全文 | 工业领域数据安全标准体系建设指南(2023版)(征求意见稿)
工业领域数据安全标准体系建设指南(2023版)(征求意见稿)
一、总体要求
以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大精神,深入落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规要求,建立健全工业领域数据安全标准体系,加快弥补关键基础标准短板,强化重点急需标准供给,着力推动标准应用实施和国际标准化工作,有效支撑工业领域数字化转型,护航数字经济高质量发展。
(一)基本原则
统筹规划,全面布局。统筹标准化工作资源,结合工业领域技术和产业发展现状及特点,以满足工业领域数据安全保障需求为目标,坚持政府引导和市场驱动相结合,建立健全工业领域数据安全标准体系。
需求引导,多层构建。结合不同行业工业数据安全标准化需求,在体现工业领域数据安全共性的基础上,突出工业领域和各垂直行业所具有的个性,形成以国家标准为基础、行业标准为主体、团体标准为补充的标准化工作格局,推动构建各类标准衔接有序、融合发展的多层次标准架构。
基础先立,急用先行。围绕工业领域数据安全工作重点和难点,加快数据分类分级、重要数据识别、分级防护基础共性标准的制定发布。综合考虑工业领域数据安全现状及面临的风险挑战,加快推进重点急需标准的研究制定。
注重实效,开放合作。加强标准与法规政策的配套承接,组织开展标准宣贯培训、对标达标和实施监督,提升标准应用实践成效。积极开展国际交流合作,加大国际标准化工作参与力度,建立适用度高、开放性强的工业领域数据安全标准体系。
(二)建设目标
到2024年,初步建立工业领域数据安全标准体系,有效落实数据安全管理要求,基本满足工业领域数据安全需要,推进标准在重点行业、重点企业中的应用,研制数据安全国家、行业或团体标准30项以上。
到2026年,形成较为完备的工业领域数据安全标准体系,全面落实数据安全相关法律法规和政策制度要求,标准的技术水平、应用效果和国际化程度显著提高,基础性、规范性、引领性作用凸显,贯标工作全面开展,有力支撑工业领域数据安全重点工作,研制数据安全国家、行业或团体标准100项以上。
二、主要内容
(一)体系框架
工业领域数据安全标准体系由基础共性、安全管理、技术产品、安全评估与产业评价、新兴融合领域、垂直行业六大类标准组成。其中,基础共性标准用于明确工业数据安全术语,包括术语定义、分类分级规则、识别认定、分级防护标准,为各类标准研制提供基础支撑。安全管理标准用于开展数据安全风险监测与应急处置、数据处理安全和组织人员管理。技术产品标准包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准。安全评估与产业评价标准用于支撑工业数据安全评估及数据安全产业评价工作。新兴融合领域标准包括智能制造、工业互联网领域数据安全标准。垂直行业标准面向重点工业行业、领域的数据特点和安全需求,制定行业数据安全管理和技术标准规范。工业领域数据安全标准体系框架如图1所示。
(二)重点领域
1.基础共性标准
基础共性标准是数据安全保护的基础性、通用性、指导性标准,包括术语定义、分类分级规则、识别认定、分级防护标准。基础共性标准子体系如图2所示。
1.1 术语定义
术语定义用于规范工业数据安全相关概念,为其他标准的制定提供支撑,包括技术、规范、应用领域的相关术语、概念定义、相近概念之间的关系。
1.2 分类分级规则
分类分级规则标准用于指导工业数据处理者开展工业数据分类分级工作。
1.3 识别认定
识别认定标准用于指导工业数据处理者开展重要数据识别和认定工作。
1.4 分级防护
分级防护标准用于指导工业数据处理者根据工业数据分类分级和识别认定结果,采取有针对性地防护措施。
2.安全管理标准
安全管理标准从数据安全框架的管理视角出发,指导工业数据处理者落实法律法规以及行业主管部门的管理要求,包括风险监测与应急处置、数据处理安全、组织人员管理标准。安全管理标准子体系如图3所示。
2.1 风险监测与应急处置
风险监测与应急处置标准用于规范工业数据安全风险监测与应急处置,主要包括工业数据安全风险监测预警、监测接口、事件管理、事件分类分级、应急预案与处置、信息上报与共享、数据容灾备份标准。
2.2 数据处理安全
数据处理安全标准用于规范工业数据使用、共享、出境处理活动安全要求,其中数据使用包括数据收集、存储、使用加工方面安全要求,数据共享包括提供、公开、转移、委托处理方面安全要求。
2.3 组织人员管理
组织人员管理标准用于加强工业数据处理者组织机构建设,规范工业数据处理岗位和人员安全管理,推动组织和人员数据安全意识与能力提升,主要包括组织机构管理、关键岗位人员管理、数据安全从业人员能力要求标准。
