附件1網絡數(shù)據安全標準體系建設指南


（征求意見稿）

2020年4月

目錄前言1

一、 建設思路及目標2

（一） 總體思路2

（二） 基本原則2

（三） 建設目標3

二、 建設內容3

（一） 網絡數(shù)據安全標準體系框架3

（二） 重點標準化領域及方向6

1.基礎共性標準6

2.關鍵技術標準7

3.安全管理標準9

4.重點領域標準12

三、 組織實施15

前言

隨著信息技術和人類生產生活交匯融合，全球數(shù)據呈現(xiàn)爆發(fā)增長、海量聚集的特點，大數(shù)據產業(yè)正值活躍發(fā)展期，技術演進和應用創(chuàng)新并行加速推進，數(shù)據資源已成為國家基礎戰(zhàn)略性資源和社會生產的創(chuàng)新要素。當前，我國電信和互聯(lián)網行業(yè)高速發(fā)展，匯聚大量網絡數(shù)據，在釋放數(shù)字經濟發(fā)展?jié)摿?、促進數(shù)字經濟加快成長的同時，面臨嚴峻的安全風險。這要求我們深刻認識網絡數(shù)據安全的重要性和緊迫性，堅持安全與發(fā)展并重，積極應對復雜嚴峻的安全風險與挑戰(zhàn)，加速構建網絡數(shù)據安全保障體系。

“安全發(fā)展、標準先行”，標準化工作是保障網絡數(shù)據安全的重要基礎。為落實《中華人民共和國網絡安全法》《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《電信和互聯(lián)網用戶個人信息保護規(guī)定》等法律法規(guī)要求，指導電信和互聯(lián)網行業(yè)網絡數(shù)據安全標準化工作，工業(yè)和信息化部組織制定了《網絡數(shù)據安全標準體系建設指南》（以下簡稱《建設指南》）?！督ㄔO指南》充分發(fā)揮標準的頂層設計和基礎引領作用，為保障電信和互聯(lián)網行業(yè)網絡數(shù)據安全、促進網絡數(shù)據合理有序流動、助力數(shù)字經濟高質量發(fā)展提供有力支撐。

建設思路及目標

總體思路

以習近平新時代中國特色社會主義思想為指導，全面貫徹黨的十九大和十九屆二中、三中、四中全會精神，落實《中華人民共和國網絡安全法》《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《電信和互聯(lián)網用戶個人信息保護規(guī)定》等法律法規(guī)要求，充分發(fā)揮標準在保障網絡數(shù)據安全、推動行業(yè)健康有序發(fā)展中的支撐和引領作用，有效建立電信和互聯(lián)網行業(yè)網絡數(shù)據安全標準體系。加強標準的統(tǒng)籌規(guī)劃，做好與國家標準、相關領域行業(yè)標準的銜接工作，鼓勵創(chuàng)新技術成果向標準轉化，強化標準的實施與應用，加強標準的國際交流與合作，提升標準對網絡數(shù)據安全保護的整體支撐作用，為數(shù)字經濟高質量發(fā)展保駕護航。

基本原則

統(tǒng)籌規(guī)劃，全面布局。結合電信和互聯(lián)網行業(yè)技術、產業(yè)發(fā)展現(xiàn)狀及特點，發(fā)揮政府主管部門在頂層設計、組織協(xié)調和政策制定等方面的重要作用，制定政府引導和市場驅動相結合的標準體系建設方案，建立適合電信和互聯(lián)網行業(yè)整體情況的網絡數(shù)據安全標準體系。

基礎先立，急用先行。從網絡數(shù)據安全管理工作的重點和難點出發(fā)，確定網絡數(shù)據安全標準體系建設的重點領域，加快基礎共性、關鍵技術、安全管理類標準的研究制定。在此基礎上，綜合考慮相關重要領域的網絡數(shù)據安全現(xiàn)狀及面臨的風險和挑戰(zhàn)，加快推進急需標準項目的研究制定。

多方參與，協(xié)同合作。在標準制定過程中聚集電信運營企業(yè)、互聯(lián)網企業(yè)、設備提供商、安全企業(yè)、科研院所、高校等產業(yè)界、學術界多方力量，充分凝聚共識，研究制定網絡數(shù)據安全相關標準，完善標準研制、應用的全生命周期管理。統(tǒng)籌運用行業(yè)資源，充分發(fā)揮企業(yè)在技術創(chuàng)新、產品開發(fā)、示范引領等標準研究與應用方面的主體作用，組織協(xié)調相關單位積極參與國際標準的制定、交流與合作。

