顶层架构推动数据安全标准体系建设。2025年9月16日,为支撑落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规政策要求,建立健全数据安全和个人信息保护标准体系,充分发挥标准对重点工作、产业发展、风险防范的基础性、规范性和引领性作用,经征求各相关方意见建议,全国网络安全标准化技术委员会秘书处组织编制完成并发布了《数据安全国家标准体系(2025版)》。近年来,随着我国数据安全政策法规体系日趋完善,对数据安全标准化工作提出更高要求。《数据安全法》更明确提出“国家推进数据开发利用技术和数据安全标准体系建设”,体现了开展数据安全标准体系建设工作的重要性。《数据安全国家标准体系(2025版)》将更好指导下一步数据安全国家标准研制,为有效保障数据安全、促进数字经济高质量发展提供安全标准依据。炼石网络参考本标准体系,以图文形式制作《数据安全国标全景图(2025版)》,并提供已公开标准文件打包下载,以供产业人士参考。
统筹高质量发展和高水平安全。标准的编制原则,需坚持总体国家安全观,深入落实法律法规及政策文件要求,建立健全数据安全国家标准体系。第一,统筹规划,全面布局,统筹高质量发展和高水平安全,以标准“快、优、强”为导向,建立健全支撑数据安全政策法规落地、规范引导产业高质量发展的数据安全国家标准体系;第二,基础先立,急用先行,加快数据分类分级保护、数据安全技术等基础通用标准制定,聚焦产业发展难题和安全风险隐患,加强标准和实践指南供给,推进重点急需标准研制;第三,注重实效,开放兼容,健全标准化工作机制,强化标准影响力和应用效果,积极开展国际交流合作,对接国际高标准经贸规则,推动具有先进技术成果的标准“走出去”,并促进国际标准落地应用,有效保障数据安全,护航数字经济高质量发展。
六大维度全面构建数据安全合规体系。依据国家政策法规,结合国家数据安全管理、企业能力提升、技术产业发展、风险防范及国际标准转化等需求,数据安全国家标准体系以数据为核心、以数据分类分级保护为基础,覆盖数据收集、存储、使用、加工、传输、提供、公开、删除等全流程处理活动,标准化对象涉及组织、产品、服务、系统、技术、管理、活动等。该体系由六大类标准构成:基础共性标准作为体系基础,明确术语、数据分类分级保护等通用规则;数据安全技术和产品标准规定技术及产品的框架、规范和指南;数据安全管理标准明确数据处理活动安全、管理及运营的要求与方法;数据安全服务标准规范检测评估、监督检查、安全认证及规划咨询等服务;产品和服务数据安全标准聚焦特定系统平台与产品服务的安全风险,明确其安全要求;行业与应用数据安全标准则在上述标准基础上,面向重点行业领域和技术应用开展研制。
图:数据安全国家标准体系框架
持续构建多层数据安全国家标准体系。下一步工作将从四个方面展开,一是按照政策法规要求和产业发展需要,持续完善以国家标准为核心、技术文件和实践指南为配套、应用案例和研究报告为补充的多层数据安全国家标准体系;二是针对数据安全重点工作及突出问题,以标准“快、优、强”为目标,加快研制电子产品信息清除技术要求等强制性国家标准及配套文件,推进数据安全保护要求、网络数据自动化工具收集、数据提供/委托处理/共同处理、数据安全能力成熟度(修订)等重点标准出台;三是聚焦数据安全标准供给需求,开展数据安全术语、数据库联网应用安全、汽车数据出境安全、数据接口安全、数据标签标识技术、数据共享安全技术等标准或实践指南研制,并结合行业领域和地方区域需求推进特色数据安全标准文件建设;四是着力提升数据安全标准应用效果,加强对数据分类分级、数据安全风险评估、数据安全能力等已发布标准的推广应用,建立配套重点标准实施的技术文件、实践指南和应用工具,构建数据安全国家标准应用实践案例库,深入重点行业领域和地方区域开展贯标应用。
关注本公众号并后台回复关键词“炼石就是数据安全199”,即可打包下载《数据安全国家标准全景图(2025版)》及45项数据安全国标文件。
原创声明:本文图解图片皆为原创,版权为炼石网络所有,如需转载请关注公众号回复“转载”,或在文章下方留言。
注:欢迎业界同仁反馈改进、共同完善、交流合作,信息反馈请发送邮件至:[email protected]。
内容参考来源:全国网络安全标准化技术委员会官网.
