《网络数据安全标准体系建设指南》
编制说明
为落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求,有效提升电信和互联网行业网络数据安全保护能力,充分发挥标准在保障网络数据安全、推动行业健康有序发展中的引领和支撑作用,助力数字经济高质量发展,我们组织中国信息通信研究院、中国通信标准化协会等单位成立起草组,在深入研究、充分征求意见的基础上,起草了《网络数据安全标准体系建设指南》(以下简称《建设指南》)。现就有关编制情况说明如下:
一、编制背景和必要性
(一)当前网络数据安全面临的形势和挑战
当前,我国电信和互联网行业高速发展,汇聚大量网络数据,在释放数字经济发展潜力、促进数字经济加快成长的过程中,面临着严峻的安全形势。数据泄露事件频繁发生,过度收集、滥用用户个人信息问题大量存在,非法数据共享与交易带来的安全挑战愈加严峻,国家重要数据资源流失风险不容忽视。由于网络数据资源与传统资源不同,具有流动特性,需要切实加强网络数据全生命周期的各个环节的安全保护,针对各应用领域和业务场景下的不同特点,形成闭环安全管理模式,有效保护用户合法权益,切实维护国家重要数据安全。
(二)网络数据安全标准化工作存在的问题
结合当前网络数据安全面临的形势和挑战,梳理近年来已发布和制定中的百余项网络数据安全相关标准,目前网络数据安全标准化工作仍存在以下问题:一是标准体系性不强,标准制定工作缺乏统筹协调,术语定义、分类分级等基础性标准尚不完善。二是部分关键标准亟需制定,数据安全评估、重要数据保护等重点标准进展缓慢。三是部分重点领域相关标准仍存在空白,网络数据安全标准对5G、移动互联网、车联网、物联网、工业互联网、云计算、大数据、人工智能、区块链等重点领域高质量发展的支撑作用有待加强。
(三)网络数据安全标准体系建设的重要意义
结合电信和互联网行业特点,立足我部管规划、管政策、管标准的职责定位,通过标准体系的顶层设计,制定政府引导和市场驱动相结合的网络数据安全标准体系建设方案,加强标准制定工作的统筹协调,对近期拟出台的一系列网络数据安全相关法律法规的管理要求进行补充和细化,为行业网络数据安全管理提供有力支撑,促进行业高质量发展。
二、编制过程
2018年11月,我们启动了《建设指南》的编制工作,并组织中国信息通信研究院、中国通信标准化协会、基础电信企业、重点互联网企业、安全企业等单位成立起草组。起草组深入分析行业网络数据安全管理面临的形势和问题,结合电信和互联网行业特点,兼顾国家标准体系,梳理网络数据安全标准化现状、需求及下一步重点推进工作,形成电信和互联网行业网络数据安全标准体系框架。
2019年1月和4月,在部科技司和网络安全管理局的指导下,起草组先后两次召开专题研讨会,来自高校、科研院所、基础电信企业、互联网企业、安全企业等单位的标准化专家参与了会议。与会专家对《建设指南》的体系框架、层级、内容等方面提出了多项建设性修改建议,起草组充分吸收与会专家意见,对《建设指南》进行了修改完善。
2019年5月和10月,中国通信标准化协会网络与信息安全技术工作委员会数据安全特设标准项目组先后两次召开会议,组织相关会员单位对《建设指南》进行研究讨论。根据讨论结果,起草组对《建设指南》进行了进一步修改完善。
2019年11月和2020年3月,部网络安全管理局分别向部分重点企业、科研院所以及行业专家书面征求意见,共收到51条修改意见建议。起草组经认真研究,对其中49条意见建议进行吸收采纳,最终形成《建设指南》。
三、主要内容
《建设指南》包括建设思路及目标、建设内容、组织实施三个部分。一是建设思路及目标。明确了标准体系建设的总体思路、基本原则、建设目标。二是建设内容。提出了网络数据安全标准体系框架、重点标准化领域及方向,具体为基础共性、关键技术、安全管理、重点领域四大类标准。其中,基础共性标准包括术语定义、数据安全框架、数据分类分级,可为各类标准制定提供基础性支撑。关键技术标准从数据采集、传输、存储、处理、交换、销毁等数据全生命周期维度对数据安全技术进行规范。安全管理标准从网络数据安全框架的管理视角出发,指导行业有效落实相关法律法规对网络数据安全管理的要求,包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等标准。重点领域标准结合相关领域的实际情况和数据安全保护的具体要求,指导行业有效开展重要领域网络数据安全保护工作。三是组织实施。通过实施动态更新、推进标准研制、加强宣贯实施、加强国际合作四方面工作,为做好网络数据安全标准化工作提供坚实保障。此外,《建设指南》还对术语定义和已发布、制定中、拟制定的网络数据安全相关标准进行了梳理。
