《《工业领域数据安全标准体系建设指南(2023版)》.docx》由会员分享,可在线阅读,更多相关《《工业领域数据安全标准体系建设指南(2023版)》.docx(25页珍藏版)》请在课桌文档上搜索。
1、工业领域数据安全标准体系建设指南(2023版)2023年12月一、总体要求1(一)基本原则1(二)建设目标2二、主要内容2(一)体系框架2(二)重点领域51.基础共性标准52 .安全管理标准63 .技术和产品标准74 .安全评估与产业评价标准95 .新兴融合领域标准106 .工业领域细分行业标准12三、组织实施13一、总体要求以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大精神,深入落实中华人民共和国数据安全法工业和信息化领域数据安全管理办法(试行)等法律法规和政策文件要求,建立健全工业领域数据安全标准体系,加快弥补关键基础标准短板,强化重点急需标准供给,着力推动标准应用实施和国际
2、标准化工作,有效支撑工业领域数字化转型,护航数字经济高质量发展。(一)基本原则统筹规划,全面布局。统筹标准化工作资源,结合工业领域技术和产业发展现状及特点,以满足工业领域数据安全保障需求为目标,坚持政府引导和市场驱动相结合,建立健全工业领域数据安全标准体系。需求引导,多层构建。结合不同行业工业领域数据安全标准化需求,在体现工业领域数据安全共性的基础上,突出工业领域和各工业领域细分行业所具有的个性,形成以国家标准为基础、行业标准为主体、团体标准为补充的标准化工作格局,推动构建各类标准衔接有序、融合发展的多层次标准架构。基础先立,急用先行。围绕工业领域数据安全工作重点和难点,加快数据分类分级、重要
3、数据识别、分级防护基础共性标准的制定发布。综合考虑工业领域数据安全现状及面临的风险挑战,加快推进重点急需标准的研究制定。注重实效,开放合作。加强标准与法规政策的配套承接,组织开展标准宣贯培训、对标达标和实施监督,提升标准应用实践成效。积极开展国际交流合作,加大国际标准化工作参与力度,建立适用度高、开放性强的工业领域数据安全标准体系。(二)建设目标到2024年,初步建立工业领域数据安全标准体系,有效落实数据安全管理要求,基本满足工业领域数据安全需要,推进标准在重点行业、重点企业中的应用,研制数据安全国家、行业或团体标准30项以上。到2026年,形成较为完备的工业领域数据安全标准体系,全面落实数据
4、安全相关法律法规和政策制度要求,标准的技术水平、应用效果和国际化程度显著提高,基础性、规范性、引领性作用凸显,有力支撑工业领域数据安全重点工作,研制数据安全国家、行业或团体标准100项以上。二、主要内容(一)体系框架工业领域数据安全标准体系明确了总体框架,以及基础共性、安全管理、技术和产品、安全评估与产业评价、新兴融合领域、工业细分行业六个子体系内容。基础共性、安全管理、技术和产品、安全评估与产业评价子体系聚焦工业领域具有共性的数据安全标准,新兴融合领域、工业细分行业等两个子体系重点突出特定业务场景的数据安全标准。其中,基础共性标准用于明确工业数据安全术语,包括术语定义、分类分级规则、识别认定
5、、分级防护标准,为各类标准研制提供基础支撑。安全管理标准用于开展数据安全风险监测与应急处置、数据处理安全和组织人员管理,提供了覆盖数据全生命周期的安全管理措施保障。技术和产品标准包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准,建立了工业领域数据安全的技术支撑体系。安全评估与产业评价标准用于支撑工业数据安全评估及数据安全产业评价工作,为相关数据安全评估与产业评价提供了标准依据。新兴融合领域标准旨在解决重点领域的数据安全问题,包括智能制造、工业互联网领域数据安全标准。工业细分行业标准面向重点工业行业、领域的数据特点和安全需求,制定行业数据安全管理和技术标准规范。工业领域数
6、据安全标准体系框架如图1所示。Sli制掷IfiiI ftMi8infi - I ffuw-fflmR艮m电手卷2 3SW-MI K n CRRCtUHiIfi CA i n R BRaretfttl9t 1 AtuniXAXDAfiaSMAt*s &史居安金2SCF&竟力冲他-S D t i i UK-LaC包层金引中号也 Itt B I f XA Mn Ua XK 8 MB ?KA组头&国菅理 BBca.$立支金 36BX*共*京 M Atffi54x M DsttItll*KAX K C*士行UW昼支金-IFA8有2selM三i4女金 M AarsHit$42 I HE具里应用IW宿女士
