電信和互聯(lián)網(wǎng)行業(yè)數(shù)據(jù)安全標準體系建設(shè)指南2020年12月目錄610174746前言 重點領(lǐng)域。1.基礎(chǔ)共性標準基礎(chǔ)共性標準是數(shù)據(jù)安全保護的基礎(chǔ)性、通用性、指導(dǎo)性標準，包括術(shù)語定義、數(shù)據(jù)安全框架、數(shù)據(jù)分類分級等標準?；A(chǔ)共性標準子體系如圖2所示。圖2基礎(chǔ)共性標準子體系1.1術(shù)語定義術(shù)語定義用于規(guī)范數(shù)據(jù)安全相關(guān)概念，為其他部分標準的制定提供支撐，包括技術(shù)、規(guī)范、應(yīng)用領(lǐng)域的相關(guān)術(shù)語、概念定義、相近概念之間的關(guān)系等。1.2數(shù)據(jù)安全框架數(shù)據(jù)安全框架標準包括數(shù)據(jù)安全體系框架以及各部分參考框架，以明確和界定數(shù)據(jù)安全的角色、職責、邊界、各部分的層級關(guān)系和內(nèi)在聯(lián)系。1.3數(shù)據(jù)分類分級數(shù)據(jù)分類分級標準用于指導(dǎo)數(shù)據(jù)分類分級，給出數(shù)據(jù)分類分級的基本原則、維度、方法、示例等，為數(shù)據(jù)安全分類、分級保護提供依據(jù)，為數(shù)據(jù)安全規(guī)范、數(shù)據(jù)安全評估等方面的標準制定提供支撐。2.關(guān)鍵技術(shù)標準關(guān)鍵技術(shù)標準從數(shù)據(jù)采集、傳輸、存儲、處理、交換、銷毀等全生命周期環(huán)節(jié)出發(fā)，對數(shù)據(jù)安全的關(guān)鍵技術(shù)進行規(guī)范。關(guān)鍵技術(shù)標準子體系如圖3所示。圖3關(guān)鍵技術(shù)標準子體系2.1數(shù)據(jù)采集數(shù)據(jù)采集標準用于規(guī)范數(shù)據(jù)采集格式、數(shù)據(jù)標簽、數(shù)據(jù)審查校驗等方面相關(guān)技術(shù)要求，有效提升數(shù)據(jù)質(zhì)量，主要包括數(shù)據(jù)清洗比對、數(shù)據(jù)質(zhì)量監(jiān)控等標準。2.2數(shù)據(jù)傳輸數(shù)據(jù)傳輸標準用于規(guī)范數(shù)據(jù)傳輸過程中可以標準化的功能架構(gòu)、安全協(xié)議及其他安全相關(guān)技術(shù)要求，主要包括數(shù)據(jù)傳輸完整性保護、數(shù)據(jù)加密傳輸?shù)葮藴省?.3數(shù)據(jù)存儲數(shù)據(jù)存儲標準用于規(guī)范存儲平臺安全機制、數(shù)據(jù)安全存儲方法、安全審計、安全防護技術(shù)等相關(guān)技術(shù)要求，主要包括數(shù)據(jù)庫安全、數(shù)據(jù)安全審計、數(shù)據(jù)防泄漏等標準。2.4數(shù)據(jù)處理數(shù)據(jù)處理標準用于規(guī)范敏感數(shù)據(jù)、個人信息的保護機制及相關(guān)技術(shù)要求，明確敏感數(shù)據(jù)保護的場景、規(guī)則、技術(shù)方法，主要包括匿名化/去標識化、數(shù)據(jù)脫敏、異常行為識別等標準。2.5數(shù)據(jù)交換數(shù)據(jù)交換標準用于規(guī)范數(shù)據(jù)安全交換模型、角色權(quán)責定義、安全管控技術(shù)框架，并明確數(shù)據(jù)溯源模型、過程和方法，支撐包括數(shù)據(jù)交易在內(nèi)的各類場景下的數(shù)據(jù)安全共享、審計和監(jiān)管，主要包括安全多方計算/聯(lián)邦學習、同態(tài)加密、應(yīng)用接口安全、數(shù)據(jù)溯源等標準。2.6數(shù)據(jù)銷毀數(shù)據(jù)銷毀標準用于規(guī)范數(shù)據(jù)銷毀和介質(zhì)銷毀的安全機制和技術(shù)要求，確保存儲數(shù)據(jù)永久刪除、不可恢復(fù)，主要包括數(shù)據(jù)銷毀、介質(zhì)銷毀等標準。3.安全管理標準安全管理標準從數(shù)據(jù)安全框架的管理視角出發(fā)，指導(dǎo)行業(yè)落實法律法規(guī)以及行業(yè)主管部門的管理要求，包括數(shù)據(jù)安全規(guī)范、數(shù)據(jù)安全評估、監(jiān)測預(yù)警與處置、應(yīng)急響應(yīng)與災(zāi)難備份、安全能力認證等。