凡转载或引用本图,请注明 “来源:全国信息安全标准化技术委员会秘书处”。


2021年9月1日,《中华人民共和国数据安全法》生效施行,提出国家推进数据安全标准体系建设,参与数据安全国际标准制定的要求。全国信息安全标准化技术委员会(TC260)作为负责网络安全国家标准的专业技术组织,已经制定26项数据安全国家标准(其中7项已发布),研制发布3项技术文件和实践指南,主导和参与5项国际标准(其中主导提出4项)。值此一周年之际,信安标委秘书处分析了《数据安全法》标准化需求,梳理出已有30余项标准可为《数据安全法》21项条款落地实施提供支撑,提出了下一步标准研制建议,供各方参阅。

一、数据安全制度

1、数据分类分级保护

【法律条款】:《数据安全法》第21条。

【标准需求】:明确数据分类分级、重要数据和核心数据识别的规则和方法,对数据实行分类分级保护,加强对重要数据的保护。

【已有标准】:《网络数据分类分级要求》(征求意见稿)、《重要数据识别指南》(送审稿)、《重要数据处理安全要求》(草案)。

2、数据安全风险评估

【法律条款】:《数据安全法》第22条、第30条。

【标准需求】:明确数据安全风险评估的方法、流程、评估报告编制等内容,给出数据安全评估机构和人员管理、资格评定、技术能力等相关要求。

【已有标准】:《数据安全风险评估方法》(草案)、《数据安全评估机构能力要求》(草案)。

3、数据安全风险信息监测预警

【法律条款】:《数据安全法》第22条、第29条。

【标准需求】:支撑数据安全风险信息的获取、报告、共享、分析、研判、监测预警等工作,指导数据处理者开展数据处理活动加强风险监测,发现数据安全缺陷、漏洞等风险时立即采取补救措施。

【已有标准】:可参考网络安全信息监测预警相关标准,如GB/T 36643-2018《网络安全威胁信息格式规范》、GB/T 32924-2016《网络安全预警指南》、《网络安全信息共享指南》(送审稿)、《网络安全信息报送指南》(征求意见稿)、《网络安全态势感知通用技术要求》(报批稿)等。

4、数据安全应急处置

【法律条款】:《数据安全法》第23条、第29条。

【标准需求】:明确数据安全事件、应急预案、应急处置措施等相关要求或指南,指导数据处理者发生数据安全事件时立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。

【已有标准】:可参考网络安全应急处置相关标准,如GB/Z 20986《信息安全事件分类分级指南》(修订中)、GB/T 38645-2020《网络安全事件应急演练指南》、GB/T 20985.2-2020《信息安全事件管理 第2部分:事件响应规划和准备指南》、《网络安全应急能力评估准则》(送审稿)等。

二、数据安全与发展

1、数据要素市场安全

【法律条款】:《数据安全法》第7条。

【标准需求】:围绕以数据为关键要素的数字经济健康发展需求,明确数据共享、交易、开放、开发利用、融合计算等相关安全规则,促进数据依法有序自由流动。

【已有标准】:GB/T 39477-2020《政务信息共享 数据安全技术要求》、GB/T 37932《数据交易服务安全要求》(修订中)、《公共数据开放安全要求》(草案)等。

2、智能化公共服务安全

【法律条款】:《数据安全法》第15条。

【标准需求】:智能化公共服务充分考虑老年人、残疾人的数据安全保护需求,避免对老年人、残疾人的日常生活造成障碍。

3、数据安全技术和产品

【法律条款】:《数据安全法》第16条。

【标准需求】:规范数据安全产品开发使用,引导推广数据安全技术应用和产业实践。

【已有标准】:《机密计算通用框架》(草案)、GB/T 29765-2021《数据备份与恢复产品技术要求与测试评价方法》、GB/T 29766-2021《网站数据恢复产品技术要求与测试评价方法》等。

4、数据安全检测评估认证

【法律条款】:《数据安全法》第18条。

【标准需求】:支撑数据安全检测评估、认证等专业机构开展服务活动,促进数据安全检测评估、认证等服务发展。

【已有标准】:GB/T 41479-2022《网络数据处理安全要求》、GB/T 37988-2019《数据安全能力成熟度模型》、《数据安全评估机构能力要求》(草案)、《数据安全风险评估方法》(草案)等。