3.技术产品标准
技术产品标准对数据安全关键技术和产品及其检测要求进行规范,包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准。技术产品标准子体系如图4所示。
3.1 数据分类分级技术产品
数据分类分级技术产品标准用规范数据资产盘点、标识、分析方面技术产品要求,主要包括数据分类分级、数据血缘分析、数据质量管理标准。
3.2 数据安全防护技术产品
数据安全防护技术产品标准用于规范数据收集、存储、使用、加工、传输方面技术产品要求,主要包括数据防篡改、数据加密、数据脱敏、数据防泄漏、数据销毁、数据恢复、可信执行环境标准。
3.3 数据行为防控技术产品
数据行为防控标准用于规范数据处理异常行为识别、监测、态势感知、安全审计方面技术产品要求,主要包括用户行为分析、数据流转监测、数据安全态势感知、安全审计标准。
3.4 数据共享安全技术产品
数据共享安全技术产品标准用于规范数据提供、公开方面技术产品要求,主要包括数据溯源、多方安全计算、联邦学习标准。
4.安全评估与产业评价标准
安全评估与产业评价标准用于支撑工业数据安全评估及产业评价,包括安全评估、产业评价标准。安全评估与产业评价标准子体系如图5所示。
4.1 安全评估
安全评估标准用于指导评估机构开展数据安全风险评估能力评估、出境安全评估工作,主要包括工业数据安全风险评估、数据安全能力评估、数据出境安全评估标准。
4.2 产业评价
产业评价标准用于数据安全产业、数据安全服务能力及产业竞争力评价,包括数据安全产业评价指标、数据安全服务机构能力评价、数据安全服务能力要求、数据安全产业竞争力评价标准。
5.新兴融合领域标准
新兴融合领域标准主要用于规范工业相关新兴融合领域的数据安全要求,包括智能制造、工业互联网领域数据安全标准。新兴融合领域标准子体系如图6所示。
5.1 智能制造数据安全标准
智能制造数据安全标准用于规范智能制造场景下的数据安全,包括智能装备、智能工厂、智能服务、智能赋能技术、智慧供应链数据安全标准。
5.2 工业互联网数据安全标准
工业互联网数据安全标准用于规范工业互联网场景下的数据安全,包括工业互联网企业、工业互联网终端和网络、工业互联网标识解析、工业互联网边缘计算、工业互联网平台、工业互联网典型应用数据安全标准。
6.垂直行业标准
根据基础共性、安全管理、技术产品、安全评估与产业评价标准,结合原材料、装备、消费品、电子信息制造、安全生产、节能与综合利用、软件和信息技术服务重点工业行业、领域数据特点和安全需求,制定垂直行业数据安全标准。垂直行业标准子体系如图7所示。
6.1 原材料工业
针对原材料工业中钢铁、有色、稀土、石化化工、建材行业的数据安全特点、场景,提出原材料工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。
6.2 装备工业
针对装备工业中汽车、民用飞机、民用船舶行业的数据安全特点、场景,提出装备工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。
6.3 消费品工业
针对消费品工业中轻工、纺织行业的数据安全特点、场景,提出消费品工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。
6.4 电子信息制造业
针对电子信息制造业的数据安全特点、场景,提出电子信息制造业数据分类分级、重要数据识别、数据安全防护重点标准。
6.5 安全生产
针对民爆工业领域安全生产相关行业的数据安全特点、场景,提出民爆行业数据分类分级、重要数据识别、数据安全防护重点标准。
6.6 节能与综合利用
针对工业领域节能与综合利用相关行业的数据安全特点、场景,提出节能与综合利用数据分类分级、重要数据识别、数据安全防护重点标准。
6.7 软件和信息技术服务业
针对软件和信息技术服务业的数据安全特点、场景,提出软件和信息技术服务业数据分类分级、重要数据识别、数据安全防护重点标准。
三、组织实施
一是加强统筹协调。工业和信息化部统筹推进工业领域数据安全标准体系建设,组织开展国家标准和行业标准制修订工作,鼓励支持企业、研究机构、高院校、行业协会和联盟不同主体开展团体标准、企业标准的制定、应用和转化。加强各标准组织的协作配合,以及各行业、各领域之间的协同推进。
二是加快任务落实。汇聚工业领域产学研用各方力量,大力推进重点急需标准研制。注重工业领域数据安全标准化工作与新技术新应用及行业优秀实践的有机融合,建立完善标准试验验证平台与环境,提升标准的实用性。紧密围绕技术和产业发展趋势,适时修订标准体系和相关标准。