安全管理標準子體系如圖4所示。圖4安全管理標準子體系3.1數(shù)據(jù)安全規(guī)范數(shù)據(jù)安全規(guī)范標準用于落實細化相關(guān)法律法規(guī)對數(shù)據(jù)安全保護的要求，對行業(yè)開展數(shù)據(jù)安全管理提供指導(dǎo)和規(guī)范，主要包括數(shù)據(jù)安全通用要求、個人信息保護要求、重要數(shù)據(jù)保護要求等標準。3.2數(shù)據(jù)安全評估數(shù)據(jù)安全評估標準用于指導(dǎo)行業(yè)落實數(shù)據(jù)安全評估的要求，明確評估的基本概念、要素關(guān)系、分析原理、評估方法、實施流程、實施要點和工作形式等要素，指導(dǎo)行業(yè)規(guī)范開展數(shù)據(jù)安全評估工作，主要包括數(shù)據(jù)安全合規(guī)性評估、數(shù)據(jù)安全風險評估、個人信息安全影響評估、數(shù)據(jù)出境安全評估等標準。3.3監(jiān)測預(yù)警與處置監(jiān)測預(yù)警與處置標準明確數(shù)據(jù)安全監(jiān)測預(yù)警與處置系統(tǒng)及其技術(shù)要求，結(jié)合數(shù)據(jù)的敏感度、量級、流向以及賬號權(quán)限等進行綜合分析，實時動態(tài)追蹤數(shù)據(jù)安全風險，主要包括監(jiān)測預(yù)警與處置方面的技術(shù)要求、接口規(guī)范、測試規(guī)范等標準。3.4應(yīng)急響應(yīng)與災(zāi)難備份應(yīng)急響應(yīng)與災(zāi)難備份標準用于規(guī)范數(shù)據(jù)安全事件的應(yīng)急響應(yīng)管理、處置措施，規(guī)范災(zāi)難備份及恢復(fù)工作的目標和原則、技術(shù)要求以及實施方法，主要包括數(shù)據(jù)安全應(yīng)急響應(yīng)指南、災(zāi)難備份技術(shù)要求、恢復(fù)能力評價等標準。3.5安全能力認證安全能力認證標準用于規(guī)范組織及人員數(shù)據(jù)安全保障能力、產(chǎn)品與服務(wù)數(shù)據(jù)安全保護水平、數(shù)據(jù)安全服務(wù)能力等相關(guān)認證要求，用于指導(dǎo)網(wǎng)絡(luò)運營者與安全服務(wù)機構(gòu)提升自身的安全能力、服務(wù)能力，主要包括管理安全認證、產(chǎn)品安全認證、安全服務(wù)認證、人員能力認證等標準。4.重點領(lǐng)域標準在基礎(chǔ)共性標準、關(guān)鍵技術(shù)標準、安全管理標準的基礎(chǔ)上，結(jié)合新一代信息通信技術(shù)發(fā)展情況，主要在5G、移動互聯(lián)網(wǎng)、車聯(lián)網(wǎng)、物聯(lián)網(wǎng)、工業(yè)互聯(lián)網(wǎng)、云計算、大數(shù)據(jù)、人工智能、區(qū)塊鏈等重點領(lǐng)域進行布局，并結(jié)合行業(yè)發(fā)展情況，逐步覆蓋其他重點領(lǐng)域。結(jié)合重點領(lǐng)域自身發(fā)展情況和數(shù)據(jù)安全保護需求，制定相關(guān)數(shù)據(jù)安全標準。重點領(lǐng)域安全標準子體系如圖5所示。圖5重點領(lǐng)域標準子體系4.15G5G安全機制在滿足通用安全要求基礎(chǔ)上，為不同業(yè)務(wù)場景提供差異化安全服務(wù)，適應(yīng)多種網(wǎng)絡(luò)接入方式及新型網(wǎng)絡(luò)架構(gòu)，保護用戶個人隱私，并支持提供開放的安全能力。5G領(lǐng)域的數(shù)據(jù)安全標準主要包括5G數(shù)據(jù)安全總體要求、5G終端數(shù)據(jù)安全、5G網(wǎng)絡(luò)側(cè)數(shù)據(jù)安全、5G網(wǎng)絡(luò)能力開放數(shù)據(jù)安全等。4.2移動互聯(lián)網(wǎng)傳統(tǒng)的移動互聯(lián)網(wǎng)安全主要包括終端安全、網(wǎng)絡(luò)安全和應(yīng)用安全等方面。隨著開放生態(tài)體系下移動操作系統(tǒng)的普遍應(yīng)用和數(shù)據(jù)的大規(guī)模流動，移動互聯(lián)網(wǎng)的數(shù)據(jù)安全風險進一步凸顯。