为深入贯彻落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规要求,建立健全工业领域数据安全标准体系,我们组织编制完成了《工业领域数据安全标准体系建设指南(2023版)》(征求意见稿)(见附件1)。
现公开征求社会各界意见,如有意见或建议,请填写《征求意见反馈信息表》(见附件2)发送至 KJBZ@miit.gov.cn (邮件主题注明:工业领域数据安全标准体系建设指南征求意见反馈)。
公示时间:2023年5月22日-2023年6月22日
联系电话:010-68205261
附件:1.工业领域数据安全标准体系建设指南(2023版)(征求意见稿).doc 下载
2.征求意见反馈信息表.doc 下载
工业和信息化部科技司
2023年5月22日
工业领域数据安全标准体系
建设指南(2023版)
(征求意见稿)
一、总体要求
以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大精神,深入落实《中华人民共和国数据安全法》《中华人民共和国网络安全法》等法律法规要求,建立健全工业领域数据安全标准体系,加快弥补关键基础标准短板,强化重点急需标准供给,着力推动标准应用实施和国际标准化工作,有效支撑工业领域数字化转型,护航数字经济高质量发展。
(一)基本原则
统筹规划,全面布局。统筹标准化工作资源,结合工业领域技术和产业发展现状及特点,以满足工业领域数据安全保障需求为目标,坚持政府引导和市场驱动相结合,建立健全工业领域数据安全标准体系。
需求引导,多层构建。结合不同行业工业数据安全标准化需求,在体现工业领域数据安全共性的基础上,突出工业领域和各垂直行业所具有的个性,形成以国家标准为基础、行业标准为主体、团体标准为补充的标准化工作格局,推动构建各类标准衔接有序、融合发展的多层次标准架构。
基础先立,急用先行。围绕工业领域数据安全工作重点和难点,加快数据分类分级、重要数据识别、分级防护基础共性标准的制定发布。综合考虑工业领域数据安全现状及面临的风险挑战,加快推进重点急需标准的研究制定。
注重实效,开放合作。加强标准与法规政策的配套承接,组织开展标准宣贯培训、对标达标和实施监督,提升标准应用实践成效。积极开展国际交流合作,加大国际标准化工作参与力度,建立适用度高、开放性强的工业领域数据安全标准体系。
(二)建设目标
到2024年,初步建立工业领域数据安全标准体系,有效落实数据安全管理要求,基本满足工业领域数据安全需要,推进标准在重点行业、重点企业中的应用,研制数据安全国家、行业或团体标准30项以上。
到2026年,形成较为完备的工业领域数据安全标准体系,全面落实数据安全相关法律法规和政策制度要求,标准的技术水平、应用效果和国际化程度显著提高,基础性、规范性、引领性作用凸显,贯标工作全面开展,有力支撑工业领域数据安全重点工作,研制数据安全国家、行业或团体标准100项以上。
二、主要内容
(一)体系框架
工业领域数据安全标准体系由基础共性、安全管理、技术产品、安全评估与产业评价、新兴融合领域、垂直行业六大类标准组成。其中,基础共性标准用于明确工业数据安全术语,包括术语定义、分类分级规则、识别认定、分级防护标准,为各类标准研制提供基础支撑。安全管理标准用于开展数据安全风险监测与应急处置、数据处理安全和组织人员管理。技术产品标准包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准。安全评估与产业评价标准用于支撑工业数据安全评估及数据安全产业评价工作。新兴融合领域标准包括智能制造、工业互联网领域数据安全标准。垂直行业标准面向重点工业行业、领域的数据特点和安全需求,制定行业数据安全管理和技术标准规范。工业领域数据安全标准体系框架如图1所示。
图1 工业领域数据安全标准体系框架
(二)重点领域
1.基础共性标准
基础共性标准是数据安全保护的基础性、通用性、指导性标准,包括术语定义、分类分级规则、识别认定、分级防护标准。基础共性标准子体系如图2所示。
图2 基础共性标准子体系
1.1 术语定义
术语定义用于规范工业数据安全相关概念,为其他标准的制定提供支撑,包括技术、规范、应用领域的相关术语、概念定义、相近概念之间的关系。
1.2 分类分级规则
分类分级规则标准用于指导工业数据处理者开展工业数据分类分级工作。
1.3 识别认定
识别认定标准用于指导工业数据处理者开展重要数据识别和认定工作。
1.4 分级防护
分级防护标准用于指导工业数据处理者根据工业数据分类分级和识别认定结果,采取有针对性地防护措施。
2.安全管理标准
安全管理标准从数据安全框架的管理视角出发,指导工业数据处理者落实法律法规以及行业主管部门的管理要求,包括风险监测与应急处置、数据处理安全、组织人员管理标准。安全管理标准子体系如图3所示。
图3 安全管理标准子体系
2.1 风险监测与应急处置
风险监测与应急处置标准用于规范工业数据安全风险监测与应急处置,主要包括工业数据安全风险监测预警、监测接口、事件管理、事件分类分级、应急预案与处置、信息上报与共享、数据容灾备份标准。
2.2 数据处理安全
数据处理安全标准用于规范工业数据使用、共享、出境处理活动安全要求,其中数据使用包括数据收集、存储、使用加工方面安全要求,数据共享包括提供、公开、转移、委托处理方面安全要求。
2.3 组织人员管理
组织人员管理标准用于加强工业数据处理者组织机构建设,规范工业数据处理岗位和人员安全管理,推动组织和人员数据安全意识与能力提升,主要包括组织机构管理、关键岗位人员管理、数据安全从业人员能力要求标准。