7、: car Ittst 1鹃B后HiaB麻置居友金 I U 4 l5RBg*七力*片图1工业领域数据安全标准体系框架(一)重点领域1.基础共性标准基础共性标准是数据安全保护的基础性、通用性、指导性标准,包括术语定义、分类分级规则、识别认定、分级防护标准。基础共性标准子体系如图2所示。A基础共性AA术语定义AB分类分级规则Ac识别认定AD分级防护图2基础共性标准子体系1.1 术语定义术语定义用于规范工业领域数据安全相关概念,为其他标准的制定提供支撑,包括技术、规范、应用领域的相关术语、概念定义、相近概念之间的关系。1.2 分类分级规则分类分级规则标准用于指导工业数据处理者开展工业数据分类分级工作
8、。1.3 识别认定识别认定标准用于指导工业数据处理者开展重要数据识别和认定工作。1.4 分级防护分级防护标准用于指导工业数据处理者根据工业数据分类分级和识别认定结果,采取有针对性地防护措施。2 .安全管理标准安全管理标准从数据安全框架的管理视角出发,指导工业数据处理者落实法律法规以及行业主管部门的管理要求,包括安全运营、数据处理安全、组织人员管理标准。安全管理标准子体系如图3所示。BA安全运营B安全管理图3安全管理标准子体系2.1 安全运营安全运营标准用于规范工业领域安全运营,主要包括工业领域数据安全风险监测预警、监测接口、事件管理、事件分类分级、应急演练、应急预案与处置、信息上报与共享、数据
9、容灾备份管理等标准。2.2 数据处理安全数据处理安全标准用于规范工业数据使用、共享、出境处理活动安全要求,其中数据使用包括数据收集、传输、存储、使用加工方面安全要求,数据共享包括提供、公开、转移、委托处理方面安全要求。2.3 组织人员管理组织人员管理标准用于加强工业数据处理者组织机构建设,规范工业数据处理岗位和人员安全管理,推动组织和人员数据安全意识与能力提升,主要包括组织机构管理、关键岗位人员管理、数据安全从业人员能力要求标准。3 .技术和产品标准技术和产品标准对数据安全关键技术和产品及其检测要求进行规范,包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准。技术和产品标
10、准子体系如图4所示。C技术和产品I 8数共享安全技术加产品I *9s行为防控技*和产品II 8致98安全防护技术和产|lCA数98分关分级技术初产S8 D同态/U密I 8 C联邨学习I 8 B多方安全计算I 8 A据渊源CCF可信执行环境 I a E数据访问控制 lccD安全审计 lccc数据安全态妗感知 ICcB数据流转监测 ICCA用户行为分析 CBF效据恢复 ICBE数据销毁 ICB。数据防泄漏 ICBC数据脱电ICBB数据加密I 3 A数据防M改 CAC效据质管理 ICAB数据血缘分析 ICAA数据分类分级图4技术和产品标准子体系3.1 数据分类分级技术和产品数据分类分级技术和产品标准
11、用于规范数据资产发现、识别、标识、分析方面的技术、产品要求,主要包括数据分类分级、数据血缘分析、数据质量管理标准。3.2 数据安全防护技术和产品数据安全防护技术和产品标准用于规范数据收集、存储、使用、加工、传输、销毁方面技术、产品要求,主要包括数据防篡改、数据加密、数据脱敏、数据防泄漏、数据销毁、数据恢复标准。3.3 数据行为防控技术和产品数据行为防控标准用于规范数据处理异常行为识别、监测、态势感知、安全审计、数据访问控制方面的技术、产品要求,主要包括用户行为分析、数据流转监测、数据安全态势感知、安全审计、数据访问控制、可信执行环境标准。3.4 数据共享安全技术和产品数据共享安全技术和产品标准
12、用于规范数据提供、公开方面技术、产品要求,主要包括数据溯源、多方安全计算、联邦学习、同态加密标准。4 .安全评估与产业评价标准安全评估与产业评价标准用于支撑工业领域数据安全评估及产业评价,包括安全评估、产业评价标准。安全评估与产业评价标准子体系如图5所丕D安全评估与产业评价lDA安全评估DB产业评价DAA风险评估DAB能力评估DBC产业竞争力评价DAC出境评估图5安全评估与产业评价标准子体系4.1 安全评估安全评估标准用于指导评估机构开展数据安全风险评估、能力评估、出境安全评估工作,主要包括工业领域数据安全风险评估、数据安全能力评估、数据出境安全评估标准。4.2 产业评价产业评价标准用于数据安
