2020電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全體系建設(shè)指南

電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)體系建設(shè)指南2020年12月目錄610174746前言 重點(diǎn)領(lǐng)域。1.基礎(chǔ)共性標(biāo)準(zhǔn)基礎(chǔ)共性標(biāo)準(zhǔn)是數(shù)據(jù)安全保護(hù)的基礎(chǔ)性、通用性、指導(dǎo)性標(biāo)準(zhǔn)，包括術(shù)語定義、數(shù)據(jù)安全框架、數(shù)據(jù)分類分級(jí)等標(biāo)準(zhǔn)?；A(chǔ)共性標(biāo)準(zhǔn)子體系如圖2所示。圖2基礎(chǔ)共性標(biāo)準(zhǔn)子體系1.1術(shù)語定義術(shù)語定義用于規(guī)范數(shù)據(jù)安全相關(guān)概念，為其他部分標(biāo)準(zhǔn)的制定提供支撐，包括技術(shù)、規(guī)范、應(yīng)用領(lǐng)域的相關(guān)術(shù)語、概念定義、相近概念之間的關(guān)系等。1.2數(shù)據(jù)安全框架數(shù)據(jù)安全框架標(biāo)準(zhǔn)包括數(shù)據(jù)安全體系框架以及各部分參考框架，以明確和界定數(shù)據(jù)安全的角色、職責(zé)、邊界、各部分的層級(jí)關(guān)系和內(nèi)在聯(lián)系。1.3數(shù)據(jù)分類分級(jí)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)用于指導(dǎo)數(shù)據(jù)分類分級(jí)，給出數(shù)據(jù)分類分級(jí)的基本原則、維度、方法、示例等，為數(shù)據(jù)安全分類、分級(jí)保護(hù)提供依據(jù)，為數(shù)據(jù)安全規(guī)范、數(shù)據(jù)安全評(píng)估等方面的標(biāo)準(zhǔn)制定提供支撐。2.關(guān)鍵技術(shù)標(biāo)準(zhǔn)關(guān)鍵技術(shù)標(biāo)準(zhǔn)從數(shù)據(jù)采集、傳輸、存儲(chǔ)、處理、交換、銷毀等全生命周期環(huán)節(jié)出發(fā)，對(duì)數(shù)據(jù)安全的關(guān)鍵技術(shù)進(jìn)行規(guī)范。關(guān)鍵技術(shù)標(biāo)準(zhǔn)子體系如圖3所示。圖3關(guān)鍵技術(shù)標(biāo)準(zhǔn)子體系2.1數(shù)據(jù)采集數(shù)據(jù)采集標(biāo)準(zhǔn)用于規(guī)范數(shù)據(jù)采集格式、數(shù)據(jù)標(biāo)簽、數(shù)據(jù)審查校驗(yàn)等方面相關(guān)技術(shù)要求，有效提升數(shù)據(jù)質(zhì)量，主要包括數(shù)據(jù)清洗比對(duì)、數(shù)據(jù)質(zhì)量監(jiān)控等標(biāo)準(zhǔn)。2.2數(shù)據(jù)傳輸數(shù)據(jù)傳輸標(biāo)準(zhǔn)用于規(guī)范數(shù)據(jù)傳輸過程中可以標(biāo)準(zhǔn)化的功能架構(gòu)、安全協(xié)議及其他安全相關(guān)技術(shù)要求，主要包括數(shù)據(jù)傳輸完整性保護(hù)、數(shù)據(jù)加密傳輸?shù)葮?biāo)準(zhǔn)。2.3數(shù)據(jù)存儲(chǔ)數(shù)據(jù)存儲(chǔ)標(biāo)準(zhǔn)用于規(guī)范存儲(chǔ)平臺(tái)安全機(jī)制、數(shù)據(jù)安全存儲(chǔ)方法、安全審計(jì)、安全防護(hù)技術(shù)等相關(guān)技術(shù)要求，主要包括數(shù)據(jù)庫安全、數(shù)據(jù)安全審計(jì)、數(shù)據(jù)防泄漏等標(biāo)準(zhǔn)。2.4數(shù)據(jù)處理數(shù)據(jù)處理標(biāo)準(zhǔn)用于規(guī)范敏感數(shù)據(jù)、個(gè)人信息的保護(hù)機(jī)制及相關(guān)技術(shù)要求，明確敏感數(shù)據(jù)保護(hù)的場(chǎng)景、規(guī)則、技術(shù)方法，主要包括匿名化/去標(biāo)識(shí)化、數(shù)據(jù)脫敏、異常行為識(shí)別等標(biāo)準(zhǔn)。