5、数据交易安全

【法律条款】:《数据安全法》第19条、第33条。

【标准需求】:明确数据交易中介服务机构、数据交易的参与方、交易对象和交易过程的安全要求,规范数据交易行为。

【已有标准】:GB/T 37932《数据交易服务安全要求》(修订中)。

6、数据安全人才培养

【法律条款】:《数据安全法》第20条。

【标准需求】:支撑数据安全相关教育和培训,促进数据安全专业人才培养。

【已有标准】:可参考网络安全人员相关标准,如《网络安全从业人员能力基本要求》(报批稿)。

三、数据安全保护义务

1、全流程数据安全治理

【法律条款】:《数据安全法》第27条。

【标准需求】:给出覆盖数据收集、存储、使用、加工、传输、提供、公开、删除等数据处理全流程的数据安全管理和技术措施,为数据处理者建立健全全流程数据安全治理提供指引。

【已有标准】:GB/T 37988-2019《数据安全能力成熟度模型》、GB/T 35274《大数据服务安全能力要求》(修订中)、GB/T 37973-2019《大数据安全管理指南》。

2、数据处理伦理

【法律条款】:《数据安全法》第28条。

【标准需求】:开展数据处理活动以及研究开发数据新技术,应当符合社会公德和伦理。

【已有标准】:《机器学习算法安全评估规范》(送审稿)、《基因识别数据安全要求》(报批稿)、标准化技术文件《网络安全标准实践指南—人工智能伦理安全风险防范指引》。

3、数据收集合法正当

【法律条款】:《数据安全法》第32条。

【标准需求】:收集数据采取合法、正当的方式,不得窃取或者以其他非法方式获取数据,在法律、行政法规规定的目的和范围内收集、使用数据。

【已有标准】:目前标准主要集中在个人信息收集方面,如GB/T 35273-2020《个人信息安全规范》、GB/T 41391-2022《移动互联网应用程序(App)收集个人信息基本要求》等。

四、政务数据安全与开放

1、政务数据安全

【法律条款】:《数据安全法》第38条、第39条、第40条。

【标准需求】:规范政务部门自行和委托第三方开展的政务数据处理活动,明确政务数据处理安全管理要求、安全技术要求及对各类数据处理者的安全监督要求。

【已有标准】:《政务数据处理安全要求》(草案)、GB/T 39477-2020《政务信息共享 数据安全技术要求》。

2、政务数据共享和开放

【法律条款】:《数据安全法》第42条。

【标准需求】:明确政务数据或公共数据共享、开放的个人信息保护要求、数据安全技术和管理要求,推动政务数据共享和开放平台建设及政务数据开放利用。

【已有标准】:GB/T 39477-2020《政务信息共享 数据安全技术要求》、《公共数据开放安全要求》(草案)。

五、行业领域数据安全

【法律条款】:《数据安全法》第6条。

【标准需求】:在通用共性数据安全标准基础上,结合重点行业领域的数据分类分级、数据处理活动特点和数据安全需求,研究行业领域数据安全指南,为行业领域数据安全工作提供参考。

【已有标准】:

● 电信领域:《电信领域数据安全指南》(报批稿)。

● 互联网领域:《网络预约汽车服务数据安全要求》(报批稿)、《网上购物服务数据安全要求》(报批稿)、《即时通信服务数据安全要求》(报批稿)、《快递物流服务数据安全要求》(报批稿)、《网络支付服务数据安全要求》(报批稿)、《网络音视频服务数据安全要求》(报批稿)。

● 智能网联汽车:《汽车数据处理安全要求》(报批稿)。

● 卫生健康领域:GB/T 39725-2020《健康医疗数据安全指南》。

六、下一步标准建议

1、数据安全技术和产品:为进一步支撑《数据安全法》第16条,还需针对数据安全特色技术、急需的数据安全产品、数据安全产业等开展相关标准研制。

2、数据安全风险监测和应急:为进一步支撑《数据安全法》第22条、第23条、第29条,可在网络安全风险监测预警、事件应急等相关标准基础上,结合数据安全监测和应急的特点,开展数据安全风险监测报送、应急处置等相关标准研制。

3、数据要素市场安全:为进一步支撑《数据安全法》第7条,促进数字经济有序健康发展,还需围绕数据开发利用、数据共享、数据公开、多方融合计算等方面开展相关标准研制。

4、其他数据安全标准主题:为进一步支撑《数据安全法》第15条、第20条、第32条等,还需开展智能化公共服务数据安全、数据安全人员、自动化采集数据安全等相关标准研制。

下载《国家标准支撑<数据安全法>落地实施——导图v1.0》:https://www.tc260.org.cn/upload/2022-09-02/1662118450385093823.pdf

声明:本文来自全国信安标委,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。