我國數(shù)據(jù)安全標準化情況綜述

我國數(shù)據(jù)安全標準化情況綜述數(shù)據(jù)安全國家標準是開展數(shù)據(jù)安全監(jiān)管，規(guī)范行業(yè)數(shù)據(jù)安全要求，指導網(wǎng)絡(luò)運營者提升數(shù)據(jù)安全能力的重要抓手，對促進數(shù)據(jù)應(yīng)用規(guī)范化、提升數(shù)據(jù)活動安全性有著重要意義。本文介紹了我國數(shù)據(jù)安全標準化現(xiàn)狀，梳理了現(xiàn)有及在研的數(shù)據(jù)安全國家標準，并介紹了數(shù)據(jù)安全國家標準的驗證試點及推廣應(yīng)用工作。一、標準化組織——全國信息安全標準化技術(shù)委員會概述全國信息安全標準化技術(shù)委員會（SAC/TC260，簡稱“信安標委”）是在信息安全技術(shù)專業(yè)領(lǐng)域內(nèi)，從事信息安全標準化工作的技術(shù)工作組織。信安標委于2002年由國家標準化管理委員會（簡稱“國標委”）批復成立，業(yè)務(wù)上受中央網(wǎng)信辦指導，主要工作范圍包括安全技術(shù)、安全機制、安全服務(wù)、安全管理、安全評估等領(lǐng)域的標準化技術(shù)工作。TC260下設(shè)7個工作組，其中，大數(shù)據(jù)安全標準特別工作組（SWG-BDS）負責大數(shù)據(jù)和云計算相關(guān)的安全標準研制工作，具體職責包括調(diào)研急需標準化需求，研究提出標準研制路線圖，明確年度標準研制方向，組織開展關(guān)鍵標準研制工作。SWG-BDS于2016年成立，截至目前，SWG-BDS成員單位已達227家。二、我國數(shù)據(jù)安全標準化情況為落實《網(wǎng)絡(luò)安全法》中“國家鼓勵開發(fā)網(wǎng)絡(luò)數(shù)據(jù)安全保護和利用技術(shù)，促進公共數(shù)據(jù)資源開放”及“國家建立和完善網(wǎng)絡(luò)安全標準體系”等要求，響應(yīng)《大數(shù)據(jù)發(fā)展行動綱要》中“健全大數(shù)據(jù)安全保障體系，強化安全支撐；完善法規(guī)制度和標準體系，科學規(guī)范利用大數(shù)據(jù)，切實保障數(shù)據(jù)安全”的主要任務(wù)，2016年，TC260成立大數(shù)據(jù)安全標準化特別工作組，成功啟動了第一批大數(shù)據(jù)安全標準編制和預(yù)研工作。目前，TC260已開展9項數(shù)據(jù)安全標準研制項目，其中，已發(fā)布標準4項，在研標準5項。安全要求類標準包括GB/T35274-2017《信息安全技術(shù)

大數(shù)據(jù)服務(wù)安全能力要求》、GB/T37932-2019《信息安全技術(shù)

數(shù)據(jù)交易服務(wù)安全要求》及《信息安全技術(shù)

政務(wù)信息共享

數(shù)據(jù)安全技術(shù)要求》，分別針對大數(shù)據(jù)服務(wù)、數(shù)據(jù)交易及政務(wù)信息共享的情景提出了安全要求。實施指南類標準中，GB/T27973-2019《信息安全技術(shù)

大數(shù)據(jù)安全管理指南》提出了大數(shù)據(jù)安全管理基本概念，重點闡述了大數(shù)據(jù)安全管理的目標、主要內(nèi)容、角色與責任；《信息安全技術(shù)

健康醫(yī)療數(shù)據(jù)安全指南》提出了健康醫(yī)療領(lǐng)域的信息安全框架，并給出健康醫(yī)療信息控制者在保護健康醫(yī)療信息時可采取的管理和技術(shù)措施；《信息安全技術(shù)