https://www.tc260.org.cn/front/postDetail.html?id=20250915154109
01
标准体系主要内容
基础共性标准为数据分类分级保护制度、标准体系中其他部分标准制定提供基础支撑,包括术语、数据安全参考架构、数据分类分级、数据安全保护四个子类标准,如下图所示。
图:基础共性标准
1.术语
主要规范数据安全相关概念和术语定义,标准的术语定义应与数据安全政策法规的概念描述保持一致。
2.数据安全参考架构
主要描述数据安全的基本要素、安全框架、参考架构、角色模型等相关的标准。
3.数据分类分级
主要规定数据分类分级的规则和方法,给出重要数据识别的指南、目录、细则等。一方面,该类标准需明确数据分6类分级的原则、框架、方法和流程,给出通用的重要数据识别指南,用于指导各行业领域、各地区、各部门、各单位开展数据分类分级工作;另一方面,该类标准可结合不同行业领域重要数据相关标准需求,明确特定行业领域的重要数据识别的指南、目录、细则等相关内容。
4.数据安全保护
在数据分类分级标准的基础上,明确数据安全保护总则,规定一般数据、重要数据、核心数据的基本安全保护要求,建立与保护要求配套的具体措施标准规范。
主要明确数据安全技术及产品的框架、规范和指南,包括数据资源管理技术和产品、数据全生命周期保护技术和产品、数据流通安全技术和产品、数据处理行为安全技术和产品、其他等五个子类标准。由于数据安全技术与网络安全技术存在交叉重合,标准制定时要充分考虑现有网络安全技术产品标准是否可满足相应标准需求。如下图所示。
图:数据安全技术和产品标准
1.数据资源管理技术和产品
主要针对数据资源管理相关的技术、产品和工具,明确敏感数据识别、自动分类分级、数据标签标识、数据资产管理等方面的技术框架、产品规范、测评方法、应用指南等。
2.数据全生命周期保护技术和产品
主要针对数据全生命周期保护相关的技术、产品和工具,明确数据备份、恢复、删除、加密、脱敏等方面的防护技术框架、产品规范、测评方法、应用指南等。
3.数据流通安全技术和产品
主要针对数据跨组织共享、流通的安全技术、产品和工具,明确机密计算、可信执行环境、多方安全计算、联邦学习、数据沙箱、区块链和智能合约、数据空间、水印溯源等数据流通安全的技术框架、产品规范、测评方法、应用指南等。
4.数据处理行为安全技术和产品
主要围绕数据处理异常行为识别、访问控制、态势感知、安全审计等数据处理行为防控技术、产品和工具,明确相关技术指南、产品规范、测评方法等。
5.其他
主要明确数据安全产品分类,及其他数据安全技术和产品相关技术框架、产品规范、测评方法、应用指南等。
数据安全管理标准主要用于明确数据处理活动安全、数据安全管理和运营的要求、方法和指南,包括数据处理活动安全、数据出境安全、数据安全运营、数据安全组织和人员等四个子类,如下图所示。
图:数据安全管理标准
1.数据处理活动安全
主要针对数据收集、存储、使用、加工、传输、提供、公开、删除等全流程数据处理活动,明确数据处理活动安全的要求和指南。
2.数据出境安全
主要围绕数据出境的安全合规需求,明确相关方在数据出境和安全管理方面的要求和指南,也可结合各行业领域数据出境特定需求,明确行业领域数据出境安全保护细则。
3.数据安全运营
主要围绕数据安全运营相关的识别、防护、监测、响应等活动,明确数据安全的监测预警、应急处置、溯源取证等方面的技术指南、安全要求。同时,由于部分网络安全标准涉及数据安全运营内容,该类标准制定时要充分考虑与现有网络安全标准的关系。
4.数据安全组织和人员
