最新动态
工信部发布《电信和互联网行业数据安全标准体系建设指南》
发布时间:2020-12-29
来源:国家工信部官网
为发挥标准对电信和互联网行业数据安全的规范和保障作用,加快制造强国和网络强国建设步伐,工业和信息化部办公厅近日印发《电信和互联网行业数据安全标准体系建设指南》(以下简称《指南》)。
《指南》指出,电信和互联网行业数据安全标准体系包括基础共性、关键技术、安全管理和重点领域等标准。其中,基础共性标准包括术语定义、数据安全框架、数据分类分级等,为各类标准提供基础支撑。关键技术标准从数据采集、传输、存储、处理、交换、销毁等全生命周期维度,对数据安全关键技术进行规范。安全管理标准包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。重点领域标准主要是结合相关领域的实际情况和具体要求,指导行业有效开展重点领域数据安全保护工作。
《指南》提出了电信和互联网行业数据安全标准体系建设目标,到2021年,研制数据安全行业标准20项以上,初步建立电信和互联网行业数据安全标准体系,有效落实数据安全管理要求,基本满足行业数据安全保护需要,推动标准在重点领域中的应用;到2023年,研制数据安全行业标准50项以上,健全完善电信和互联网行业数据安全标准体系,标准的技术水平、应用效果和国际化程度显著提高,有力支撑行业数据安全保护能力提升。
电信和互联网行业数据安全
标准体系建设指南
2020年12月
前 言
随着信息技术和人类生产生活交汇融合,全球数据呈现爆发增长、海量聚集的特点,大数据产业正值活跃发展期,技术演进和应用创新并行加速推进,数据资源已成为国家基础战略性资源和社会生产的创新要素。当前,我国电信和互联网行业高速发展,汇聚大量数据,在释放数字经济发展潜力、促进数字经济加快成长的同时,面临严峻的安全风险。这要求我们深刻认识电信和互联网行业数据安全的重要性和紧迫性,坚持安全和发展并重,积极应对复杂严峻的安全风险与挑战,加速构建数据安全保障体系。
“安全发展、标准先行”,标准化工作是保障数据安全的重要基础。为落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求,指导电信和互联网行业数据安全标准化工作,工业和信息化部组织制定了《电信和互联网行业数据安全标准体系建设指南》。
一、总体要求
以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,深入落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求,以保障电信和互联网行业数据安全为主线,着力增加标准有效供给,不断完善技术标准体系,持续推动标准的制定、实施和国际化,支撑和引领数字经济高质量发展。
(一)基本原则。
统筹规划,全面布局。结合电信和互联网行业技术、产业发展现状及特点,发挥好行业主管部门在顶层设计、组织协调和政策制定等方面的重要作用,坚持政府引导和市场驱动相结合,建立健全电信和互联网行业数据安全标准体系。
基础先立,急用先行。从数据安全管理工作的重点和难点出发,确定重点领域,加快基础共性、关键技术、安全管理类标准的研究制定。综合考虑相关领域的数据安全现状及面临的风险和挑战,加快推进急需标准项目的研究制定。
多方参与,协同合作。充分凝聚电信运营企业、互联网企业、设备提供商、安全企业、科研院所、高校等产学研用各方力量,统筹推进标准的研究制定和实施应用。支持相关单位积极参与国际标准化活动,加强国际交流与合作。
(二)建设目标。
到2021年,研制数据安全行业标准20项以上,初步建立电信和互联网行业数据安全标准体系,有效落实数据安全管理要求,基本满足行业数据安全保护需要,推动标准在重点领域中的应用。
到2023年,研制数据安全行业标准50项以上,健全完善电信和互联网行业数据安全标准体系,标准的技术水平、应用效果和国际化程度显著提高,有力支撑行业数据安全保护能力提升。
二、主要内容
(一)标准体系框架。
电信和互联网行业数据安全标准体系包括基础共性、关键技术、安全管理和重点领域等标准。其中,基础共性标准包括术语定义、数据安全框架、数据分类分级等,为各类标准提供基础支撑。关键技术标准从数据采集、传输、存储、处理、交换、销毁等全生命周期维度,对数据安全关键技术进行规范。安全管理标准包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。重点领域标准主要是结合相关领域的实际情况和具体要求,指导行业有效开展重点领域数据安全保护工作。电信和互联网行业数据安全标准体系框架如图1所示。
图1 电信和互联网行业数据安全标准体系框架
(二)重点领域。
1.基础共性标准
基础共性标准是数据安全保护的基础性、通用性、指导性标准,包括术语定义、数据安全框架、数据分类分级等标准。基础共性标准子体系如图2所示。
图2 基础共性标准子体系
1.1 术语定义
术语定义用于规范数据安全相关概念,为其他部分标准的制定提供支撑,包括技术、规范、应用领域的相关术语、概念定义、相近概念之间的关系等。
1.2 数据安全框架
数据安全框架标准包括数据安全体系框架以及各部分参考框架,以明确和界定数据安全的角色、职责、边界、各部分的层级关系和内在联系。
1.3 数据分类分级
数据分类分级标准用于指导数据分类分级,给出数据分类分级的基本原则、维度、方法、示例等,为数据安全分类、分级保护提供依据,为数据安全规范、数据安全评估等方面的标准制定提供支撑。
2.关键技术标准
关键技术标准从数据采集、传输、存储、处理、交换、销毁等全生命周期环节出发,对数据安全的关键技术进行规范。关键技术标准子体系如图3所示。
图3 关键技术标准子体系
2.1 数据采集
数据采集标准用于规范数据采集格式、数据标签、数据审查校验等方面相关技术要求,有效提升数据质量,主要包括数据清洗比对、数据质量监控等标准。
2.2 数据传输
上一篇:
没有了