電信領(lǐng)域大數(shù)據(jù)安全防護實現(xiàn)指南》提出了電信領(lǐng)域大數(shù)據(jù)安全實現(xiàn)參考框架，針對電信領(lǐng)域大數(shù)據(jù)平臺建設(shè)運維，數(shù)據(jù)全生命周期運營過程中面臨的通用安全風險，給出了平臺建設(shè)運維，數(shù)據(jù)安全運營相關(guān)指南。檢測評估類標準中，GB/T37988-2019《信息安全技術(shù)

數(shù)據(jù)安全能力成熟度模型》提出了數(shù)據(jù)安全能力成熟度框架，明確了成熟度各等級的數(shù)據(jù)安全要求及相關(guān)評估方法；《信息安全技術(shù)

數(shù)據(jù)出境安全評估指南》給出了個人信息和重要數(shù)據(jù)出境安全評估的流程、要點和方法；《信息安全技術(shù)

數(shù)據(jù)安全管理認證規(guī)范》對網(wǎng)絡(luò)運營者為保障數(shù)據(jù)安全所應(yīng)采取的管理活動提出了要求。三、現(xiàn)有的數(shù)據(jù)安全標準自SWG-BDS成立以來，經(jīng)過三年多的研究，截至2019年12月，已有四項數(shù)據(jù)安全國家標準正式發(fā)布。1.GB/T35274-2017《信息安全技術(shù)

大數(shù)據(jù)服務(wù)安全能力要求》本標準針對我國大數(shù)據(jù)產(chǎn)品發(fā)展需求和大數(shù)據(jù)服務(wù)面臨的安全問題，結(jié)合國內(nèi)主要互聯(lián)網(wǎng)企業(yè)和測評機構(gòu)在大數(shù)據(jù)服務(wù)安全方面的實踐基礎(chǔ)，提出了有組織、有數(shù)據(jù)和有大數(shù)據(jù)系統(tǒng)的大數(shù)據(jù)服務(wù)提供商的大數(shù)據(jù)服務(wù)安全能力要求。落實了《網(wǎng)絡(luò)安全法》中關(guān)于大數(shù)據(jù)安全保護的相關(guān)要求，為其落地實施提供了標準化支撐。本標準于2017年發(fā)布，主要用于對大數(shù)據(jù)服務(wù)提供者的安全能力進行規(guī)范，同時也為我國大數(shù)據(jù)安全審查和評估工作提供參考，為提升我國大數(shù)據(jù)服務(wù)提供者的基礎(chǔ)服務(wù)安全能力、數(shù)據(jù)生命周期相關(guān)的數(shù)據(jù)服務(wù)安全能力和大數(shù)據(jù)平臺與應(yīng)用安全運行相關(guān)的系統(tǒng)服務(wù)安全能力提供指引。2.GB/T37932-2019《信息安全技術(shù)

數(shù)據(jù)交易服務(wù)安全要求》本標準提出了數(shù)據(jù)交易服務(wù)的參考框架和安全原則，將交易參與方分為數(shù)據(jù)供方、數(shù)據(jù)需方及數(shù)據(jù)交易服務(wù)機構(gòu)，規(guī)定了各交易參與方的安全要求；從禁止交易數(shù)據(jù)、數(shù)據(jù)質(zhì)量要求、個人信息安全保護及重要數(shù)據(jù)安全保護四個方面提出了交易對象的安全要求；將交易過程定義為交易申請、交易磋商、交易實施、交易結(jié)束四個階段，并規(guī)定了數(shù)據(jù)交易過程各階段的安全要求。本標準于2019年發(fā)布，適用于數(shù)據(jù)交易服務(wù)機構(gòu)進行安全自評估，也可供第三方測評機構(gòu)對數(shù)據(jù)交易服務(wù)機構(gòu)進行安全評估時參考。3.GB/T37973-2019《信息安全技術(shù)

