概述
《数据安全法》《个人信息保护法》实施在即,数据安全和个人信息保护国家标准紧密围绕法律法规要求,以支撑其落地实施为核心目标,以指导、推动各企业、机构进行合规建设为工作方向,现已初步形成标准体系,梳理如下,同时提供了免费的查阅及下载渠道,以供参考。
截止2021年8月,全国信息安全标准化技术委员会(SAC/TC 260)围绕数据安全和个人信息保护两个方面,已发布9项、在研22项国家标准,具体如图所示。
已发布和在研数据安全和个人信息保护国家标准项目(截至2021年8月)
一、个人信息保护已发布国家标准
目前,已形成以GB/T 35273—2020《信息安全技术 个人信息安全规范》为主线的个人信息保护标准体系,发布标准3项,在研标准7项,发布标准具体如下:
1. GB/T 35273—2020《信息安全技术 个人信息安全规范》
简介:针对各类组织的个人信息处理活动,规范了开展收集、保存、使用、对外提供等个人信息处理活动应遵循的原则和安全要求
涉及的主要法律法规:《网络安全法》第41-43条,《个人信息保护法》等
涉及的认证:“移动互联网应用程序(App)安全认证”等
2. GB/T 37964—2019《信息安全技术 个人信息去标识化指南》
简介:提出了个人信息去标识化的目标和原则,给出了去标识化过程和管理措施指导,适用于各类组织开展个人信息去标识化工作
涉及的主要法律法规:《个人信息保护法》第51条等
3. GB/T 39335—2020《信息安全技术 个人信息安全影响评估指南》
简介:提出了个人信息安全影响评估的基本原理和实施流程,适用于各类组织自行开展评估,或主管部门开展检查评估
涉及的主要法律法规:《个人信息保护法》第55、56条等
二、数据安全已发布国家标准
目前,已发布数据安全相关要求类、指南类的标准6项,在研标准15项,发布标准具体如下:
1. GB/T 37988—2019《信息安全技术 数据安全能力成熟度模型》
简介:给出了组织数据安全能力的成熟度模型架构,适用于组织开展数据安全能力建设,以及对组织数据安全能力进行评估
涉及的主要法律法规:《数据安全法》第18、27条等
涉及的认证:“数据安全能力成熟度认证”等
2. GB/T 35274—2017《信息安全技术 大数据服务安全能力要求》
简介:规定了大数据服务提供者应具有的基础安全能力、大数据服务生命周期安全能力以及大数据服务平台与应用相关的系统服务安全能力
涉及的主要法律法规:《数据安全法》第27条等
3. GB/T 37932—2019《信息安全技术 数据交易服务安全要求》
简介:规定了数据交易服务所涉及的交易参与方、交易对象和交易过程的安全要求,可用于对数据交易服务机构进行安全评估
涉及的主要法律法规:《数据安全法》第33条等
4. GB/T 37973—2019《信息安全技术 大数据安全管理指南》
简介:提出了大数据安全管理基本原则,可指导组织开展大数据安全需求分析、数据分类分级、大数据风险评估等安全管理工作
涉及的主要法律法规:《数据安全法》第27、30条等
5. GB/T 39477—2020《信息安全技术 政务信息共享 数据安全技术要求》
简介:规定了政务信息共享过程中的数据安全技术要求以及相关基础设施的安全技术要求
涉及的主要法律法规:《数据安全法》第42条等
6. GB/T 39725—2020《信息安全技术 健康医疗数据安全指南》
简介:给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全管理和技术措施
涉及的主要法律法规:《数据安全法》第6条、国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见(国办发〔2016〕47号)等
三、网络安全标准实践指南
《网络安全标准实践指南》是由信安标委秘书处组织编写,在全国信安标委平台公开发布的技术文件,旨在推广网络安全标准,响应社会关注热点,应对网络安全事件,提供网络安全实施指引。目前,已发布了6项数据安全和个人信息保护方面的实践指南文件,包括:
TC260-PG-20183A《欧盟GDPR关注点》
TC260-PG-20191A《移动互联网应用基本业务功能必要信息规范》
TC260-PG-20202A《移动互联网应用程序(App)收集使用个人信息自评估指南》
TC260-PG-20203A《移动互联网应用程序(App)个人信息保护常见问题与处置指南》
TC260-PG-20204A《移动互联网应用程序(App)系统权限申请使用指南》
TC260-PG-20205A《移动互联网应用程序(App)使用软件开发工具包(SDK)安全指引》
Tips: 以上文件均可在全国信安标委网站查阅和下载,点击阅读原文即可访问链接:
国家标准:TC260主页(www.tc260.org.cn)/标准查询/已发国标查询/具体标准号或名称
网络安全标准实践指南:TC260主页(www.tc260.org.cn)/搜索栏/具体名称
注:关于数据安全和个人信息保护国家标准的进展还将继续梳理,定期更新发布,欢迎持续关注!
(本文作者:中国电子技术标准化研究院网安中心 胡影 周晨炜)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