3.技术产品标准
技术产品标准对数据安全关键技术和产品及其检测要求进行规范,包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准。技术产品标准子体系如图4所示。
图4 技术产品标准子体系
3.1 数据分类分级技术产品
数据分类分级技术产品标准用规范数据资产盘点、标识、分析方面技术产品要求,主要包括数据分类分级、数据血缘分析、数据质量管理标准。
3.2 数据安全防护技术产品
数据安全防护技术产品标准用于规范数据收集、存储、使用、加工、传输方面技术产品要求,主要包括数据防篡改、数据加密、数据脱敏、数据防泄漏、数据销毁、数据恢复、可信执行环境标准。
3.3 数据行为防控技术产品
数据行为防控标准用于规范数据处理异常行为识别、监测、态势感知、安全审计方面技术产品要求,主要包括用户行为分析、数据流转监测、数据安全态势感知、安全审计标准。
3.4 数据共享安全技术产品
数据共享安全技术产品标准用于规范数据提供、公开方面技术产品要求,主要包括数据溯源、多方安全计算、联邦学习标准。
4.安全评估与产业评价标准
安全评估与产业评价标准用于支撑工业数据安全评估及产业评价,包括安全评估、产业评价标准。安全评估与产业评价标准子体系如图5所示。
图5 安全评估与产业评价标准子体系
4.1 安全评估
安全评估标准用于指导评估机构开展数据安全风险评估能力评估、出境安全评估工作,主要包括工业数据安全风险评估、数据安全能力评估、数据出境安全评估标准。
4.2 产业评价
产业评价标准用于数据安全产业、数据安全服务能力及产业竞争力评价,包括数据安全产业评价指标、数据安全服务机构能力评价、数据安全服务能力要求、数据安全产业竞争力评价标准。
5.新兴融合领域标准
新兴融合领域标准主要用于规范工业相关新兴融合领域的数据安全要求,包括智能制造、工业互联网领域数据安全标准。新兴融合领域标准子体系如图6所示。
图6 新兴融合领域标准子体系
5.1 智能制造数据安全标准
智能制造数据安全标准用于规范智能制造场景下的数据安全,包括智能装备、智能工厂、智能服务、智能赋能技术、智慧供应链数据安全标准。
5.2 工业互联网数据安全标准
工业互联网数据安全标准用于规范工业互联网场景下的数据安全,包括工业互联网企业、工业互联网终端和网络、工业互联网标识解析、工业互联网边缘计算、工业互联网平台、工业互联网典型应用数据安全标准。
6.垂直行业标准
根据基础共性、安全管理、技术产品、安全评估与产业评价标准,结合原材料、装备、消费品、电子信息制造、安全生产、节能与综合利用、软件和信息技术服务重点工业行业、领域数据特点和安全需求,制定垂直行业数据安全标准。垂直行业标准子体系如图7所示。
图7 垂直行业标准子体系
6.1 原材料工业
针对原材料工业中钢铁、有色、稀土、石化化工、建材行业的数据安全特点、场景,提出原材料工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。
6.2 装备工业
针对装备工业中汽车、民用飞机、民用船舶行业的数据安全特点、场景,提出装备工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。
6.3 消费品工业
针对消费品工业中轻工、纺织行业的数据安全特点、场景,提出消费品工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。
6.4 电子信息制造业
针对电子信息制造业的数据安全特点、场景,提出电子信息制造业数据分类分级、重要数据识别、数据安全防护重点标准。
6.5 安全生产
针对民爆工业领域安全生产相关行业的数据安全特点、场景,提出民爆行业数据分类分级、重要数据识别、数据安全防护重点标准。
6.6 节能与综合利用
针对工业领域节能与综合利用相关行业的数据安全特点、场景,提出节能与综合利用数据分类分级、重要数据识别、数据安全防护重点标准。
6.7 软件和信息技术服务业
针对软件和信息技术服务业的数据安全特点、场景,提出软件和信息技术服务业数据分类分级、重要数据识别、数据安全防护重点标准。
三、组织实施
一是加强统筹协调。工业和信息化部统筹推进工业领域数据安全标准体系建设,组织开展国家标准和行业标准制修订工作,鼓励支持企业、研究机构、高院校、行业协会和联盟不同主体开展团体标准、企业标准的制定、应用和转化。加强各标准组织的协作配合,以及各行业、各领域之间的协同推进。
二是加快任务落实。汇聚工业领域产学研用各方力量,大力推进重点急需标准研制。注重工业领域数据安全标准化工作与新技术新应用及行业优秀实践的有机融合,建立完善标准试验验证平台与环境,提升标准的实用性。紧密围绕技术和产业发展趋势,适时修订标准体系和相关标准。
三是强化宣贯实施。鼓励各地主管部门、有关行业协会、联盟、标准化技术组织、专业机构通过多种渠道宣传工业领域数据安全标准化成果,有针对性地开展专题培训,引导企业开展贯标达标工作,推动标准落地实施和应用推广。
四是加强国际合作。积极与国外数据安全、工业互联网、智能制造相关组织开展标准化交流与合作,支持企事业单位参与国际电信联盟(ITU)、国际标准化组织(ISO)、国际电工技术委员会(IEC)国际标准化活动,推动相关国际标准的制定。
附件:
1.工业领域数据安全已发布和制定中标准明细
2.工业领域数据安全拟研制标准重点
附件1
工业领域数据安全已发布和制定中标准细则
附件2
工业领域数据安全拟研制标准重点图片