三是强化宣贯实施。鼓励各地主管部门、有关行业协会、联盟、标准化技术组织、专业机构通过多种渠道宣传工业领域数据安全标准化成果,有针对性地开展专题培训,引导企业开展贯标达标工作,推动标准落地实施和应用推广。
四是加强国际合作。积极与国外数据安全、工业互联网、智能制造相关组织开展标准化交流与合作,支持企事业单位参与国际电信联盟(ITU)、国际标准化组织(ISO)、国际电工技术委员会(IEC)国际标准化活动,推动相关国际标准的制定。
附件:1.工业领域数据安全已发布和制定中标准明细
2.工业领域数据安全拟研制标准重点方向
附件1
工业领域数据安全已发布和制定中标准明细
总序号 | 分序号 | 标准名称 | 标准号/计划号 | 状态 |
A 基础共性 | ||||
AB 分类分级规则 | ||||
1. | 1) | 信息安全技术 数据分类分级规则 | 20220787-T-469 | 制定中 |
AC 识别认定 | ||||
2. | 1) | 信息安全技术 重要数据识别指南 | 20210995-T-469 | 制定中 |
C 技术产品 | ||||
CA 数据分类分级技术产品 | ||||
CAC 数据质量管理 | ||||
3. | 1) | 工业数据质量 通用技术规范 | GB/T 39400-2020 | 已发布 |
D 安全评估与产业评价 | ||||
DA 安全评估 | ||||
DAA 风险评估 | ||||
4. | 1) | 信息安全技术 数据安全风险评估方法 | 20230257-T-469 | 制定中 |
DAB 能力评估 | ||||
5. | 1) | 信息安全技术 数据安全能力成熟度模型 | GB/T 37988-2019 | 已发布 |
E 新兴融合领域 | ||||
EB 工业互联网数据安全 | ||||
EBA 企业数据安全 | ||||
6. | 1) | 工业互联网数据安全保护要求 | YD/T 3865-2021 | 已发布 |
7. | 2) | 工业互联网企业网络安全 第4部分:数据防护要求 | 20214469-T-339 | 制定中 |
F 垂直行业 | ||||
FB 装备工业 | ||||
FBA 汽车行业数据安全 | ||||
8. | 1) | 汽车整车信息安全技术要求 | 20214422-Q-339 | 制定中 |
9. | 2) | 智能网联汽车 数据通用要求 | 20213606-T-339 | 制定中 |
FBB 民用飞机行业数据安全 | ||||
10. | 1) | 无人机云系统数据规范 | MH/T 2011-2019 | 已发布 |
FD 电子信息制造业 | ||||
11. | 1) | 可穿戴产品数据规范 | GB/T 37037-2018 | 已发布 |
FG 软件和信息技术服务业 | ||||
12. | 1) | 信息技术服务 数据资产 管理要求 | GB/T 40685-2021 | 已发布 |
13. | 2) | 面向公有云服务的文件数据安全标记规范 | YD/T 3470-2019 | 已发布 |
14. | 3) | 云服务用户数据保护能力评估方法 第1部分:公有云 | YD/T 3797.1-2021 | 已发布 |
15. | 4) | 云服务用户数据保护能力评估方法 第2部分:私有云 | YD/T 3797.2-2020 | 已发布 |
A 基础共性 |
AA 术语定义 |
工业数据安全术语 |
AB 分类分级规则 |
工业数据分类分级指南、标识规则 |
AC识别认定 |
工业领域重要数据识别指南 |
AD 分级防护 |
工业企业数据安全防护要求 |
B 安全管理 |
BA 风险监测与应急处置 |
BAA 监测预警 |
工业数据安全监测预警实施指南、监测接口规范 |
BAB 应急处置 |
工业数据安全事件分类分级指南、事件管理指南、应急预案与处置要求 |
BAC 信息上报和共享 |
工业数据安全风险信息上报和共享指南、风险信息上报和共享接口规范 |
BAD 数据容灾备份 |
工业数据灾备管理要求 |
BB 数据处理安全 |
BBA 数据使用安全 |
工业数据使用安全要求 |
BBB 数据共享安全 |
工业数据共享安全要求、接口安全要求 |
BBC 数据出境安全 |
工业数据出境安全要求 |
BC 组织人员管理 |
BCA 组织机构管理 |
工业数据安全组织机构建设指南 |
BCB 人员管理 |
工业数据处理关键岗位及人员安全管理要求、从业人员能力基本要求、管理人员能力要求、评估人员能力要求 |
C 技术产品 |
CA 数据分类分级技术产品 |
CAA 数据分类分级 |
数据分类分级产品技术要求和测试评价方法 |
CAB 数据血缘分析 |
