智通財經APP獲悉,12月29日,工信部、國家標準化管理委員會印發《工業領域數據安全標準體系建設指南(2023版)》。到2024年,初步建立工業領域數據安全標準體系,有效落實數據安全管理要求,基本滿足工業領域數據安全需要,推進標準在重點行業、重點企業中的應用,研製數據安全國家、行業或團體標準30項以上。到2026年,形成較爲完備的工業領域數據安全標準體系,全面落實數據安全相關法律法規和政策制度要求,標準的技術水平、應用效果和國際化程度顯著提高,基礎性、規範性、引領性作用凸顯,有力支撐工業領域數據安全重點工作,研製數據安全國家、行業或團體標準100項以上。
原文如下:
一、總體要求
以習近平新時代中國特色社會主義思想爲指導,全面貫徹黨的二十大精神,深入落實《中華人民共和國數據安全法》《工業和信息化領域數據安全管理辦法(試行)》等法律法規和政策文件要求,建立健全工業領域數據安全標準體系,加快彌補關鍵基礎標準短板,強化重點急需標準供給,着力推動標準應用實施和國際標準化工作,有效支撐工業領域數字化轉型,護航數字經濟高質量發展。
(一)基本原則
統籌規劃,全面佈局。統籌標準化工作資源,結合工業領域技術和產業發展現狀及特點,以滿足工業領域數據安全保障需求爲目標,堅持政府引導和市場驅動相結合,建立健全工業領域數據安全標準體系。
需求引導,多層構建。結合不同行業工業領域數據安全標準化需求,在體現工業領域數據安全共性的基礎上,突出工業領域和各工業領域細分行業所具有的個性,形成以國家標準爲基礎、行業標準爲主體、團體標準爲補充的標準化工作格局,推動構建各類標準銜接有序、融合發展的多層次標準架構。
基礎先立,急用先行。圍繞工業領域數據安全工作重點和難點,加快數據分類分級、重要數據識別、分級防護基礎共性標準的制定發佈。綜合考慮工業領域數據安全現狀及面臨的風險挑戰,加快推進重點急需標準的研究制定。
注重實效,開放合作。加強標準與法規政策的配套承接,組織開展標準宣貫培訓、對標達標和實施監督,提升標準應用實踐成效。積極開展國際交流合作,加大國際標準化工作參與力度,建立適用度高、開放性強的工業領域數據安全標準體系。
(二)建設目標
到2024年,初步建立工業領域數據安全標準體系,有效落實數據安全管理要求,基本滿足工業領域數據安全需要,推進標準在重點行業、重點企業中的應用,研製數據安全國家、行業或團體標準 30 項以上。
到 2026 年,形成較爲完備的工業領域數據安全標準體系,全面落實數據安全相關法律法規和政策制度要求,標準的技術水平、應用效果和國際化程度顯著提高,基礎性、規範性、引領性作用凸顯,有力支撐工業領域數據安全重點工作,研製數據安全國家、行業或團體標準100 項以上。
二、主要內容
(一)體系框架
工業領域數據安全標準體系明確了總體框架,以及基礎共性、安全管理、技術和產品、安全評估與產業評價、新興融合領域、工業細分行業六個子體系內容。基礎共性、安全管理、技術和產品、安全評估與產業評價子體系聚焦工業領域具有共性的數據安全標準,新興融合領域、工業細分行業等兩個子體系重點突出特定業務場景的數據安全標準。
其中,基礎共性標準用於明確工業數據安全術語,包括術語定義、分類分級規則、識別認定、分級防護標準,爲各類標準研製提供基礎支撐。安全管理標準用於開展數據安全風險監測與應急處置、數據處理安全和組織人員管理,提供了覆蓋數據全生命週期的安全管理措施保障。技術和產品標準包括數據分類分級、數據安全防護、數據行爲防控、數據共享安全技術、產品標準,建立了工業領域數據安全的技術支撐體系。安全評估與產業評價標準用於支撐工業數據安全評估及數據安全產業評價工作,爲相關數據安全評估與產業評價提供了標準依據。新興融合領域標準旨在解決重點領域的數據安全問題,包括智能製造、工業互聯網領域數據安全標準。工業細分行業標準面向重點工業行業、領域的數據特點和安全需求,制定行業數據安全管理和技術標準規範。工業領域數據安全標準體系框架如圖1 所示。
