安全风险评估准备；	7) データセキュリティリスク評価の準備
8) 数据和数据处理活动识别；	8) データ及びデータ処理活動の特定
9) 数据安全风险识别；	9) データセキュリティリスクの特定
10)数据安全风险分析与评价；	10) データセキュリティリスクの分析と評価
11)评估总结；	11) アセスメントの概要
12)数据安全风险评估报告模板。	12) データセキュリティリスクアセスメント報告書のテンプレート
三、 试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会效益和生态效益	III. 試験検証、技術的・経済的正当性、期待される経済的・社会的・生態学的便益の分析と総合 報告書
3.1 试验验证的分析、综述报告将根据下一步标准试点工作开展情况而定。	3.1 試験検証の分析と統合報告書は、標準パイロット事業の次のステップに基づく。
3.2 技术经济论证将根据下一步标准试点工作开展情况而定。	3.2 技術的・経済的妥当性確認は、標準パイロット試験の次のステップに基づく。
3.3 预期的经济效益、社会效益和生态效益	3.3 期待される経済的、社会的、生態学的利益
通过研究提出统一的数据安全风险评估方法，明确数据安全风险评估的实施流程、内容、风险分析原理，给出数据安全风险评价方法和风险处置方法。支撑国家数据安全相关制度、工作，以及数据安全风险评估要求更好地在各行业领域落地，指导数据处理者开展数据安全风险评估工作，提高我国数据安全保护水平。	研究を通じて、統一的なデータセキュリティリスク評価方法を提案し、データセキュリティリスク評価の実施プロセス、内容、リスク分析原則を明確にし、データセキュリティリスク評価方法とリスク処理方法を与える。 国家データセキュリティ関連制度と作業をサポートし、データセキュリティリスク評価要求が各産業分野でよりよく着地できるようにし、データ処理者がデータセキュリティリスク評価作業を実施するよう指導し、中国のデータセキュリティ保護レベルを向上させる。
四、 与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、样机的有关数据对比情况	IV. 国際及び外国の同類標準の技術内容との比較、または海外のテスト済みサンプル及びプロトタイプの関連データとの比較
当前，国外数据安全和个人信息保护方面的评估认证，主要有数据保护影响评估（DPIA）、受控非密信息安全评估、ISO/IEC 27000系列管理体系认证、信息技术产品安全评估（CC）等。20世纪80年代，美国、加拿大等发达国家就已经开始建立以信息安全风险评估为基础的信息安全风险管理体系，制定了相关标准、评估方法和相关技术。当前尚缺少数据安全风险评估相关的国际标准。，主要在信息安全、产品安全等标准中引入隐私保护要求。	現在、外国のデータセキュリティと個人情報保護のアセスメントと認証は、主にデータ保護影響評価（DPIA）、管理された未分類の情報セキュリティアセスメント、ISO/IEC 27000シリーズの管理システム認証、情報技術製品のセキュリティアセスメント（CC）などである。 情報セキュリティリスク管理システムを構築し、関連規格、アセスメント方法、関連技術を開発した。 現在、データセキュリティリスク評価に関する国際標準は不足している。 また、プライバシー保護要件は主に情報セキュリティ、製品セキュリティ、その他の規格に導入されている。
ISO/IEC 27000信息安全管理体系认证，扩展到隐私信息管理体系认证。目前，信息安全管理体系认证已形成比较成熟的一套体系认证机制，同时随着 ISO/IEC 27000系列信息安全管理标准不断完善，已经出台针对个人信息保护的管理体系标准，例如提出隐私信息管理体系的ISO/IEC 27701《扩展的ISO/IEC 27001和ISO/IEC 27002 隐私信息管理要求和指南》、提出个人信息保护控制措施集合的ISO/IEC 29151《个人可识别信息保护实践指南》、适用于公有云个人信息保护的ISO/IEC 27018《公有云作为个人信息处理者保护可识别个人信息的实践指南》，这些标准也常被用于进行管理体系认证。	ISO/IEC 27000情報セキュリティマネジメントシステム認証は、プライバシー情報マネジメントシステム認証に拡張された。 現在、情報セキュリティマネジメントシステム認証は、システム認証メカニズムの比較的成熟したセットを形成していると同時に、情報セキュリティマネジメント規格のISO / IEC 27000シリーズの継続的な改善に伴い、個人情報管理システム規格の保護のために導入されている、例えば、提案されたプライバシー情報管理システムISO / IEC 27701は、"拡張ISO / IEC 27001およびISO / IEC 27002の要求事項およびガイドライン。27002 プライバシー情報管理のための要求事項及びガイドライン」、個人情報保護のための管理策集を提案するISO/IEC 29151「個人識別情報保護のための実践的ガイドライン」、パブリッククラウドにおける個人情報保護に適用するISO/IEC 27018「個人情報の処理者としてのパブリッククラウドにおける識別可能な個人情報の保護のための実践的ガイドライン」などがあり、これらの規格はマネジメントシステム認証の実施に利用されることが多い。 認証に用いられることが多い。