建設目標到2021年，初步建立網絡數(shù)據安全標準體系，有效落實網絡數(shù)據安全管理要求，基本滿足行業(yè)網絡數(shù)據安全保護需要，推進標準在重點企業(yè)、重點領域中的應用，研制網絡數(shù)據安全行業(yè)標準20項以上。

到2023年，健全完善網絡數(shù)據安全標準體系，標準技術水平、應用水平和國際化水平顯著提高，有力促進行業(yè)網絡數(shù)據安全保護能力提升，研制網絡數(shù)據安全行業(yè)標準50項以上。

建設內容

網絡數(shù)據安全標準體系框架

網絡數(shù)據安全標準體系包括基礎共性、關鍵技術、安全管理、重點領域四大類標準?；A共性標準包括術語定義、數(shù)據安全框架、數(shù)據分類分級，相關標準為各類標準提供基礎性支撐。關鍵技術標準從數(shù)據采集、傳輸、存儲、處理、交換、銷毀等數(shù)據全生命周期維度對數(shù)據安全關鍵技術進行規(guī)范。安全管理標準從網絡數(shù)據安全保護的管理視角出發(fā)，指導行業(yè)有效落實法律法規(guī)關于網絡數(shù)據安全管理的要求，包括數(shù)據安全規(guī)范、數(shù)據安全評估、監(jiān)測預警與處置、應急響應與災難備份、安全能力認證等。重點領域標準結合相關領域的實際情況和具體要求，指導行業(yè)有效開展重點領域網絡數(shù)據安全保護工作。網絡數(shù)據安全標準體系框架如圖1所示。

重點標準化領域及方向1.基礎共性標準

基礎共性標準是網絡數(shù)據安全保護的基礎性、通用性、指導性標準，包括術語定義、數(shù)據安全框架、數(shù)據分類分級等標準。基礎共性標準子體系如圖2所示。

1.1 術語定義

術語定義用于規(guī)范網絡數(shù)據安全相關概念，為其它部分標準的制定提供支撐，包括技術、規(guī)范、應用領域的相關術語、概念定義、相近概念之間的關系等。

1.2 數(shù)據安全框架

數(shù)據安全框架標準包括網絡數(shù)據安全體系框架以及各部分參考框架，以明確和界定網絡數(shù)據安全的角色、職責、邊界、各部分的層級關系和內在聯(lián)系。

1.3 數(shù)據分類分級

數(shù)據分類分級標準用于指導對網絡數(shù)據分類分級，給出數(shù)據分類分級的基本原則、維度、方法、示例等，為數(shù)據安全分類、分級保護提供依據，為數(shù)據安全規(guī)范、數(shù)據安全評估等方面的標準制定提供支撐。

2.關鍵技術標準

關鍵技術標準從采集、傳輸、存儲、處理、交換、銷毀等全生命周期環(huán)節(jié)出發(fā)，對網絡數(shù)據安全的關鍵技術進行規(guī)范。關鍵技術標準子體系如圖3所示。

2.1 數(shù)據采集

數(shù)據采集標準用于規(guī)范數(shù)據采集格式、數(shù)據標簽、數(shù)據審查校驗等方面相關技術要求，有效提升數(shù)據質量，主要包括數(shù)據清洗比對、數(shù)據質量監(jiān)控等標準。

2.2 數(shù)據傳輸

數(shù)據傳輸標準用于規(guī)范數(shù)據傳輸過程中可以標準化的功能架構、安全協(xié)議及其他安全相關技術要求，主要包括數(shù)據完整性保護、數(shù)據加密傳輸?shù)葮藴省?br>
2.3 數(shù)據存儲

數(shù)據存儲標準用于規(guī)范存儲平臺安全機制、數(shù)據安全存儲方法、安全審計、安全防護技術等相關技術要求，主要包括數(shù)據庫安全、云存儲安全、數(shù)據安全審計、數(shù)據防泄漏等標準。

2.4 數(shù)據處理

數(shù)據處理標準用于規(guī)范敏感數(shù)據、個人信息的保護機制及相關技術要求，明確敏感數(shù)據保護的場景、規(guī)則、技術方法，主要包括匿名化/去標識化、數(shù)據脫敏等標準。