2.5數(shù)據(jù)交換數(shù)據(jù)交換標(biāo)準(zhǔn)用于規(guī)范數(shù)據(jù)安全交換模型、角色權(quán)責(zé)定義、安全管控技術(shù)框架，并明確數(shù)據(jù)溯源模型、過程和方法，支撐包括數(shù)據(jù)交易在內(nèi)的各類場(chǎng)景下的數(shù)據(jù)安全共享、審計(jì)和監(jiān)管，主要包括安全多方計(jì)算/聯(lián)邦學(xué)習(xí)、同態(tài)加密、應(yīng)用接口安全、數(shù)據(jù)溯源等標(biāo)準(zhǔn)。2.6數(shù)據(jù)銷毀數(shù)據(jù)銷毀標(biāo)準(zhǔn)用于規(guī)范數(shù)據(jù)銷毀和介質(zhì)銷毀的安全機(jī)制和技術(shù)要求，確保存儲(chǔ)數(shù)據(jù)永久刪除、不可恢復(fù)，主要包括數(shù)據(jù)銷毀、介質(zhì)銷毀等標(biāo)準(zhǔn)。3.安全管理標(biāo)準(zhǔn)安全管理標(biāo)準(zhǔn)從數(shù)據(jù)安全框架的管理視角出發(fā)，指導(dǎo)行業(yè)落實(shí)法律法規(guī)以及行業(yè)主管部門的管理要求，包括數(shù)據(jù)安全規(guī)范、數(shù)據(jù)安全評(píng)估、監(jiān)測(cè)預(yù)警與處置、應(yīng)急響應(yīng)與災(zāi)難備份、安全能力認(rèn)證等。安全管理標(biāo)準(zhǔn)子體系如圖4所示。圖4安全管理標(biāo)準(zhǔn)子體系3.1數(shù)據(jù)安全規(guī)范數(shù)據(jù)安全規(guī)范標(biāo)準(zhǔn)用于落實(shí)細(xì)化相關(guān)法律法規(guī)對(duì)數(shù)據(jù)安全保護(hù)的要求，對(duì)行業(yè)開展數(shù)據(jù)安全管理提供指導(dǎo)和規(guī)范，主要包括數(shù)據(jù)安全通用要求、個(gè)人信息保護(hù)要求、重要數(shù)據(jù)保護(hù)要求等標(biāo)準(zhǔn)。3.2數(shù)據(jù)安全評(píng)估數(shù)據(jù)安全評(píng)估標(biāo)準(zhǔn)用于指導(dǎo)行業(yè)落實(shí)數(shù)據(jù)安全評(píng)估的要求，明確評(píng)估的基本概念、要素關(guān)系、分析原理、評(píng)估方法、實(shí)施流程、實(shí)施要點(diǎn)和工作形式等要素，指導(dǎo)行業(yè)規(guī)范開展數(shù)據(jù)安全評(píng)估工作，主要包括數(shù)據(jù)安全合規(guī)性評(píng)估、數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、個(gè)人信息安全影響評(píng)估、數(shù)據(jù)出境安全評(píng)估等標(biāo)準(zhǔn)。3.3監(jiān)測(cè)預(yù)警與處置監(jiān)測(cè)預(yù)警與處置標(biāo)準(zhǔn)明確數(shù)據(jù)安全監(jiān)測(cè)預(yù)警與處置系統(tǒng)及其技術(shù)要求，結(jié)合數(shù)據(jù)的敏感度、量級(jí)、流向以及賬號(hào)權(quán)限等進(jìn)行綜合分析，實(shí)時(shí)動(dòng)態(tài)追蹤數(shù)據(jù)安全風(fēng)險(xiǎn)，主要包括監(jiān)測(cè)預(yù)警與處置方面的技術(shù)要求、接口規(guī)范、測(cè)試規(guī)范等標(biāo)準(zhǔn)。3.4應(yīng)急響應(yīng)與災(zāi)難備份應(yīng)急響應(yīng)與災(zāi)難備份標(biāo)準(zhǔn)用于規(guī)范數(shù)據(jù)安全事件的應(yīng)急響應(yīng)管理、處置措施，規(guī)范災(zāi)難備份及恢復(fù)工作的目標(biāo)和原則、技術(shù)要求以及實(shí)施方法，主要包括數(shù)據(jù)安全應(yīng)急響應(yīng)指南、災(zāi)難備份技術(shù)要求、恢復(fù)能力評(píng)價(jià)等標(biāo)準(zhǔn)。