為發揮標準對電信和互聯網行業數據安全的規范和保障作用，加快制造強國和網絡強國建設步伐，工業和信息化部辦公廳近日印發《電信和互聯網行業數據安全標準體系建設指南》（以下簡稱《指南》）。

    《指南》指出，電信和互聯網行業數據安全標準體系包括基礎共性、關鍵技術、安全管理和重點領域等標準。其中，基礎共性標準包括術語定義、數據安全框架、數據分類分級等，為各類標準提供基礎支撐。關鍵技術標準從數據采集、傳輸、存儲、處理、交換、銷毀等全生命周期維度，對數據安全關鍵技術進行規范。安全管理標準包括數據安全規范、數據安全評估、監測預警與處置、應急響應與災難備份、安全能力認證等。重點領域標準主要是結合相關領域的實際情況和具體要求，指導行業有效開展重點領域數據安全保護工作。

    《指南》提出了電信和互聯網行業數據安全標準體系建設目標，到2021年，研制數據安全行業標準20項以上，初步建立電信和互聯網行業數據安全標準體系，有效落實數據安全管理要求，基本滿足行業數據安全保護需要，推動標準在重點領域中的應用；到2023年，研制數據安全行業標準50項以上，健全完善電信和互聯網行業數據安全標準體系，標準的技術水平、應用效果和國際化程度顯著提高，有力支撐行業數據安全保護能力提升。

詳細內容如下

電信和互聯網行業數據安全
標準體系建設指南

2020年12月

前 言

    隨著信息技術和人類生產生活交匯融合，全球數據呈現爆發增長、海量聚集的特點，大數據產業正值活躍發展期，技術演進和應用創新并行加速推進，數據資源已成為國家基礎戰略性資源和社會生產的創新要素。當前，我國電信和互聯網行業高速發展，匯聚大量數據，在釋放數字經濟發展潛力、促進數字經濟加快成長的同時，面臨嚴峻的安全風險。這要求我們深刻認識電信和互聯網行業數據安全的重要性和緊迫性，堅持安全和發展并重，積極應對復雜嚴峻的安全風險與挑戰，加速構建數據安全保障體系。

    “安全發展、標準先行”，標準化工作是保障數據安全的重要基礎。為落實《中華人民共和國網絡安全法》《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《電信和互聯網用戶個人信息保護規定》等法律法規要求，指導電信和互聯網行業數據安全標準化工作，工業和信息化部組織制定了《電信和互聯網行業數據安全標準體系建設指南》。

一、總體要求

    以習近平新時代中國特色社會主義思想為指導，全面貫徹黨的十九大和十九屆二中、三中、四中、五中全會精神，深入落實《中華人民共和國網絡安全法》《全國人民代表大會常務委員會關于加強網絡信息保護的決定》《電信和互聯網用戶個人信息保護規定》等法律法規要求，以保障電信和互聯網行業數據安全為主線，著力增加標準有效供給，不斷完善技術標準體系，持續推動標準的制定、實施和國際化，支撐和引領數字經濟高質量發展。

（一）基本原則。

    統籌規劃，全面布局。結合電信和互聯網行業技術、產業發展現狀及特點，發揮好行業主管部門在頂層設計、組織協調和政策制定等方面的重要作用，堅持政府引導和市場驅動相結合，建立健全電信和互聯網行業數據安全標準體系。

    基礎先立，急用先行。從數據安全管理工作的重點和難點出發，確定重點領域，加快基礎共性、關鍵技術、安全管理類標準的研究制定。綜合考慮相關領域的數據安全現狀及面臨的風險和挑戰，加快推進急需標準項目的研究制定。

    多方參與，協同合作。充分凝聚電信運營企業、互聯網企業、設備提供商、安全企業、科研院所、高校等產學研用各方力量，統籌推進標準的研究制定和實施應用。支持相關單位積極參與國際標準化活動，加強國際交流與合作。

（二）建設目標。

    到2021年，研制數據安全行業標準20項以上，初步建立電信和互聯網行業數據安全標準體系，有效落實數據安全管理要求，基本滿足行業數據安全保護需要，推動標準在重點領域中的應用。

    到2023年，研制數據安全行業標準50項以上，健全完善電信和互聯網行業數據安全標準體系，標準的技術水平、應用效果和國際化程度顯著提高，有力支撐行業數據安全保護能力提升。