(二)重點領域
1.基礎共性標準基礎共性標準是數據安全保護的基礎性、通用性、指導性標準,包括術語定義、分類分級規則、識別認定、分級防護標準。基礎共性標準子體系如圖2所示。
1.1 術語定義術語定義用於規範工業領域數據安全相關概念,爲其他標準的制定提供支撐,包括技術、規範、應用領域的相關術語、概念定義、相近概念之間的關係。
1.2 分類分級規則分類分級規則標準用於指導工業數據處理者開展工業數據分類分級工作。
1.3 識別認定識別認定標準用於指導工業數據處理者開展重要數據識別和認定工作。
1.4 分級防護分級防護標準用於指導工業數據處理者根據工業數據分類分級和識別認定結果,採取有針對性地防護措施。2.安全管理標準安全管理標準從數據安全框架的管理視角出發,指導工業數據處理者落實法律法規以及行業主管部門的管理要求,包括安全運營、數據處理安全、組織人員管理標準。安全管理標準子體系如圖 3 所示。
2.1 安全運營
安全運營標準用於規範工業領域安全運營,主要包括工業領域數據安全風險監測預警、監測接口、事件管理、事件分類分級、應急演練、應急預案與處置、信息上報與共享、數據容災備份管理等標準。
2.2 數據處理安全
數據處理安全標準用於規範工業數據使用、共享、出境處理活動安全要求,其中數據使用包括數據收集、傳輸、存儲、使用加工方面安全要求,數據共享包括提供、公開、轉移、委託處理方面安全要求。
2.3 組織人員管理
組織人員管理標準用於加強工業數據處理者組織機構建設,規範工業數據處理崗位和人員安全管理,推動組織和人員數據安全意識與能力提升,主要包括組織機構管理、關鍵崗位人員管理、數據安全從業人員能力要求標準。
3.技術和產品標準
技術和產品標準對數據安全關鍵技術和產品及其檢測要求進行規範,包括數據分類分級、數據安全防護、數據行爲防控、數據共享安全技術、產品標準。技術和產品標準子體系如圖 4 所示。
3.1 數據分類分級技術和產品
數據分類分級技術和產品標準用於規範數據資產發現、識別、標識、分析方面的技術、產品要求,主要包括數據分類分級、數據血緣分析、數據質量管理標準。
3.2 數據安全防護技術和產品
數據安全防護技術和產品標準用於規範數據收集、存儲、使用、加工、傳輸、銷燬方面技術、產品要求,主要包括數據防篡改、數據加密、數據脫敏、數據防泄漏、數據銷燬、數據恢復標準。
3.3 數據行爲防控技術和產品
數據行爲防控標準用於規範數據處理異常行爲識別、監測、態勢感知、安全審計、數據訪問控制方面的技術、產品要求,主要包括用戶行爲分析、數據流轉監測、數據安全態勢感知、安全審計、數據訪問控制、可信執行環境標準。
3.4 數據共享安全技術和產品
數據共享安全技術和產品標準用於規範數據提供、公開方面技術、產品要求,主要包括數據溯源、多方安全計算、聯邦學習、同態加密標準。
4.安全評估與產業評價標準
安全評估與產業評價標準用於支撐工業領域數據安全評估及產業評價,包括安全評估、產業評價標準。安全評估與產業評價標準子體系如圖 5 所示。
4.1 安全評估
安全評估標準用於指導評估機構開展數據安全風險評估、能力評估、出境安全評估工作,主要包括工業領域數據安全風險評估、數據安全能力評估、數據出境安全評估標準。