2.5 數(shù)據交換
數(shù)據交換標準用于規(guī)范數(shù)據安全交換模型、角色權責定義、安全管控技術框架，并明確數(shù)據溯源模型、過程和方法，支撐數(shù)據安全共享、審計和監(jiān)管，主要包括多方安全計算、透明加密、數(shù)據溯源等標準。

2.6 數(shù)據銷毀

數(shù)據銷毀標準用于規(guī)范數(shù)據銷毀和介質銷毀的安全機制和技術要求，確保存儲數(shù)據永久刪除、不可恢復，主要包括數(shù)據銷毀、介質銷毀等標準。

3.安全管理標準


安全管理標準從網絡數(shù)據安全框架的管理視角出發(fā)，指導行業(yè)落實法律法規(guī)以及政府主管部門的管理要求，包括數(shù)據安全規(guī)范、數(shù)據安全評估、監(jiān)測預警與處置、應急響應與災難備份、安全能力認證等。安全管理標準子體系如圖4所示。

3.1 數(shù)據安全規(guī)范

數(shù)據安全規(guī)范標準用于落實細化相關法律法規(guī)對網絡數(shù)據安全保護的要求，對行業(yè)開展數(shù)據安全管理提供指導和規(guī)范，主要包括數(shù)據安全通用要求、個人信息保護要求、重要數(shù)據保護要求等標準。

3.2 數(shù)據安全評估

數(shù)據安全評估標準用于指導行業(yè)落實網絡數(shù)據安全評估的要求，明確評估的基本概念、要素關系、分析原理、評估方法、實施流程、實施要點和工作形式等要素，指導行業(yè)規(guī)范開展網絡數(shù)據安全評估工作，主要包括數(shù)據安全合規(guī)性評估、數(shù)據安全風險評估、個人信息安全影響評估、數(shù)據出境安全評估等標準。

3.3 監(jiān)測預警與處置

監(jiān)測預警與處置標準從政府主管部門監(jiān)管需求的視角出發(fā)，明確數(shù)據安全監(jiān)測預警與處置系統(tǒng)及其技術要求，結合數(shù)據的敏感度、量級、流向以及賬號權限等進行綜合分析，實時動態(tài)追蹤數(shù)據安全風險，主要包括監(jiān)測預警與處置方面的技術要求、接口規(guī)范、測試規(guī)范等標準。

3.4 應急響應與災難備份

應急響應與災難備份標準用于規(guī)范數(shù)據安全事件的應急響應管理、處置措施，規(guī)范災難備份及恢復工作的目標和原則、技術要求以及實施方法，主要包括數(shù)據安全應急響應指南、災難備份技術要求、恢復能力評價等標準。

3.5 安全能力認證


安全能力認證標準用于規(guī)范組織及人員數(shù)據安全保障能力、產品與服務數(shù)據安全保護水平、數(shù)據安全服務能力等相關認證要求，用于指導網絡運營者與安全服務機構提升自身的安全能力、服務能力，主要包括管理安全認證、產品安全認證、安全服務認證、人員能力認證等標準。

4.重點領域標準

在基礎共性標準、關鍵技術標準、安全管理標準的基礎上，結合新一代信息通信技術發(fā)展情況，重點在5G、移動互聯(lián)網、車聯(lián)網、物聯(lián)網、工業(yè)互聯(lián)網、云計算、大數(shù)據、人工智能、區(qū)塊鏈等重點領域進行布局，并結合行業(yè)發(fā)展情況，逐步覆蓋其他重要領域。結合重點領域自身發(fā)展情況和網絡數(shù)據安全保護需求，制定相關網絡數(shù)據安全標準。重點領域安全標準子體系如圖5所示。

4.1 5G

5G 安全機制在滿足通用安全要求基礎上，為不同業(yè)務場景提供差異化安全服務，適應多種網絡接入方式及新型網絡架構，保護用戶個人隱私，并支持提供開放的安全能力。5G領域的網絡數(shù)據安全標準主要包括5G數(shù)據安全總體要求、5G終端數(shù)據安全、5G網絡側數(shù)據安全、5G網絡能力開放數(shù)據安全等。

4.2 移動互聯(lián)網

傳統(tǒng)的移動互聯(lián)網安全主要包括終端安全、網絡安全和應用安全等方面。隨著開放生態(tài)體系下移動操作系統(tǒng)的普遍應用和數(shù)據的大規(guī)模流動，移動互聯(lián)網的數(shù)據安全風險進一步凸顯。移動互聯(lián)網領域的網絡數(shù)據安全標準主要包括移動應用個人信息保護、移動應用軟件SDK安全等。

