电信和互联网行业数据安全 标准体系建设指南 2020 年 12 月 目录 前言..............................................................................................................1 一、 总体要求........................................................................................... 2 （一） 基本原则................................................................................. 2 （二） 建设目标................................................................................. 3 二、 主要内容........................................................................................... 3 （一） 标准体系框架......................................................................... 3 （二） 重点领域................................................................................. 5 1.基础共性标准.............................................................................. 5 2.关键技术标准.............................................................................. 6 3.安全管理标准.............................................................................. 8 4.重点领域标准............................................................................ 11 三、 组织实施......................................................................................... 14 前 言 随着信息技术和人类生产生活交汇融合，全球数据呈现 爆发增长、海量聚集的特点，大数据产业正值活跃发展期， 技术演进和应用创新并行加速推进，数据资源已成为国家基 础战略性资源和社会生产的创新要素。当前，我国电信和互 联网行业高速发展，汇聚大量数据，在释放数字经济发展潜 力、促进数字经济加快成长的同时，面临严峻的安全风险。 这要求我们深刻认识电信和互联网行业数据安全的重要性 和紧迫性，坚持安全和发展并重，积极应对复杂严峻的安全 风险与挑战，加速构建数据安全保障体系。 “安全发展、标准先行”，标准化工作是保障数据安全的 重要基础。为落实《中华人民共和国网络安全法》《全国人 民代表大会常务委员会关于加强网络信息保护的决定》《电 信和互联网用户个人信息保护规定》等法律法规要求，指导 电信和互联网行业数据安全标准化工作，工业和信息化部组 织制定了《电信和互联网行业数据安全标准体系建设指南》。 1 一、总体要求 以习近平新时代中国特色社会主义思想为指导，全面贯 彻党的十九大和十九届二中、三中、四中、五中全会精神， 深入落实《中华人民共和国网络安全法》《全国人民代表大 会常务委员会关于加强网络信息保护的决定》《电信和互联 网用户个人信息保护规定》等法律法规要求，以保障电信和 互联网行业数据安全为主线，着力增加标准有效供给，不断 完善技术标准体系，持续推动标准的制定、实施和国际化， 支撑和引领数字经济高质量发展。 （一）基本原则。 统筹规划，全面布局。结合电信和互联网行业技术、产 业发展现状及特点，发挥好行业主管部门在顶层设计、组织 协调和政策制定等方面的重要作用，坚持政府引导和市场驱 动相结合，建立健全电信和互联网行业数据安全标准体系。 基础先立，急用先行。从数据安全管理工作的重点和难 点出发，确定重点领域，加快基础共性、关键技术、安全管 理类标准的研究制定。综合考虑相关领域的数据安全现状及 面临的风险和挑战，加快推进急需标准项目的研究制定。 多方参与，协同合作。充分凝聚电信运营企业、互联网 企业、设备提供商、安全企业、科研院所、高校等产学研用 各方力量，统筹推进标准的研究制定和实施应用。支持相关 单位积极参与国际标准化活动，加强国际交流与合作。 2 （二）建设目标。 到 2021 年，研制数据安全行业标准 20 项以上，初步建 立电信和互联网行业数据安全标准体系，有效落实数据安全 管理要求，基本满足行业数据安全保护需要，推动标准在重 点领域中的应用。 