为落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求,指导电信和互联网行业数据安全标准化工作,我们组织制定了《电信和互联网行业数据安全标准体系建设指南(征求意见稿)》(见附件1-2)。
为进一步听取社会各界意见,现予以公示,公示截止日期2020年9月10日。如有意见或建议,请在公示期间填写《公示意见反馈信息表》(见附件3)并反馈至工业和信息化部科技司,电子邮件发送至KJBZ@miit.gov.cn(邮件主题标明:电信和互联网行业数据安全标准体系建设指南公示反馈)。
地址:北京市西长安街13号工业和信息化部科技司
邮编:100846
联系电话:010-68205241
公示时间:2020年8月11日-2020年9月10日
附件:
1.公示意见反馈信息表
工业和信息化部科技司
2020年8月11日
2020年8月11日
更多详情,请登录工业和信息化部官方网站查询。
节选该指南部分内容:
“安全发展、标准先行”,标准化工作是保障数据安全的重要基础。为落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求,指导电信和互联网行业数据安全标准化工作,工业和信息化部组织制定了《电信和互联网行业数据安全标准体系建设指南》(以下简称《建设指南》)。《建设指南》充分发挥标准的基础引领作用,明确行业标准顶层设计,加强行业标准统筹协调,为保障电信和互联网行业数据安全、促进数据合理有序流动、助力数字经济高质量发展提供有力支撑。
数据安全标准体系框架
电信和互联网行业数据安全标准体系包括基础共性、关键技术、安全管理、重点领域四大类标准。基础共性标准包括术语定义、数据安全框架、数据分类分级,相关标准为各类标准提供基础性支撑。关键技术标准从数据采集、传输、存储、处理、交换、销毁等数据全生命周期维度对数据安全关键技术进行规范。安全管理标准从数据安全保护的管理视角出发,指导行业有效落实法律法规关于数据安全管理的要求,包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。重点领域标准结合相关领域的实际情况和具体要求,指导行业有效开展重点领域数据安全保护工作。数据安全标准体系框架如图1所示。
数据采集标准用于规范数据采集格式、数据标签、数据审查校验等方面相关技术要求,有效提升数据质量,主要包括数据清洗比对、数据质量监控等标准。
数据传输
数据传输标准用于规范数据传输过程中可以标准化的功能架构、安全协议及其他安全相关技术要求,主要包括数据传输完整性保护、数据加密传输等标准。
数据交换
数据交换标准用于规范数据安全交换模型、角色权责定义、安全管控技术框架,并明确数据溯源模型、过程和方法,支撑包括数据交易在内的各类场景下的数据安全共享、审计和监管,主要包括安全多方计算、同态加密、接口安全、数据溯源等标准。
监测预警与处置
监测预警与处置标准从行业主管部门监管需求的视角出发,明确数据安全监测预警与处置系统及其技术要求,结合数据的敏感度、量级、流向以及账号权限等进行综合分析,实时动态追踪数据安全风险,主要包括监测预警与处置方面的技术要求、接口规范、测试规范等标准。
在基础共性标准、关键技术标准、安全管理标准的基础上,结合新一代信息通信技术发展情况,重点在5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域进行布局,并结合行业发展情况,逐步覆盖其他重要领域。结合重点领域自身发展情况和数据安全保护需求,制定相关数据安全标准。重点领域安全标准子体系如图5所示。
车联网
车联网安全覆盖车内、车与车、车与路、车与人、车与服务平台的全方位连接和数据交互过程,数据安全和隐私保护贯穿于车联网的各个环节。车联网领域的数据安全标准主要包括车联网云平台数据安全、V2X通信数据安全、智能网联汽车数据安全、车联网移动App数据安全等。
物联网
物联网安全涵盖物联网的感知层、传输层、应用层,涉及服务端安全、终端安全和通信网络安全等方面,数据安全贯穿于其中的各个环节。物联网领域的数据安全标准主要包括物联网云端数据安全、物联网通信数据安全、物联网管理系统数据安全、物联网终端数据安全、物联网移动App数据安全等。
工业互联网
工业互联网安全重点关注控制系统、设备、网络、数据、平台、应用程序安全和安全管理等。工业互联网领域的数据安全标准主要包括工业互联网数据安全保护、工业互联网数据分级技术等。
区块链
区块链安全包括应用服务的安全性、系统设计的安全性(包含智能合约、共识机制)、基础组件的安全性(包含网络通信、数据安全、密码技术)三个维度。区块链领域的数据安全标准主要包括区块链隐私数据保护、区块链数字资产存储与交互保护等。