国家标准计划《信息安全技术 存储介质数据恢复服务安全规范》由 TC260（全国网络安全标准化技术委员会）归口 ，主管部门为国家标准委。

主要起草单位 国家信息中心 、中国科学院信息工程研究所 、司法鉴定科学研究院 、中电长城网际系统应用有限公司 、联想（北京）有限公司 。

《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等国家法律法规和标准对保障数据安全提出了明确的要求。

数据恢复服务是针对数据的一种特定处理活动，也是保障数据安全的关键环节。

而目前数据恢复服务行业在管理和技术实施方面存在着很多数据安全风险，包括行业作坊式特点明显，存在很多管理和技术安全风险；行业诚信度不够，缺乏数据恢复从业者、从业者、从业环境的规范；数据恢复服务质量不好衡量，缺乏评价体系等问题。

因此，亟需进一步规范数据恢复服务行业，尤其需要增加在数字要素和数据安全大背景下的安全要求，确保数据恢复服务行业的数据处理者合规安全的恢复数据。

本标准主要依据国家法律法规标准及技术进步带来的变化，对数据恢复机构从管理和技术实施的数据安全保障提出要求，并提出相应的评价体系，推动数据恢复行业的合规和安全发展。

本标准适用对象为从事数据恢复服务的机构和企业、监督评价数据恢复服务的机构。 本标准解决的具体问题是支撑《网络安全法》《数据安全法》等法规对数据恢复服务的安全要求，规范数据恢复从业机构、从业者、从业环境；提出数据恢复服务管理和技术安全要求；提出数据恢复服务安全要求评价体系。 本文件代替GB.T 31500—2015 《信息安全技术　存储介质数据恢复服务要求》，与GB.T 31500—2015相比，除结构调整和编辑性改动外，主要技术变化如下： a）标准名称更改为《信息安全技术 存储介质数据恢复服务安全规范》； b）“服务原则”改为“服务安全原则”，“可核查原则”改为“可审计原则”，增加了“合规原则”条款（见第4章）； c）安全要求的分类由“服务条件要求”“服务过程要求”“服务管理要求”三个大类别修改为“管理安全要求”“实施安全要求”两大类别（见第5章和第6章，2015年版的第5章、第6章和第7章）； d）在“5.1从业机构”中，“删除条款b）”，增加了安全要求相关的“b）、c）、d）、e）、f）、g）、h）、i）”8个条款（见5.1节）； e）在“5.2 从业人员”中，将要求进一步划分为“基本要求”、“任职前调查”、“任职期间监管”三类，增加了“任职前调查”、“任职期间监管”的详细要求条款（见5.2节）； f）“5.3 服务场所及机房”结构上整体调整，将“5.3 服务场所及机房”“5.4 设备配置”“7.2 设备”“7.3 机房”“7.4 存储介质”详细条款合并，更改为“5.3 从业环境”，具体包括“5.3.1 服务场所”“5.3.2 机房”、“5.3.3 设备”详细条款要求（见5.3节）； g）增加“5.4 质量控制”要求（见5.4节）； h）增加“5.5 安全审计”要求（见5.5节）； i）“6 服务过程要求”更改为“6 技术安全要求”（见第六章）； j）增加了“7 管理安全要求评价方法”，针对“一般数据”“重要数据”“核心数据”，描述了证实方法（见第7章）； k）增加了“8 技术安全要求评价方法”，已经实施流程描述了证实方法（见第8章）； l）在“8.5 数据交付”中，增加了远程交付条款“d）如需远程交付，应进行数据加密”（见8.5节）； m）在“8.6 数据销毁”中，增加了数据销毁策略和管理审批相关条款b）、c）2条（见8.6节）。