为促进数据安全国家标准深度应用,充分发挥标准对数字经济高质量发展的支撑保障作用,依据“夯实基础、有序提升”原则,制定数据安全标准应用参考框架,为各类组织筑牢数据安全合规底线、提升数据安全能力提供标准化路径。
一、研究目标
数据安全标准应用参考框架,拟实现以下研究目标:一是基于数据安全政策法规规定的法定义务,明确数据安全合规底线;二是聚焦数字产业化、产业数字化的安全需求,提供数据安全标准化解决方案和能力提升路径;三是探索数据安全标准保障数据开发利用和产业发展,促进数据供得出、流得动、用得好。
二、研究思路
综合考虑标准对法律法规支撑作用、标准适用范围、实施难易程度、所反映的安全能力水平等要素,将现有数据安全国家标准文件进行分类分级,提出包含基础应用级、规范应用级、卓越应用级三个应用层级的标准应用参考框架,帮助组织机构区分基础合规、能力提升、特定对象相关标准,进而夯实合规基础底线,逐步提升安全能力。
三、数据安全标准应用参考框架
截至2024年9月,全国网络安全标准化技术委员会(TC260)在数据安全方面,已经制定发布《数据分类分级规则》《数据安全能力成熟度模型》等15项国家标准,正在制修订《数据安全保护要求》《数据安全风险评估方法》等10项标准。
现有数据安全国家标准的应用参考框架如下图所示,其中粗线浅框为通用类数据安全标准,深色框为面向特定对象或特定情形的数据安全标准。
(一)基础应用级
基础应用级数据安全标准,主要包括4项通用数据安全标准和9项特定对象的数据安全标准,如下表所示:
标准名称 | 标准编号/状态 | 主要适用对象 | 相关 安全义务 |
数据分类分级规则 | GB/T 43697-2024 | 行业领域主管(监管)部门、各地方、各部门、数据处理者 | 数据分类分级保护 |
数据安全保护要求 | 征求意见稿 | 行业领域主管(监管)部门、各地方、各部门、数据处理者 | 数据分类分级保护 |
数据安全能力成熟度模型(第2级) | GB/T 37988-2019 | 数据处理者、第三方评估机构 | 全流程数据安全治理 |
数据安全风险评估方法 | 报批稿 | 数据处理者、第三方评估机构、主管监管部门 | 数据安全风险评估 |
政务数据处理安全要求 | 送审稿 | 政务数据处理者 | 政务数据安全 |
数据交易服务安全要求 | GB/T 37932(修订版送审稿) | 数据交易场所、数据商、第三方专业服务机构等数据交易相关方 | 数据流通交易安全 |
汽车数据处理安全要求 | GB/T 41871-2022 | 汽车数据处理者 | 汽车数据安全 |
即时通信服务数据安全要求(基础级)[注] | GB/T 42012-2022 | 即时通信服务提供者 | 互联网平台安全 |
快递物流服务数据安全要求(基础级) | GB/T 42013-2022 | 快递物流服务提供者 | 互联网平台安全 |
网上购物服务数据安全要求(基础级) | GB/T 42014-2022 | 网上购物服务提供者 | 互联网平台安全 |
网络支付服务数据安全要求(基础级) | GB/T 42015-2022 | 网络支付服务提供者 | 互联网平台安全 |
网络音视频服务数据安全要求(基础级) | GB/T 42016-2022 | 网络音视频服务提供者 | 互联网平台安全 |
网络预约汽车服务数据安全要求(基础级) | GB/T 42017-2022 | 网络预约汽车服务提供者 | 互联网平台安全 |
注:结合业界相关方实际保护水平,按照条款实施难易程度将标准条款内容分为相应级别,如基础级、规范级、卓越级。
(二)规范应用级
规范应用级数据安全标准,主要包括4项通用数据安全标准和8项特定对象的数据安全标准,如下表所示:
标准名称 | 标准编号 /状态 | 主要适用对象 | 相关 安全义务 |
网络数据处理安全要求 | GB/T 41479-2022 | 数据处理者、数据安全管理认证的评估和认证机构 | 数据安全认证 |