数据血缘分析技术要求 |
CAC 数据质量管理 |
数据清洗比对技术要求 |
CB 数据安全防护技术产品 |
CBA 数据防篡改 |
数据防篡改产品技术要求和测试评价方法 |
CBB 数据加密 |
数据加密产品技术要求和测试评价方法 |
CBC 数据脱敏 |
数据脱敏产品技术要求和测试评价方法 |
CBD 数据防泄漏 |
数据防泄漏产品技术要求和测试评价方法 |
CBE 数据销毁 |
数据销毁产品技术要求和测试评价方法 |
CBF 数据恢复 |
数据恢复产品技术要求和测试评价方法 |
CBG 可信执行环境 |
可信执行环境技术要求 |
CC 数据行为防控技术产品 |
CCA 用户行为分析 |
数据异常行为识别技术要求 |
CCB 数据流转监测 |
数据安全监测技术要求 |
CCC 数据安全态势感知 |
数据安全态势感知技术要求 |
CCD 安全审计 |
数据安全审计产品技术要求和测试评价方法 |
CD 数据共享安全技术产品 |
CDA 数据溯源 |
数据追踪溯源技术要求 |
CDB 多方安全计算 |
多方安全计算技术要求 |
CDC 联邦学习 |
联邦学习技术要求 |
D 安全评估与产业评价 |
DA 安全评估 |
DAA 风险评估 |
工业领域数据安全风险评估指南、工业数据安全评估指南 |
DAB 能力评估 |
工业企业数据安全能力评估指南 |
DAC 出境评估 |
工业数据出境安全评估指南 |
DB 产业评价 |
DBA 产业评价指标 |
数据安全产业评价指标 |
DBB 服务能力评价 |
数据安全服务机构能力评价、数据安全服务能力要求 |
DBC 产业竞争力评价 |
数据安全产业竞争力评价 |
E 新兴融合领域 |
EA 智能制造数据安全 |
EAA 智能装备数据安全 |
智能装备数据安全要求、工业控制系统数据安全要求 |
EAB 智能工厂数据安全 |
智能工厂数据安全要求 |
EAC 智能服务数据安全 |
大规模个性化定制数据安全要求、网络协同制造数据安全要求 |
EAD 智能赋能技术数据安全 |
工业+5G应用数据安全要求、工业+人工智能应用数据安全要求、工业+区块链应用数据安全要求 |
EAE 智慧供应链数据安全 |
智慧供应链数据安全要求 |
EB 工业互联网数据安全 |
EBB 终端与网络数据安全 |
工业互联网数据采集设备安全技术要求 |
EBC 标识解析数据安全 |
工业互联网标识解析数据安全要求 |
EBD 边缘计算数据安全 |
工业互联网边缘数据采集处理安全要求 |
EBE 平台数据安全 |
工业微服务数据安全要求、工业互联网大数据中心数据安全监测技术要求 |
EBF 典型应用数据安全 |
工业App数据安全要求 |
F 垂直行业 |
FA 原材料工业 |
FAA 钢铁行业数据安全 |
钢铁行业重要数据识别、数据分类分级、数据安全防护实施指南 |
FAB 有色行业数据安全 |
有色行业重要数据识别、数据分类分级、数据安全防护实施指南 |
FAC 稀土行业数据安全 |
稀土行业重要数据识别、数据分类分级、数据安全防护实施指南 |
FAD 石化化工行业数据安全 |
石化化工行业重要数据识别、数据分类分级、数据安全防护实施指南 |
FAE 建材行业数据安全 |
建材行业重要数据识别、数据分类分级、数据安全防护实施指南 |
FB 装备工业 |
FBA 汽车行业数据安全 |
汽车行业重要数据识别、数据分类分级、数据安全防护实施指南 |
FBB 民用飞机行业数据安全 |
民用飞机行业重要数据识别、数据分类分级、数据安全防护实施指南 |
FBC 民用船舶行业数据安全 |
民用船舶行业重要数据识别、数据分类分级、数据安全防护实施指南 |
FC 消费品工业 |
FCA 轻工行业数据安全 |
轻工行业重要数据识别、数据分类分级、数据安全防护实施指南 |
FCB 纺织行业数据安全 |
纺织行业重要数据识别、数据分类分级、数据安全防护实施指南 |
FD 电子信息制造业 |
电子信息制造业重要数据识别、数据分类分级、数据安全防护实施指南 |
FE 安全生产 |
民爆行业重要数据识别、数据分类分级、数据安全防护实施指南 |
FF 节能与综合利用 |
节能与综合利用重要数据识别、数据分类分级、数据安全防护实施指南 |
FG 软件和信息技术服务业 |
软件和信息技术服务业重要数据识别、数据分类分级、数据安全防护实施指南 |
申请条件:在数据隐私、数据安全及数据治理等方面具有丰富的理论积累或实践经验;并具有全英文写作的能力。 优先条件:发表过数据法或科技法相关论文的优先;有英文期刊发表经验的优先。 申请方式:请将您的简历和代表作发送到微信:heguilvshi 或邮箱:[email protected]
微信扫码关注该文公众号作者