二、主要內容

（一）標準體系框架。

    電信和互聯網行業數據安全標準體系包括基礎共性、關鍵技術、安全管理和重點領域等標準。其中，基礎共性標準包括術語定義、數據安全框架、數據分類分級等，為各類標準提供基礎支撐。關鍵技術標準從數據采集、傳輸、存儲、處理、交換、銷毀等全生命周期維度，對數據安全關鍵技術進行規范。安全管理標準包括數據安全規范、數據安全評估、監測預警與處置、應急響應與災難備份、安全能力認證等。重點領域標準主要是結合相關領域的實際情況和具體要求，指導行業有效開展重點領域數據安全保護工作。電信和互聯網行業數據安全標準體系框架如圖1所示。

圖1 電信和互聯網行業數據安全標準體系框架

（二）重點領域。

1.基礎共性標準

基礎共性標準是數據安全保護的基礎性、通用性、指導性標準，包括術語定義、數據安全框架、數據分類分級等標準。基礎共性標準子體系如圖2所示。

圖2 基礎共性標準子體系

1.1 術語定義

    術語定義用于規范數據安全相關概念，為其他部分標準的制定提供支撐，包括技術、規范、應用領域的相關術語、概念定義、相近概念之間的關系等。

1.2 數據安全框架

    數據安全框架標準包括數據安全體系框架以及各部分參考框架，以明確和界定數據安全的角色、職責、邊界、各部分的層級關系和內在聯系。

1.3 數據分類分級

    數據分類分級標準用于指導數據分類分級，給出數據分類分級的基本原則、維度、方法、示例等，為數據安全分類、分級保護提供依據，為數據安全規范、數據安全評估等方面的標準制定提供支撐。

2.關鍵技術標準

    關鍵技術標準從數據采集、傳輸、存儲、處理、交換、銷毀等全生命周期環節出發，對數據安全的關鍵技術進行規范。關鍵技術標準子體系如圖3所示。

圖3 關鍵技術標準子體系

2.1 數據采集

    數據采集標準用于規范數據采集格式、數據標簽、數據審查校驗等方面相關技術要求，有效提升數據質量，主要包括數據清洗比對、數據質量監控等標準。

2.2 數據傳輸

    數據傳輸標準用于規范數據傳輸過程中可以標準化的功能架構、安全協議及其他安全相關技術要求，主要包括數據傳輸完整性保護、數據加密傳輸等標準。

2.3 數據存儲

    數據存儲標準用于規范存儲平臺安全機制、數據安全存儲方法、安全審計、安全防護技術等相關技術要求，主要包括數據庫安全、數據安全審計、數據防泄漏等標準。

2.4 數據處理

    數據處理標準用于規范敏感數據、個人信息的保護機制及相關技術要求，明確敏感數據保護的場景、規則、技術方法，主要包括匿名化/去標識化、數據脫敏、異常行為識別等標準。

2.5 數據交換

    數據交換標準用于規范數據安全交換模型、角色權責定義、安全管控技術框架，并明確數據溯源模型、過程和方法，支撐包括數據交易在內的各類場景下的數據安全共享、審計和監管，主要包括安全多方計算/聯邦學習、同態加密、應用接口安全、數據溯源等標準。

2.6 數據銷毀

    數據銷毀標準用于規范數據銷毀和介質銷毀的安全機制和技術要求，確保存儲數據永久刪除、不可恢復，主要包括數據銷毀、介質銷毀等標準。

3.安全管理標準

    安全管理標準從數據安全框架的管理視角出發，指導行業落實法律法規以及行業主管部門的管理要求，包括數據安全規范、數據安全評估、監測預警與處置、應急響應與災難備份、安全能力認證等。安全管理標準子體系如圖4所示。

圖4 安全管理標準子體系

3.1 數據安全規范

    數據安全規范標準用于落實細化相關法律法規對數據安全保護的要求，對行業開展數據安全管理提供指導和規范，主要包括數據安全通用要求、個人信息保護要求、重要數據保護要求等標準。

3.2 數據安全評估

    數據安全評估標準用于指導行業落實數據安全評估的要求，明確評估的基本概念、要素關系、分析原理、評估方法、實施流程、實施要點和工作形式等要素，指導行業規范開展數據安全評估工作，主要包括數據安全合規性評估、數據安全風險評估、個人信息安全影響評估、數據出境安全評估等標準。

3.3 監測預警與處置

    監測預警與處置標準明確數據安全監測預警與處置系統及其技術要求，結合數據的敏感度、量級、流向以及賬號權限等進行綜合分析，實時動態追蹤數據安全風險，主要包括監測預警與處置方面的技術要求、接口規范、測試規范等標準。

3.4 應急響應與災難備份

    應急響應與災難備份標準用于規范數據安全事件的應急響應管理、處置措施，規范災難備份及恢復工作的目標和原則、技術要求以及實施方法，主要包括數據安全應急響應指南、災難備份技術要求、恢復能力評價等標準。