数据安全能力成熟度模型(第3级) | GB/T 37988-2019 | 数据处理者、第三方评估机构 | 全流程数据安全治理 |
数据接口安全风险监测方法 | 征求意见稿 | 数据处理者、安全厂商 | 数据安全风险监测 |
大数据服务安全能力要求 | GB/T 35274-2023 | 大数据服务提供者 | 全流程数据安全治理 |
数据安全机构能力要求 | 报批稿 | 数据安全评估机构 | 数据安全评估 |
二手电子产品信息清除技术要求 | 征求意见稿 | 电子产品厂商、二手电子产品经销者 | 数据删除 |
即时通信服务数据安全要求(规范级) | GB/T 42012-2022 | 即时通信服务提供者 | 互联网平台安全 |
快递物流服务数据安全要求(规范级) | GB/T 42013-2022 | 快递物流服务提供者 | 互联网平台安全 |
网上购物服务数据安全要求(规范级) | GB/T 42014-2022 | 网上购物服务提供者 | 互联网平台安全 |
网络支付服务数据安全要求(规范级) | GB/T 42015-2022 | 网络支付服务提供者 | 互联网平台安全 |
网络音视频服务数据安全要求(规范级) | GB/T 42016-2022 | 网络音视频服务提供者 | 互联网平台安全 |
网络预约汽车服务数据安全要求(规范级) | GB/T 42017-2022 | 网络预约汽车服务提供者 | 互联网平台安全 |
(三)卓越应用级
卓越应用级数据安全标准,主要包括6项通用数据安全标准和8项特定对象的数据安全标准,如下表所示:
标准名称 | 标准编号 /状态 | 主要适用对象 | 相关 安全义务 |
数据安全能力成熟度模型(第4级) | GB/T 37988-2019 | 数据处理者、第三方评估机构 | 全流程数据安全治理 |
大数据安全管理指南 | GB/T 37973-2019 | 数据处理者 | 数据安全管理 |
机密计算通用框架 | 报批稿 | 机密计算参与方 | 数据安全技术 |
数字水印技术实现指南 | 送审稿 | 数字水印参与方 | 数据安全技术 |
政务信息共享 数据安全技术要求 | GB/T 39477-2020 | 政务部门 | 政务数据安全 |
公共数据开放安全要求 | 征求意见稿 | 公共数据管理和服务机构 | 政务数据安全 |
电信领域数据安全指南 | GB/T 42447-2023 | 电信数据处理者 | 行业领域数据安全 |
健康医疗数据安全指南 | GB/T 39725-2020 | 健康医疗数据处理者 | 行业领域数据安全 |
即时通信服务数据安全要求(卓越级) | GB/T 42012-2022 | 即时通信服务提供者 | 互联网平台安全 |
快递物流服务数据安全要求(卓越级) | GB/T 42013-2022 | 快递物流服务提供者 | 互联网平台安全 |
网上购物服务数据安全要求(卓越级) | GB/T 42014-2022 | 网上购物服务提供者 | 互联网平台安全 |
网络支付服务数据安全要求(卓越级) | GB/T 42015-2022 | 网络支付服务提供者 | 互联网平台安全 |
网络音视频服务数据安全要求(卓越级) | GB/T 42016-2022 | 网络音视频服务提供者 | 互联网平台安全 |
网络预约汽车服务数据安全要求(卓越级) | GB/T 42017-2022 | 网络预约汽车服务提供者 | 互联网平台安全 |
获取《数据安全和个人信息保护标准应用参考框架V1.0》:
链接: https://pan.baidu.com/s/1ryHYNNUhY3P19_GLvrs0WQ 提取码: vtc8
声明:本文来自数安标准强基助力计划,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