13、全产业、数据安全服务能力及产业竞争力评价,包括数据安全产业评价指标、数据安全服务机构能力评价、数据安全产业竞争力评价标准。5 .新兴融合领域标准新兴融合领域标准主要用于规范工业相关新兴融合领域的数据安全要求,包括智能制造、工业互联网领域数据安全标准。新兴融合领域标准子体系如图6所示。E新兴融合领域图6新兴融合领域标准子体系5.1 智能制造数据安全标准智能制造数据安全标准用于规范智能制造场景下的数据安全,包括智能装备、智能工厂、智能服务、智能赋能技术、智慧供应链数据安全标准。5.2 工业互联网数据安全标准工业互联网数据安全标准用于规范工业互联网场景下的数据安全,包括工业互联网终端和网络、工业互联
14、网标识解析、工业互联网边缘计算、工业互联网平台、工业互联网典型应用数据安全标准。6 .工业领域细分行业标准根据基础共性、安全管理、技术和产品、安全评估与产业评价标准,结合原材料、装备、消费品、电子信息制造、民爆、节能与综合利用、软件和信息技术服务等重点工业行业、领域数据特点和安全需求,制定工业领域细分行业数据安全标准。工业领域细分行业标准子体系如图7所示。F工业领域细分行业厂FA原材料工业TFB装备工业FAA钢铁行业数据安全FAB有色行业数据安全丁FAC稀土行业数据安全TFAD石化化工行业;安全丁FAE建材行业数据安至FBA汽车行业数据安全TFBB民用飞机行业被据安全TFBCK用用行业效用安全
15、IFG软忤和信息技*ffi勇业 I讦节能与嫁合利用 lFE民爆图7工业领域细分行业标准子体系6.1 原材料工业针对原材料工业中钢铁、有色、稀土、石化化工、建材等行业的数据安全特点、场景,提出原材料工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。6.2 装备工业针对装备工业中汽车、民用飞机、民用船舶等行业的数据安全特点、场景,提出装备工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。6.3 消费品工业针对消费品工业中轻工、纺织等行业的数据安全特点、场景,提出消费品工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。6.4 电子信息制造业针对电子信息制造业的数据安全特
16、点、场景,提出电子信息制造业数据分类分级、重要数据识别、数据安全防护重点标准。6.5 民爆针对民爆行业的数据安全特点、场景,提出民爆行业数据分类分级、重要数据识别、数据安全防护重点标准。6.6 节能与综合利用针对工业领域节能与综合利用相关领域的数据安全特点、场景,提出节能与综合利用数据分类分级、重要数据识别、数据安全防护重点标准。6.7 软件和信息技术服务业针对软件和信息技术服务业的数据安全特点、场景,提出软件和信息技术服务业数据分类分级、重要数据识别、数据安全防护重点标准。三、组织实施一是加强统筹协调。工业和信息化部统筹推进工业领域数据安全标准体系建设,组织开展国家标准和行业标准制修订工作,
17、鼓励支持开展高质量团体标准、企业标准制定与实施。加强各标准组织的协作配合以及各行业、各领域之间的协同推进。二是加快任务落实。汇聚工业领域产学研用各方力量,大力推进重点急需标准研制。注重工业领域数据安全标准化工作与新技术新应用及行业优秀实践的有机融合,建立完善标准试验验证平台与环境,提升标准的实用性。紧密围绕技术和产业发展趋势,适时修订标准体系和相关标准。三是强化宣贯实施。鼓励各地主管部门、有关行业协会、联盟、标准化技术组织、专业机构通过多种渠道宣传工业领域数据安全标准化成果,有针对性地开展专题培训,引导企业开展贯标达标工作,推动标准落地实施和应用推广。四是加强国际合作。积极与国外数据安全、工业
18、互联网、智能制造相关组织开展标准化交流与合作,支持企事业单位参与国际电信联盟(ITU)、国际标准化组织(ISO)、国际电工委员会(IEC)国际标准化活动,推动相关国际标准制定。附件:1.工业领域数据安全现行及在研标准明细表2.工业领域数据安全标准拟研制重点方向附件1工业领域数据安全现行及在研标准明细表标准名称标准号/计划号A基础共性AB分飙吸U1.O信息安全技术数据分类分级规则20220787-T-469制定中C技术和产品CA物酸类分级技术和产品E32.1)工业数据质量通用技术规范GB/T394(X)-2020布D安全评估与产业评价DAWDAA风物格3.D信息安全技术数据安全风险评估方法202
19、30257-T-469制定中DAB能力评4.1)信息安全技术数据安全能力成熟度模型GB/T37988-2019布FHk领域册分行业FBSSMFBA至行5.D汽车整车信息安全技术要求20214422-Q-339制定中6.2)智能网联汽车数据通用要求20213606-T-339制定中FBB民用飞机行业嘘安全7.1)无人机云系统数据规范MH/T2011-2019布FD信息制造业标准名称标准号/计划号8.D可穿戴产品数据规范GB/T37037-2018已发布FG言J技术(踏业9.1)信息技术服务数据资产管理要求GB/T40685-2021已发布10.2)面向公有云服务的文件数据安全标记规范YDZT34