3.5 安全能力認證

    安全能力認證標準用于規范組織及人員數據安全保障能力、產品與服務數據安全保護水平、數據安全服務能力等相關認證要求，用于指導網絡運營者與安全服務機構提升自身的安全能力、服務能力，主要包括管理安全認證、產品安全認證、安全服務認證、人員能力認證等標準。

4.重點領域標準

    在基礎共性標準、關鍵技術標準、安全管理標準的基礎上，結合新一代信息通信技術發展情況，主要在5G、移動互聯網、車聯網、物聯網、工業互聯網、云計算、大數據、人工智能、區塊鏈等重點領域進行布局，并結合行業發展情況，逐步覆蓋其他重點領域。結合重點領域自身發展情況和數據安全保護需求，制定相關數據安全標準。重點領域安全標準子體系如圖5所示。

圖5 重點領域標準子體系

4.1 5G

    5G 安全機制在滿足通用安全要求基礎上，為不同業務場景提供差異化安全服務，適應多種網絡接入方式及新型網絡架構，保護用戶個人隱私，并支持提供開放的安全能力。5G領域的數據安全標準主要包括5G數據安全總體要求、5G終端數據安全、5G網絡側數據安全、5G網絡能力開放數據安全等。

4.2 移動互聯網

    傳統的移動互聯網安全主要包括終端安全、網絡安全和應用安全等方面。隨著開放生態體系下移動操作系統的普遍應用和數據的大規模流動，移動互聯網的數據安全風險進一步凸顯。移動互聯網領域的數據安全標準主要包括移動應用個人信息保護、移動應用軟件SDK安全等。

4.3 車聯網

    車聯網安全覆蓋車內、車與車、車與路、車與人、車與服務平臺的全方位連接和數據交互過程，數據安全和隱私保護貫穿于車聯網的各個環節。車聯網領域的數據安全標準主要包括車聯網云平臺數據安全、V2X通信數據安全、智能網聯汽車數據安全、車聯網移動App數據安全等。

4.4 物聯網

    物聯網安全涵蓋物聯網的感知層、傳輸層、應用層，涉及服務端安全、終端安全和通信網絡安全等方面，數據安全貫穿于其中的各個環節。物聯網領域的數據安全標準主要包括物聯網云端數據安全、物聯網通信數據安全、物聯網管理系統數據安全、物聯網終端數據安全、物聯網移動App數據安全等。

4.5 工業互聯網

    工業互聯網安全重點關注控制系統、設備、網絡、數據、平臺、應用程序安全和安全管理等。工業互聯網領域的數據安全標準主要包括工業互聯網數據安全保護、工業互聯網數據分級技術等。

4.6 云計算

    云計算安全以云主機安全為核心，涵蓋網絡安全、數據安全、應用安全、安全管理、業務安全等方面。云計算領域的數據安全標準主要包括客戶數據保護、云服務業務數據安全、云上資產管理等。

4.7 大數據

    大數據安全覆蓋數據全生命周期管理各環節，涵蓋對大數據平臺運行安全功能保障及以數據為對象進行資產管理等。大數據領域的數據安全標準主要包括大數據平臺安全、大數據資產管理等。

4.8 人工智能

    人工智能安全覆蓋個人信息安全、算法安全、數據安全、網絡安全等。人工智能領域的數據安全標準主要包括人工智能平臺數據安全、人工智能終端個人信息保護等。

4.9 區塊鏈

    區塊鏈安全包括應用服務的安全性、系統設計的安全性（包含智能合約、共識機制）、基礎組件的安全性（包含網絡通信、數據安全、密碼技術）三個維度。區塊鏈領域的數據安全標準主要包括區塊鏈隱私數據保護、區塊鏈數字資產存儲與交互保護等。

三、組織實施

    一是持續完善標準體系。保持體系的開放性，隨著經濟社會數字化轉型持續推進、數據安全認知與實踐水平的不斷提高，結合數據安全相關法律法規的新要求，適時修訂完善標準體系。

    二是加快急需標準研制。組織中國通信標準化協會等單位，加快推進重點和基礎公益類行業標準研制，注重數據安全標準化工作與數據安全保護最新研究成果、行業最佳實踐的有機結合。

    三是推動標準應用實施。鼓勵行業協會、標準化技術組織等開展面向生產者、使用者、公共利益方的標準宣傳和培訓，引導企業在研發、生產、管理等環節對標達標，推動標準的落地實施。

    四是加強國際交流合作。鼓勵企事業單位積極參與國際電信聯盟（ITU）、國際標準化組織（ISO）、國際電工技術委員會（IEC）等國際標準化活動，推動相關國際標準的制定。