此外，信息技术产品安全评估正在增加产品的隐私保护功能评估。信息技术产品安全评估（简称CC）按照ISO/IEC15408《信息技术安全评估通用准则》对信息技术产品，尤其是信息安全产品的安全保障级别进行评估。目前CC作为国际常用的产品安全测评方式，已形成一套完整的测评方法论。同时，ISO/IEC 15408系列标准也正在修订，增加了隐私保护等产品安全功能组件，例如CC中涉及数据安全的安全功能组件，主要包括用户数据保护、隐私两大功能组件，其中用户数据保护涉及访问控制、数据鉴别、数据完整性、数据输入、数据机密性、内部传输、信息流控制、数据输出、残余信息保护等，隐私组件，包括匿名化、假名化、不可链接性、不可观测性等。	また、情報技術製品セキュリティアセスメントは、製品のプライバシー保護機能のアセスメントを追加するものである。 情報技術製品セキュリティアセスメント（略してCC）は、ISO/IEC 15408「情報技術セキュリティアセスメントのための一般ガイドライン」に従って、情報技術製品、特に情報セキュリティ製品のセキュリティレベルを評価するものである。 現在、CCは国際的な共通製品セキュリティ評価手法として、完全な評価方法論を形成している。 同時に、ISO/IEC 15408シリーズもプライバシー保護などの製品セキュリティ機能コンポーネントを追加するために改訂されている。 例えば、CCのデータセキュリティに関わるセキュリティ機能コンポーネントには、主にユーザーデータ保護とプライバシーの2つの主要な機能コンポーネントが含まれ、ユーザーデータ保護には、アクセス制御、データ認証、データ完全性、データ入力、データ機密性、内部送信、情報フロー制御が含まれる、 プライバシーの構成要素には、匿名化、仮名化、リンク不可能性、監視不可能性などが含まれる。
五、 以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外标准，并说明未采用国际标准的原因	V. 国際規格に基づく起草、国際規格や外国規格の引用や準拠の有無、国際規格を採用しない理由。
无。	ない。
六、 与有关法律、行政法规及相关标准的关系	VI.関連法規、行政法規、関連基準との関係
本标准与现行法律、法规以及国家标准不存在冲突与矛盾，与其他标准属于配套衔接关系。	本規格と既存の法律、行政法規、国内規格との間に矛盾や抵触はなく、他の規格も支持関係に属する。
法律方面，《中华人民共和国数据安全法》中提出“国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。”“国家建立集中统一、高效权威的数据安全风险评估、报告、信息共享、监测预警机制。”“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估，并向有关主管部门报送风险评估报告。”的要求。	法律面では、「中華人民共和国データセキュリティ法」は、"国家は、データセキュリ ティリスクのアセスメント、予防、廃棄の分野において、関連部門、産業組織、企業、教育・ 科学研究機関、関連専門組織間の協力を支援する。"と提案している。 "国は、データ・セキュリティ・リスクの評価、報告、情報共有、監視、早期警戒のための、集中的、統一的、効率的、権威あるメカニズムを確立する。" "重要データの処理者は、規則に従い、データ処理活動のリスクアセスメントを定期的に実施し、リスクアセスメント報告書を関係主管庁に提出する。" の要求事項がある。
国家标准方面，GB/T 20984-2022《信息安全技术 信息安全风险评估方法》	国家標準としては、GB/T 20984-2022「情報セキュリティ技術情報セキュリティリスク評価方法」がある。
给出了信息安全风险评估的框架、流程和实施方法，本标准充分借鉴信息安全风险评估的评估模型、工作流程、评估模式，结合数据和数据处理活动的特点，从管理、数据处理活动、技术等方面，结合核心数据、重要数据、个人信息、一般数据安全特点及保护要求，从监管要求、安全需求等方面识别数据安全风险。GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》提供了多维度的数据安全能力评估模型和安全要求，GB/T 35273—2020《信息安全技术 个人信息安全规范》提出了个人信息安全保护要求。行业标准方面，JR/T 0223-2021 《金融数据安全 数据生命周期安全规范》给出了金融行业数据安全保护要求。本标准充分借鉴和参考上述标准，且与相关国家标准协调配套。	GB/T20984-2022「情報セキュリティ技術情報セキュリティリスク評価方法」は、情報セキュリティリスク評価の枠組み、プロセス及び実施方法を示し、情報セキュリティリスク評価のアセスメントモデル、ワークフロー及びアセスメント方式を全面的に採用し、管理、データ処理活動、技術などの側面からデータ及びデータ処理活動の特性、コアデータ、重要データ、個人情報及び一般的なデータセキュリティの特性及び保護要求、規制要求、セキュリティニーズなどの側面を組み合わせている。 GB/T 37988-2019「情報セキュリティ技術データセキュリティ能力成熟度モデル」は多次元データセキュリティ能力アセスメントモデルとセキュリティ要求事項を提供し、GB/T 35273-2020「情報セキュリティ技術個人情報セキュリティ仕様」は個人情報セキュリティ要求事項を提示する。 要求事項を提示している。 業界標準の面では、JR/T 0223-2021「金融データセキュリティデータライフサイクルセキュリティ仕様」が金融業界におけるデータセキュリティ保護の要件を規定している。 この規格は、上記の規格を全面的に活用・参照し、関連する国内規格と連携している。
七、 重大分歧意见的处理经过和依据无。	VII. 主な意見の相違の処理とその根拠は公開されていない。
八、 涉及专利的有关说明	VIII. 特許の関与に関する説明
本文件不涉及专利等知识产权。	本文書は、特許及びその他の知的財産権には関与しない。
九、 实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期的建议等措施建议	IX.国家規格の実施要件、並びに勧告等の提案措置の組織的措置、技術的措置、移行期間及び実施期日
无。	ない。
十、 其他应当说明的事项无。	X. その他明確にすべき事項 該当事項はない。
《信息安全技术 数据安全风险评估方法》编制工作组	情報セキュリティ技術データセキュリティリスクアセスメント手法作成ワーキンググループ
2023年8月20日	2023年8月20日