大數(shù)據(jù)安全管理指南》本標準首先提出了大數(shù)據(jù)安全管理基本概念，明確了大數(shù)據(jù)安全管理的基本原則（包括職責明確、合規(guī)、質(zhì)量保障、數(shù)據(jù)最小化、責任不隨數(shù)據(jù)轉(zhuǎn)移、最小授權(quán)、確保安全和可審計，這些原則是組織實施大數(shù)據(jù)安全管理的基本原則），提出了大數(shù)據(jù)安全需求（包括保密性、完整性、可用性及其他需求）；其次介紹了數(shù)據(jù)分類分級的原則、流程及方法，從組織開展大數(shù)據(jù)安全管理活動的角度定義了數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)分發(fā)、數(shù)據(jù)刪除等活動，描述了每個活動的基本概念以及常見的子活動，并針對每個子活動提出了安全要求；最后給出了指導組織評估大數(shù)據(jù)安全風險的方法。本標準于2019年發(fā)布，用于指導擁有處理大數(shù)據(jù)的政府部門、企事業(yè)單位、非盈利機構(gòu)等組織做好大數(shù)據(jù)的安全管理、風險評估等工作，安全應(yīng)用大數(shù)據(jù)，采用有效技術(shù)和管理措施保障數(shù)據(jù)安全。4.GB/T37988-2019《信息安全技術(shù)

數(shù)據(jù)安全能力成熟度模型》本標準給出了組織機構(gòu)數(shù)據(jù)安全能力的成熟度模型架構(gòu)。該模型分為數(shù)據(jù)安全過程、安全能力及能力成熟度等級三個維度，重點強調(diào)對組織機構(gòu)的數(shù)據(jù)安全能力成熟度的評判。模型側(cè)重以數(shù)據(jù)為中心，在數(shù)據(jù)安全過程維度，將數(shù)據(jù)生命周期分為數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀六個階段，每個階段劃分為若干個不同的安全過程域。同時，與各階段都相關(guān)的過程以通用安全過程域表示。對于每一個過程域，從安全能力維度（即組織建設(shè)、制度流程、技術(shù)工具、人員能力）分別提出各成熟度等級要求，同時給出了組織數(shù)據(jù)安全能力成熟度等級的評估方法。本標準于2019年發(fā)布，適用于對組織機構(gòu)數(shù)據(jù)安全能力進行評估，也可供組織機構(gòu)開展數(shù)據(jù)安全能力建設(shè)時參考。四、在研的數(shù)據(jù)安全標準1.《信息安全技術(shù)

政務(wù)信息共享

數(shù)據(jù)安全技術(shù)要求》本標準提出了政務(wù)信息共享數(shù)據(jù)安全框架，該框架由數(shù)據(jù)安全技術(shù)要求和基礎(chǔ)設(shè)施安全技術(shù)要求兩部分組成。數(shù)據(jù)安全技術(shù)要求體系涵蓋共享數(shù)據(jù)準備、共享數(shù)據(jù)交換和共享數(shù)據(jù)使用三個階段中各功能集合所需的安全技術(shù)要求；基礎(chǔ)設(shè)施安全技術(shù)要求明確了政務(wù)信息共享交換業(yè)務(wù)的基礎(chǔ)網(wǎng)絡(luò)環(huán)境、云平臺、運行設(shè)備和開放網(wǎng)站等方面的安全防護要求，為政務(wù)信息共享交換業(yè)務(wù)提供基礎(chǔ)安全保障支撐。本標準已推進到報批稿階段，適用于指導各級政務(wù)信息共享交換平臺數(shù)據(jù)安全體系建設(shè)，規(guī)范各級政務(wù)部門使用政務(wù)信息共享交換平臺交換非涉及國家秘密政務(wù)信息共享數(shù)據(jù)時的數(shù)據(jù)安全保障工作。2.《信息安全技術(shù)