20、70-2019已发布11.3)云服务用户数据保护能力评估方法第1部分:公有云YD/T3797.1-2021布12.4)云服务用户数据保护能力评估方法第2部分:私有云YD/T3797.2-2020布附件2工业领域数据安全标准拟研制重点方向A基础共性工业领域数据安全术语AB分类分级规则工业领域数据分类分级指南、标识规则AC识SJ认定工业领域重要数据识别指南工业企业数据安全防护要求BA安全运营BAA监测附工业领域数据安全监测预警实施指南、监测接口规范BABfi&gljzbB皿蹶域数据安全事件分类分级指南T事件管理指南、危念演三南、应急预案与处置要求BAC信息Lt报和共享工业领域数据安全风险信息上报和
21、共享指南、风险信息上报和共享接口规范BAD数据容灾备份管理工业领域数据灾备管理要求工业领域数据使用安全要求工业领域数据共享安全要求、接口安全要求工业领域数据出境安全要求BCAS三US三工业领域数据安全组织机构建设指南BCBAMfia工业领域数据处理关键岗位及人员安全管理要求、从业人员能力基本要求、管理人员能力要求、评估人员能力要求C技术和产品CA粉酸类分级技术和产品CAA分类分级数据分类分级产品技术要求和测试评价方法CAB析数据血缘分析技术要求CAC雌数据清洗比对技术要求CB数据安全昉护技术和产品CBA数据昉!改数据防篡改产品技术要求和测试评价方法CBB雌力晦数据加密产品技术要求和测试评价方法
22、CBC数据脱敏数据脱敏产品技术要求和测试评价方法CBD数据防泄漏数据防泄漏产品技术要求和测试评价方法CBE雌销毁数据销毁产品技术要求和测试评价方法CBB数据恢复数据恢复产品技术要求和测试评价方法CC嘘行为防耐玄术和产品CCA用户行为分析数据异常行为识别技术要求ccB雌踊a数据安全监测技术要求CCC安全态势醐1数据安全态势感知技术要求CCD安全审计数据安全审计产品技术要求和测试评价方法CCE数据访问控制产品技术要求和测试评价方CCFr5W可信执行环境技术要求CD雌共享安全技术和产品数据追踪溯源技术要求CDB多算多方安全计算技术要求CDC联孵习联邦学习技术要求CDD同晦同态加密技术要求D安全评估与
23、产业评价DADAA风险评估工业领域数据安全风险评估指南DABgflzte工业企业数据安全能力评估指南DAC出境评估工业领域数据出境安全评估指南VB产业评价DBA产业评价指标数据安全产业评价指标DBB服务能力评价数据安全服务机构能力评价、数据安全服务能力要求DBC力评价数据安全产业竞争力评价E新兴融合领域EA智能制姗据安全EAA智智能装备数据安全要求、工业控制系统数据安全要求智能工厂数据安全要求EAC智能服rr7r大规模个性化定制数据安全要求、网络协同制造数据安全要求EAD智工业+5G应用数据安全要求、工业+人工智能应用数据安全要求、工业+区块链应用数据安全要求EAE智慧供应领据安全智慧供应链数
24、据安全要求EBA终端与网:工业互联网数据采集设备安全技术要求工业互联网标识解析数据安全要求EBC边缘计算工业互联网边缘数据采集处理安全要求工业微服务数据安全要求、工业互联网大数据中心数据安全监测技术要求EBE典型应用:工业APP数据安全要求F工业礴细分行业FA原材料M钢铁行业重要数据识别、数据分类分级、数据安全防护实施指南FAB行业有色行业重要数据识别、数据分类分级、数据安全防护实施指南FAC稀土行业稀土行业重要数据识别、数据分类分级、数据安全防护实施指南FAD石化化工行业数据安全石化化工行业重要数据识别、数据分类分级、数据安全防护实施指南FAE建材行业数据安全建材行业重要数据识别、数据分类分
25、级、数据安全防护实施指南FBSlkFBA9行4kSS汽车行业重要数据识别、数据分类分级、数据安全防护实施指南FBB民用飞机行业数据安全民用飞机行业重要数据识别、数据分类分级、数据安全防护实施指南FBC民用船舶行飒g安全民用船舶行业重要数据识别、数据分类分级、数据安全防护实施指南FC消费品工业FCAST行业轻工行业重要数据识别、数据分类分级、数据安全防护实施指南FCB纺织行业纺织行业重要数据识别、数据分类分级、数据安全防护实施指南FD信息制造业电子信息制造业重要数据识别、数据分类分级、数据安全防护实施指南FE民爆民爆行业重要数据识8人数据分类分级、数据安全防护实施指南FF节能与综合利用节能与综合利用重要数据识别、数据分类分级、数据安全防护实施指南FG信息技术服务业软件和信息技术服务业重要数据识别、数据分类分级、数据安全防护实施指南