到 2023 年，研制数据安全行业标准 50 项以上，健全完 善电信和互联网行业数据安全标准体系，标准的技术水平、 应用效果和国际化程度显著提高，有力支撑行业数据安全保 护能力提升。 二、主要内容 （一）标准体系框架。 电信和互联网行业数据安全标准体系包括基础共性、关 键技术、安全管理和重点领域等标准。其中，基础共性标准 包括术语定义、数据安全框架、数据分类分级等，为各类标 准提供基础支撑。关键技术标准从数据采集、传输、存储、 处理、交换、销毁等全生命周期维度，对数据安全关键技术 进行规范。安全管理标准包括数据安全规范、数据安全评估、 监测预警与处置、应急响应与灾难备份、安全能力认证等。 重点领域标准主要是结合相关领域的实际情况和具体要求， 指导行业有效开展重点领域数据安全保护工作。电信和互联 网行业数据安全标准体系框架如图 1 所示。 3 图 1 电信和互联网行业数据安全标准体系框架 4 （二）重点领域。 1.基础共性标准 基础共性标准是数据安全保护的基础性、通用性、指导 性标准，包括术语定义、数据安全框架、数据分类分级等标 准。基础共性标准子体系如图 2 所示。 图 2 基础共性标准子体系 1.1 术语定义 术语定义用于规范数据安全相关概念，为其他部分标准 的制定提供支撑，包括技术、规范、应用领域的相关术语、 概念定义、相近概念之间的关系等。 1.2 数据安全框架 数据安全框架标准包括数据安全体系框架以及各部分 参考框架，以明确和界定数据安全的角色、职责、边界、各 5 部分的层级关系和内在联系。 1.3 数据分类分级 数据分类分级标准用于指导数据分类分级，给出数据分 类分级的基本原则、维度、方法、示例等，为数据安全分类、 分级保护提供依据，为数据安全规范、数据安全评估等方面 的标准制定提供支撑。 2.关键技术标准 关键技术标准从数据采集、传输、存储、处理、交换、 销毁等全生命周期环节出发，对数据安全的关键技术进行规 范。关键技术标准子体系如图 3 所示。 6 图 3 关键技术标准子体系 2.1 数据采集 数据采集标准用于规范数据采集格式、数据标签、数据 审查校验等方面相关技术要求，有效提升数据质量，主要包 括数据清洗比对、数据质量监控等标准。 2.2 数据传输 数据传输标准用于规范数据传输过程中可以标准化的 功能架构、安全协议及其他安全相关技术要求，主要包括数 7 据传输完整性保护、数据加密传输等标准。 2.3 数据存储 数据存储标准用于规范存储平台安全机制、数据安全存 储方法、安全审计、安全防护技术等相关技术要求，主要包 括数据库安全、数据安全审计、数据防泄漏等标准。 2.4 数据处理 数据处理标准用于规范敏感数据、个人信息的保护机制 及相关技术要求，明确敏感数据保护的场景、规则、技术方 法，主要包括匿名化/去标识化、数据脱敏、异常行为识别等 标准。 2.5 数据交换 数据交换标准用于规范数据安全交换模型、角色权责定 义、安全管控技术框架，并明确数据溯源模型、过程和方法， 支撑包括数据交易在内的各类场景下的数据安全共享、审计 和监管，主要包括安全多方计算/联邦学习、同态加密、应用 接口安全、数据溯源等标准。 2.6 数据销毁 数据销毁标准用于规范数据销毁和介质销毁的安全机 制和技术要求，确保存储数据永久删除、不可恢复，主要包 括数据销毁、介质销毁等标准。 3.安全管理标准 安全管理标准从数据安全框架的管理视角出发，指导行 8 业落实法律法规以及行业主管部门的管理要求，包括数据安 全规范、数据安全评估、监测预警与处置、应急响应与灾难 备份、安全能力认证等。安全管理标准子体系如图 4 所示。 图 4 安全管理标准子体系 3.1 数据安全规范 数据安全规范标准用于落实细化相关法律法规对数据 安全保护的要求，对行业开展数据安全管理提供指导和规 9 范，主要包括数据安全通用要求、个人信息保护要求、重要 数据保护要求等标准。 3.2 数据安全评估 数据安全评估标准用于指导行业落实数据安全评估的 要求，明确评估的基本概念、要素关系、分析原理、评估方 法、实施流程、实施要点和工作形式等要素，指导行业规范 开展数据安全评估工作，主要包括数据安全合规性评估、数 据安全风险评估、个人信息安全影响评估、数据出境安全评 估等标准。 3.3 监测预警与处置 监测预警与处置标准明确数据安全监测预警与处置系 统及其技术要求，结合数据的敏感度、量级、流向以及账号 权限等进行综合分析，实时动态追踪数据安全风险，主要包 括监测预警与处置方面的技术要求、接口规范、测试规范等 标准。 3.4 应急响应与灾难备份 应急响应与灾难备份标准用于规范数据安全事件的应急 响应管理、处置措施，规范灾难备份及恢复工作的目标和原 则、技术要求以及实施方法，主要包括数据安全应急响应指 南、灾难备份技术要求、恢复能力评价等标准。 3.5 安全能力认证 安全能力认证标准用于规范组织及人员数据安全保障 10 能力、产品与服务数据安全保护水平、数据安全服务能力等 相关认证要求，用于指导网络运营者与安全服务机构提升自 身的安全能力、服务能力，主要包括管理安全认证、产品安 全认证、安全服务认证、人员能力认证等标准。 4.重点领域标准 在基础共性标准、关键技术标准、安全管理标准的基础 上，结合新一代信息通信技术发展情况，主要在 5G、移动 互联网、车联网、物联网、工业互联网、云计算、大数据、