3.5安全能力認(rèn)證安全能力認(rèn)證標(biāo)準(zhǔn)用于規(guī)范組織及人員數(shù)據(jù)安全保障能力、產(chǎn)品與服務(wù)數(shù)據(jù)安全保護(hù)水平、數(shù)據(jù)安全服務(wù)能力等相關(guān)認(rèn)證要求，用于指導(dǎo)網(wǎng)絡(luò)運(yùn)營者與安全服務(wù)機(jī)構(gòu)提升自身的安全能力、服務(wù)能力，主要包括管理安全認(rèn)證、產(chǎn)品安全認(rèn)證、安全服務(wù)認(rèn)證、人員能力認(rèn)證等標(biāo)準(zhǔn)。4.重點(diǎn)領(lǐng)域標(biāo)準(zhǔn)在基礎(chǔ)共性標(biāo)準(zhǔn)、關(guān)鍵技術(shù)標(biāo)準(zhǔn)、安全管理標(biāo)準(zhǔn)的基礎(chǔ)上，結(jié)合新一代信息通信技術(shù)發(fā)展情況，主要在5G、移動(dòng)互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計(jì)算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等重點(diǎn)領(lǐng)域進(jìn)行布局，并結(jié)合行業(yè)發(fā)展情況，逐步覆蓋其他重點(diǎn)領(lǐng)域。結(jié)合重點(diǎn)領(lǐng)域自身發(fā)展情況和數(shù)據(jù)安全保護(hù)需求，制定相關(guān)數(shù)據(jù)安全標(biāo)準(zhǔn)。重點(diǎn)領(lǐng)域安全標(biāo)準(zhǔn)子體系如圖5所示。圖5重點(diǎn)領(lǐng)域標(biāo)準(zhǔn)子體系4.15G5G安全機(jī)制在滿足通用安全要求基礎(chǔ)上，為不同業(yè)務(wù)場(chǎng)景提供差異化安全服務(wù)，適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)，保護(hù)用戶個(gè)人隱私，并支持提供開放的安全能力。5G領(lǐng)域的數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括5G數(shù)據(jù)安全總體要求、5G終端數(shù)據(jù)安全、5G網(wǎng)絡(luò)側(cè)數(shù)據(jù)安全、5G網(wǎng)絡(luò)能力開放數(shù)據(jù)安全等。4.2移動(dòng)互聯(lián)網(wǎng)傳統(tǒng)的移動(dòng)互聯(lián)網(wǎng)安全主要包括終端安全、網(wǎng)絡(luò)安全和應(yīng)用安全等方面。隨著開放生態(tài)體系下移動(dòng)操作系統(tǒng)的普遍應(yīng)用和數(shù)據(jù)的大規(guī)模流動(dòng)，移動(dòng)互聯(lián)網(wǎng)的數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)一步凸顯。移動(dòng)互聯(lián)網(wǎng)領(lǐng)域的數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括移動(dòng)應(yīng)用個(gè)人信息保護(hù)、移動(dòng)應(yīng)用軟件SDK安全等。4.3車聯(lián)網(wǎng)車聯(lián)網(wǎng)安全覆蓋車內(nèi)、車與車、車與路、車與人、車與服務(wù)平臺(tái)的全方位連接和數(shù)據(jù)交互過程，數(shù)據(jù)安全和隱私保護(hù)貫穿于車聯(lián)網(wǎng)的各個(gè)環(huán)節(jié)。車聯(lián)網(wǎng)領(lǐng)域的數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括車聯(lián)網(wǎng)云平臺(tái)數(shù)據(jù)安全、V2X通信數(shù)據(jù)安全、智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全、車聯(lián)網(wǎng)移動(dòng)App數(shù)據(jù)安全等。4.4物聯(lián)網(wǎng)物聯(lián)網(wǎng)安全涵蓋物聯(lián)網(wǎng)的感知層、傳輸層、應(yīng)用層，涉及服務(wù)端安全、終端安全和通信網(wǎng)絡(luò)安全等方面，數(shù)據(jù)安全貫穿于其中的各個(gè)環(huán)節(jié)。