4.2 產業評價
產業評價標準用於數據安全產業、數據安全服務能力及產業競爭力評價,包括數據安全產業評價指標、數據安全服務機構能力評價、數據安全產業競爭力評價標準。
5.新興融合領域標準
新興融合領域標準主要用於規範工業相關新興融合領域的數據安全要求,包括智能製造、工業互聯網領域數據安全標準。新興融合領域標準子體系如圖6所示。
5.1 智能製造數據安全標準
智能製造數據安全標準用於規範智能製造場景下的數據安全,包括智能裝備、智能工廠、智能服務、智能賦能技術、智慧供應鏈數據安全標準。
5.2 工業互聯網數據安全標準
工業互聯網數據安全標準用於規範工業互聯網場景下的數據安全,包括工業互聯網終端和網絡、工業互聯網標識解析、工業互聯網邊緣計算、工業互聯網平臺、工業互聯網典型應用數據安全標準。
6.工業領域細分行業標準
根據基礎共性、安全管理、技術和產品、安全評估與產業評價標準,結合原材料、裝備、消費品、電子信息製造、民爆、節能與綜合利用、軟件和信息技術服務等重點工業行業、領域數據特點和安全需求,制定工業領域細分行業數據安全標準。工業領域細分行業標準子體系如圖7所示。
6.1 原材料工業
針對原材料工業中鋼鐵、有色、稀土、石化化工、建材等行業的數據安全特點、場景,提出原材料工業各行業數據分類分級、重要數據識別、數據安全防護重點標準。
6.2 裝備工業
針對裝備工業中汽車、民用飛機、民用船舶等行業的數據安全特點、場景,提出裝備工業各行業數據分類分級、重要數據識別、數據安全防護重點標準。
6.3 消費品工業
針對消費品工業中輕工、紡織等行業的數據安全特點、場景,提出消費品工業各行業數據分類分級、重要數據識別、數據安全防護重點標準。
6.4 電子信息製造業
針對電子信息製造業的數據安全特點、場景,提出電子信息製造業數據分類分級、重要數據識別、數據安全防護重點標準。
6.5 民爆
針對民爆行業的數據安全特點、場景,提出民爆行業數據分類分級、重要數據識別、數據安全防護重點標準。
6.6 節能與綜合利用
針對工業領域節能與綜合利用相關領域的數據安全特點、場景,提出節能與綜合利用數據分類分級、重要數據識別、數據安全防護重點標準。
6.7 軟件和信息技術服務業
針對軟件和信息技術服務業的數據安全特點、場景,提出軟件和信息技術服務業數據分類分級、重要數據識別、數據安全防護重點標準。
三、組織實施
一是加強統籌協調。工業和信息化部統籌推進工業領域數據安全標準體系建設,組織開展國家標準和行業標準制修訂工作,鼓勵支持開展高質量團體標準、企業標準制定與實施。加強各標準組織的協作配合以及各行業、各領域之間的協同推進。
二是加快任務落實。匯聚工業領域產學研用各方力量,大力推進重點急需標準研製。注重工業領域數據安全標準化工作與新技術新應用及行業優秀實踐的有機融合,建立完善標準試驗驗證平臺與環境,提升標準的實用性。緊密圍繞技術和產業發展趨勢,適時修訂標準體系和相關標準。
三是強化宣貫實施。鼓勵各地主管部門、有關行業協會、聯盟、標準化技術組織、專業機構通過多種渠道宣傳工業領域數據安全標準化成果,有針對性地開展專題培訓,引導企業開展貫標達標工作,推動標準落地實施和應用推廣。
四是加強國際合作。積極與國外數據安全、工業互聯網、智能製造相關組織開展標準化交流與合作,支持企事業單位參與國際電信聯盟(ITU)、國際標準化組織(ISO)、國際電工委員會(IEC)國際標準化活動,推動相關國際標準制定。
本文編選自“工信部”官網,智通財經編輯:汪婕。