健康醫(yī)療數(shù)據(jù)安全指南》本標準首先給出了健康醫(yī)療信息安全的框架，明確了安全目標及使用披露原則，以及實現(xiàn)前述安全目標應(yīng)的實施方法；其次給出了保障健康醫(yī)療信息安全可使用的基本控制措施集，可供健康醫(yī)療信息控制者選擇使用；再次從不同用戶出于不同目的，在不同環(huán)境下使用不同數(shù)據(jù)的角度區(qū)分了數(shù)據(jù)使用場景，并明確控制者需要根據(jù)場景選擇相應(yīng)的保障措施以保障個人健康醫(yī)療信息的安全；最后描述了八個典型場景及相應(yīng)場景下涉及的相關(guān)方、數(shù)據(jù)，并給出了相應(yīng)的重點安全措施。本標準已推進到報批稿階段，適用于指導健康醫(yī)療信息控制者對健康醫(yī)療信息進行安全保護，也可供健康醫(yī)療、網(wǎng)絡(luò)安全相關(guān)主管部門以及第三方評估機構(gòu)等組織開展健康醫(yī)療信息的安全監(jiān)督管理與評估等工作時參考。3.《信息安全技術(shù)

數(shù)據(jù)出境安全評估指南》本標準定義了個人信息和重要數(shù)據(jù)出境安全評估的流程、要點和方法。提出了數(shù)據(jù)出境目的應(yīng)滿足合法性、正當性和必要性的要求，出境安全風險應(yīng)從出境的數(shù)據(jù)內(nèi)容（個人信息或重要數(shù)據(jù)）的特點，數(shù)據(jù)發(fā)送方、接接收方的安全保護能力，及數(shù)據(jù)接收方所在國家或區(qū)域的政治法律環(huán)境等方面綜合分析。本標準已推進到報批稿階段，適用于網(wǎng)絡(luò)運營者開展個人信息和重要數(shù)據(jù)出境安全自評估，以及國家網(wǎng)信部門、行業(yè)主管部門組織開展個人信息和重要數(shù)據(jù)出境安全評估。4.《信息安全技術(shù)

電信領(lǐng)域大數(shù)據(jù)安全防護實現(xiàn)指南》本標準提出了電信領(lǐng)域大數(shù)據(jù)安全實現(xiàn)參考框架，提出了電信領(lǐng)域大數(shù)據(jù)平臺系統(tǒng)安全防護方法，涵蓋大數(shù)據(jù)相關(guān)平臺系統(tǒng)安全規(guī)劃、建設(shè)、運行及系統(tǒng)軟件安全配置與加固方法；提出了電信領(lǐng)域大數(shù)據(jù)全生命周期安全實現(xiàn)方法，涵蓋大數(shù)據(jù)采集、傳輸、存儲、使用、共享、銷毀等管控措施。主要應(yīng)用于電信領(lǐng)域大數(shù)據(jù)安全產(chǎn)品設(shè)計、研發(fā)，平臺系統(tǒng)采購、建設(shè)與運維，大數(shù)據(jù)安全評估檢測等場景。本標準目前處于草案階段，可為大數(shù)據(jù)平臺系統(tǒng)的規(guī)劃、建設(shè)、運維，數(shù)據(jù)全生命周期運營的安全防護提供參考，為大數(shù)據(jù)平臺建設(shè)、業(yè)務(wù)運營服務(wù)商提供參照，為各電信企業(yè)，大數(shù)據(jù)安全產(chǎn)品供應(yīng)商，安全評估服務(wù)機構(gòu)，相關(guān)監(jiān)管機構(gòu)提供指導。5.《信息安全技術(shù)