物聯(lián)網(wǎng)領(lǐng)域的數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括物聯(lián)網(wǎng)云端數(shù)據(jù)安全、物聯(lián)網(wǎng)通信數(shù)據(jù)安全、物聯(lián)網(wǎng)管理系統(tǒng)數(shù)據(jù)安全、物聯(lián)網(wǎng)終端數(shù)據(jù)安全、物聯(lián)網(wǎng)移動(dòng)App數(shù)據(jù)安全等。4.5工業(yè)互聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)安全重點(diǎn)關(guān)注控制系統(tǒng)、設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)、平臺(tái)、應(yīng)用程序安全和安全管理等。工業(yè)互聯(lián)網(wǎng)領(lǐng)域的數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護(hù)、工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分級(jí)技術(shù)等。4.6云計(jì)算云計(jì)算安全以云主機(jī)安全為核心，涵蓋網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全、安全管理、業(yè)務(wù)安全等方面。云計(jì)算領(lǐng)域的數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括客戶數(shù)據(jù)保護(hù)、云服務(wù)業(yè)務(wù)數(shù)據(jù)安全、云上資產(chǎn)管理等。4.7大數(shù)據(jù)大數(shù)據(jù)安全覆蓋數(shù)據(jù)全生命周期管理各環(huán)節(jié)，涵蓋對(duì)大數(shù)據(jù)平臺(tái)運(yùn)行安全功能保障及以數(shù)據(jù)為對(duì)象進(jìn)行資產(chǎn)管理等。大數(shù)據(jù)領(lǐng)域的數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括大數(shù)據(jù)平臺(tái)安全、大數(shù)據(jù)資產(chǎn)管理等。4.8人工智能人工智能安全覆蓋個(gè)人信息安全、算法安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等。人工智能領(lǐng)域的數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括人工智能平臺(tái)數(shù)據(jù)安全、人工智能終端個(gè)人信息保護(hù)等。4.9區(qū)塊鏈區(qū)塊鏈安全包括應(yīng)用服務(wù)的安全性、系統(tǒng)設(shè)計(jì)的安全性（包含智能合約、共識(shí)機(jī)制）、基礎(chǔ)組件的安全性（包含網(wǎng)絡(luò)通信、數(shù)據(jù)安全、密碼技術(shù)）三個(gè)維度。區(qū)塊鏈領(lǐng)域的數(shù)據(jù)安全標(biāo)準(zhǔn)主要包括區(qū)塊鏈隱私數(shù)據(jù)保護(hù)、區(qū)塊鏈數(shù)字資產(chǎn)存儲(chǔ)與交互保護(hù)等。組織實(shí)施一是持續(xù)完善標(biāo)準(zhǔn)體系。保持體系的開放性，隨著經(jīng)濟(jì)社會(huì)數(shù)字化轉(zhuǎn)型持續(xù)推進(jìn)、數(shù)據(jù)安全認(rèn)知與實(shí)踐水平的不斷提高，結(jié)合數(shù)據(jù)安全相關(guān)法律法規(guī)的新要求，適時(shí)修訂完善標(biāo)準(zhǔn)體系。二是加快急需標(biāo)準(zhǔn)研制。組織中國通信標(biāo)準(zhǔn)化協(xié)會(huì)等單位，加快推進(jìn)重點(diǎn)和基礎(chǔ)公益類行業(yè)標(biāo)準(zhǔn)研制，注重?cái)?shù)據(jù)安全標(biāo)準(zhǔn)化工作與數(shù)據(jù)安全保護(hù)最新研究成果、行業(yè)最佳實(shí)踐的有機(jī)結(jié)合。三是推動(dòng)