4.3 車聯(lián)網

車聯(lián)網安全覆蓋車內、車與車、車與路、車與人、車與服務平臺的全方位連接和數(shù)據交互過程，數(shù)據安全和隱私保護貫穿于車聯(lián)網的各個環(huán)節(jié)。車聯(lián)網領域的網絡數(shù)據安全標準主要包括車聯(lián)網云平臺數(shù)據安全、V2X通信數(shù)據安全、智能網聯(lián)汽車數(shù)據安全、車聯(lián)網移動App數(shù)據安全等。

4.4 物聯(lián)網

物聯(lián)網安全涵蓋物聯(lián)網的感知層、傳輸層、應用層，涉及服務端安全、終端安全和通信網絡安全等方面，數(shù)據安全貫穿于其中的各個環(huán)節(jié)。物聯(lián)網領域的網絡數(shù)據安全標準主要包括物聯(lián)網云端數(shù)據安全保護、物聯(lián)網管理系統(tǒng)數(shù)據安全保護、物聯(lián)網終端數(shù)據安全保護等。

4.5 工業(yè)互聯(lián)網

工業(yè)互聯(lián)網安全重點關注控制系統(tǒng)、設備、網絡、數(shù)據、平臺、應用程序安全和安全管理等。工業(yè)互聯(lián)網領域的網絡數(shù)據安全標準主要包括工業(yè)互聯(lián)網數(shù)據安全保護、工業(yè)互聯(lián)網數(shù)據分級技術等。

4.6 云計算

云計算安全以云主機安全為核心，涵蓋網絡安全、數(shù)據安全、應用安全、安全管理、業(yè)務安全等方面。云計算領域的網絡數(shù)據安全標準主要包括客戶數(shù)據保護、云服務業(yè)務數(shù)據安全、云上資產管理等。

4.7 大數(shù)據

大數(shù)據安全覆蓋數(shù)據全生命周期管理各環(huán)節(jié)，涵蓋對大數(shù)據平臺運行安全功能保障及以數(shù)據為對象進行資產管理等。大數(shù)據領域的網絡數(shù)據安全標準主要包括大數(shù)據平臺安全、大數(shù)據資產管理等。

4.8 人工智能

人工智能安全覆蓋個人信息安全、算法安全、數(shù)據安全、網絡安全等。人工智能領域的網絡數(shù)據安全標準主要包括人工智能平臺數(shù)據安全、人工智能終端個人信息保護等。

4.9 區(qū)塊鏈

區(qū)塊鏈安全包括應用服務的安全性、系統(tǒng)設計的安全性（包含智能合約、共識機制）、基礎組件的安全性（包含網絡通信、數(shù)據安全、密碼技術）三個維度。區(qū)塊鏈領域的網絡數(shù)據安全標準主要包括區(qū)塊鏈隱私數(shù)據保護、區(qū)塊鏈數(shù)字資產存儲與交互保護等。

組織實施

一是實施動態(tài)更新。實施動態(tài)更新完善機制，隨著經濟社會數(shù)字化轉型持續(xù)推進、數(shù)據安全認知與實踐水平的提高，結合數(shù)據安全相關法律法規(guī)的最新要求，適時滾動修訂《建設指南》。

二是推進標準研制。組織中國通信標準化協(xié)會及相關電信運營企業(yè)、互聯(lián)網企業(yè)、設備提供商、安全企業(yè)、科研院所、高校等單位，按照《標準指南》明確的標準研制路徑，有序推進行業(yè)標準研制工作，注重網絡數(shù)據安全標準化工作與網絡數(shù)據安全保護最新研究成果、行業(yè)最佳實踐的有機結合。

三是加強宣貫實施。充分發(fā)揮標準化組織、行業(yè)協(xié)會作用，組織相關專家開展標準研討活動，通過培訓、咨詢、論壇等手段推進標準的宣貫。積極組織開展標準試點示范，形成最佳實踐，促進標準在業(yè)界的應用推廣。

四是加強國際交流合作。加強與國際標準化組織的交流與合作，積極參與國際電信聯(lián)盟（ITU）、國際標準化組織（ISO）、國際電工技術委員會（IEC）等國際標準化組織活動及國際標準研制。積極促進國內標準與國際接軌，推動國內先進標準向國際標準轉化。