數(shù)據(jù)安全管理認證規(guī)范》本標準以個人信息（含個人敏感信息）、重要數(shù)據(jù)和組織運營（業(yè)務(wù)）數(shù)據(jù)為數(shù)據(jù)保護目標，首先提出網(wǎng)絡(luò)運營者為保障數(shù)據(jù)安全應(yīng)采取的管理措施及安全管理要求；其次提出了網(wǎng)絡(luò)運營者在數(shù)據(jù)各生命周期涉及的活動中，應(yīng)采取的管理手段和安全控制措施，涵蓋了數(shù)據(jù)收集、數(shù)據(jù)傳輸、數(shù)據(jù)保存、數(shù)據(jù)處置、數(shù)據(jù)使用、數(shù)據(jù)共享、轉(zhuǎn)讓、發(fā)布和委托處理、數(shù)據(jù)出境、第三方服務(wù)接入等活動；最后為行業(yè)應(yīng)用本標準提供了參考描述模型及相關(guān)示例。本標準目前處于草案階段，為數(shù)據(jù)安全管理認證提供依據(jù)，同時也可為網(wǎng)絡(luò)運營者提高自身數(shù)據(jù)安全保障水平，建立數(shù)據(jù)安全管理體系提供指引，也可作為數(shù)據(jù)安全監(jiān)管機構(gòu)對網(wǎng)絡(luò)運營者進行監(jiān)管時參考使用。五、標準應(yīng)用推廣及驗證標準的發(fā)布不是終點，標準能夠落地實施、發(fā)揮作用是標準的意義所在。標準的驗證試點及應(yīng)用推廣對提升標準的適用性、促進標準落地實施具有重要意義。TC260堅持將網(wǎng)絡(luò)安全標準制修訂工作與標準應(yīng)用推廣及驗證工作并重，在標準研究的同時，積極探索標準的應(yīng)用模式，推進標準的落地實施。1.數(shù)據(jù)安全能力成熟度評估平臺2017年，信安標委開發(fā)了“數(shù)據(jù)安全能力成熟度評估平臺”，該平臺將標準內(nèi)容拆解、細化，以問卷的形式與數(shù)據(jù)安全能力成熟度評估流程結(jié)合。通過該平臺，網(wǎng)絡(luò)運營者能夠?qū)崿F(xiàn)數(shù)據(jù)安全能力成熟度自評估，定位其自身數(shù)據(jù)安全能力短板，有針對性地提升自身數(shù)據(jù)安全能力水平。將標準線上化、平臺化，能夠幫助使用者更好地理解、應(yīng)用標準，建立了標準呈現(xiàn)由文本到自動化工具的新形式，豐富了標準應(yīng)用的渠道，對標準的推廣起到了積極作用。2.2018年《信息安全技術(shù)

數(shù)據(jù)安全能力成熟度模型》（報批稿）試點驗證2018年，信安標委秘書處邀請了包含互聯(lián)網(wǎng)、人工智能、醫(yī)療、金融、政務(wù)、旅游、酒店等行業(yè)的十家機構(gòu)對國家標準《信息安全技術(shù)

數(shù)據(jù)安全能力成熟度模型》（報批稿）內(nèi)容進行了試點。本次試點借助數(shù)據(jù)安全能力成熟度評估平臺開展。通過自評估的形式，針對十家試點單位的評估業(yè)務(wù)，驗證每一條標準條款（即數(shù)據(jù)安全能力成熟度各級別的每個BP，基本實踐）的適用性、符合性及數(shù)據(jù)安全能力成熟度各級別的劃分水位，并對符合性統(tǒng)計數(shù)據(jù)進行分析，篩選出標準中對應(yīng)級別要求過高、過低和普適性較低的條款；同時結(jié)合試點單位提交的自評估材料中對標準的理解，提出標準修改建議。通過本次試點工作，驗證了國家標準《信息安全技術(shù)

數(shù)據(jù)安全能力成熟度模型》（報批稿）的適用性和可實施性，總結(jié)形成了標準改進建議七十余條，推動了標準質(zhì)量的提升，提高了標準的可適用性、可實施性；同時，為網(wǎng)絡(luò)運營者深入了解企業(yè)自身的數(shù)據(jù)安全建設(shè)情況、提升數(shù)據(jù)安全能力水平提供了途徑，驗證了國家標準《信息安全技術(shù)

數(shù)據(jù)安全能力成熟度模型》（報批稿）對網(wǎng)絡(luò)運營者數(shù)據(jù)安全能力的提升的積極作用，也為下一步推動國家數(shù)據(jù)安全標準落地奠定良好基礎(chǔ)。3.2019年國家標準GB/T37988-2019《信息安全技術(shù)

數(shù)據(jù)安全能力成熟度模型》應(yīng)用推廣2019年8月，GB/T37988-2019《信息安全技術(shù)

數(shù)據(jù)安全能力成熟度模型》正式發(fā)布。為了探索標準在不同行業(yè)的應(yīng)用模式，促進標準落地實施，信安標委秘書啟動了該標準的應(yīng)用推廣工作。2019年9月，信安標委秘書處通過公開征集、