移動互聯(lián)網(wǎng)領(lǐng)域的數(shù)據(jù)安全標準主要包括移動應(yīng)用個人信息保護、移動應(yīng)用軟件SDK安全等。4.3車聯(lián)網(wǎng)車聯(lián)網(wǎng)安全覆蓋車內(nèi)、車與車、車與路、車與人、車與服務(wù)平臺的全方位連接和數(shù)據(jù)交互過程，數(shù)據(jù)安全和隱私保護貫穿于車聯(lián)網(wǎng)的各個環(huán)節(jié)。車聯(lián)網(wǎng)領(lǐng)域的數(shù)據(jù)安全標準主要包括車聯(lián)網(wǎng)云平臺數(shù)據(jù)安全、V2X通信數(shù)據(jù)安全、智能網(wǎng)聯(lián)汽車數(shù)據(jù)安全、車聯(lián)網(wǎng)移動App數(shù)據(jù)安全等。4.4物聯(lián)網(wǎng)物聯(lián)網(wǎng)安全涵蓋物聯(lián)網(wǎng)的感知層、傳輸層、應(yīng)用層，涉及服務(wù)端安全、終端安全和通信網(wǎng)絡(luò)安全等方面，數(shù)據(jù)安全貫穿于其中的各個環(huán)節(jié)。物聯(lián)網(wǎng)領(lǐng)域的數(shù)據(jù)安全標準主要包括物聯(lián)網(wǎng)云端數(shù)據(jù)安全、物聯(lián)網(wǎng)通信數(shù)據(jù)安全、物聯(lián)網(wǎng)管理系統(tǒng)數(shù)據(jù)安全、物聯(lián)網(wǎng)終端數(shù)據(jù)安全、物聯(lián)網(wǎng)移動App數(shù)據(jù)安全等。4.5工業(yè)互聯(lián)網(wǎng)工業(yè)互聯(lián)網(wǎng)安全重點關(guān)注控制系統(tǒng)、設(shè)備、網(wǎng)絡(luò)、數(shù)據(jù)、平臺、應(yīng)用程序安全和安全管理等。工業(yè)互聯(lián)網(wǎng)領(lǐng)域的數(shù)據(jù)安全標準主要包括工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)安全保護、工業(yè)互聯(lián)網(wǎng)數(shù)據(jù)分級技術(shù)等。4.6云計算云計算安全以云主機安全為核心，涵蓋網(wǎng)絡(luò)安全、數(shù)據(jù)安全、應(yīng)用安全、安全管理、業(yè)務(wù)安全等方面。云計算領(lǐng)域的數(shù)據(jù)安全標準主要包括客戶數(shù)據(jù)保護、云服務(wù)業(yè)務(wù)數(shù)據(jù)安全、云上資產(chǎn)管理等。4.7大數(shù)據(jù)大數(shù)據(jù)安全覆蓋數(shù)據(jù)全生命周期管理各環(huán)節(jié)，涵蓋對大數(shù)據(jù)平臺運行安全功能保障及以數(shù)據(jù)為對象進行資產(chǎn)管理等。大數(shù)據(jù)領(lǐng)域的數(shù)據(jù)安全標準主要包括大數(shù)據(jù)平臺安全、大數(shù)據(jù)資產(chǎn)管理等。4.8人工智能人工智能安全覆蓋個人信息安全、算法安全、數(shù)據(jù)安全、網(wǎng)絡(luò)安全等。人工智能領(lǐng)域的數(shù)據(jù)安全標準主要包括人工智能平臺數(shù)據(jù)安全、人工智能終端個人信息保護等。4.9區(qū)塊鏈區(qū)塊鏈安全包括應(yīng)用服務(wù)的安全性、系統(tǒng)設(shè)計的安全性（包含智能合約、共識機制）、基礎(chǔ)組件的安全性（包含網(wǎng)絡(luò)通信、數(shù)據(jù)安全、密碼技術(shù)）三個維度。區(qū)塊鏈領(lǐng)域的數(shù)據(jù)安全標準主要包括區(qū)塊鏈隱私數(shù)據(jù)保護、區(qū)塊鏈數(shù)字資產(chǎn)存儲與交互保護等。組織實施一是持續(xù)完善標準體系。保持體系的開放性，隨著經(jīng)濟社會數(shù)字化轉(zhuǎn)型持續(xù)推進、數(shù)據(jù)安全認知與實踐水平的不斷提高，結(jié)合數(shù)據(jù)安全相關(guān)法律法規(guī)的新要求，適時修訂完善標準體系。二是加快急需標準研制。組織中國通信標準化協(xié)會等單位，加快推進重點和基礎(chǔ)公益類行業(yè)標準研制，注重數(shù)據(jù)安全標準化工作與數(shù)據(jù)安全保護最新研究成果、行業(yè)最佳實踐的有機結(jié)合。三是推動