主要围绕数据安全组织和人员的管理需求,明确数据安全的组织、负责人、从业人员等方面的管理要求、责任划分和能力建设指南。
数据安全服务标准主要聚焦数据安全检测、评估和认证,以及数据安全规划咨询、建设运维等服务的标准化需求,包括数据安全风险评估、数据安全能力评价、数据安全管理认证、数据安全服务机构、规划咨询与建设运维服务、其他等六个子类,如下图所示。
图:数据安全服务标准
1.数据安全风险评估
主要围绕数据安全风险评估,明确评估的方法、流程、内容和要求等。
2.数据安全能力评价
主要围绕数据安全能力建设和评价需求,明确数据安全能力模型、治理体系、评价指标和方法等。
3.数据安全管理认证
主要针对数据安全管理认证的工作需求,明确认证的依据标准和评价指标。
4.数据安全服务机构
主要结合数据安全服务机构和人员的管理需求,规范数据安全服务机构和人员能力等方面内容。
5.规划咨询与建设运维服务
主要给出数据安全规划咨询与建设运维服务相关规范,如合规风险防控、安全体系设计等规划咨询服务,以及监测预警、应急响应、安全审计等建设运维服务。
6.其他
主要围绕上述类别之外的其他数据安全服务的标准化需求,明确相关服务规范等,如数据安全保险、数据安全托管、数据权益保护等。
产品和服务数据安全标准在基础共性、数据安全技术和产品、数据安全管理三类标准之上,聚焦特定系统平台和产品服务的数据安全风险,明确典型系统、平台、产品、服务的数据安全要求和指南。该类标准包括数据产品和服务安全、数据系统和组件安全、典型产品数据安全、网络平台服务数据安全、其他等五个子类,如下图所示。
图:产品和服务数据安全标准
1.数据产品和服务安全
主要针对数据产品和服务开展安全标准研制,明确数据产品、数据服务的安全要求和指南,如数据产品、大数据服务、数据交易服务、金融信息服务等。
2.数据系统和组件安全
主要针对提供数据收集、存储、传输、加工等处理功能的常见系统或组件,结合其突出的风险问题,明确数据库、数据接口、大数据平台等系统或组件的安全要求和指南。
3.典型产品数据安全
主要针对典型ICT产品的数据安全需求,规范ICT产品的数据安全要求或指南,例如电子产品信息清除等。
4.网络平台服务数据安全
主要针对即时通信、快递物流、网上购物、网络支付、网络音视频、网络约车等典型网络平台服务的数据安全需求,明确相关数据安全要求和指南。
5.其他
主要针对其他与数据处理紧密相关的系统平台、产品服务,明确其数据安全要求和指南,如数据中心、云计算服务等。
行业与应用数据安全标准位于数据安全标准体系的最顶层,是在其他标准的基础上,面向重点行业领域和技术应用开展数据安全标准研制。包括行业领域数据安全、技术应用数据安全两个子类。行业领域数据安全包括工业、电信、交通、金融、自然资源、卫生健康、教育、科技、公共服务等数据安全标准,技术应用数据安全包括人工智能、无人机等数据安全标准,如下图所示。
图:行业与应用数据安全标准
1.行业领域数据安全
主要针对特定行业领域的数据安全需求,给出行业领域数据安全标准,如工业、电信、交通、金融、自然资源、卫生健康、教育、科技、公共服务、汽车等。
2.技术应用数据安全
主要聚焦技术应用的数据安全风险隐患,研制特定技术应用的数据安全标准,如人工智能、无人机等。
公众号可以设置星标啦!
没有被设置"星标⭐️"的微信公众号收到的推送极其有限,时间也会大大延迟请大家动动小手,点击主页右上角的“…”
为我们点亮星标⭐️就可以第一时间收到我们的推送了
炼石网络创立于2015年2月,是一家以“免改造”为创新特色的数据安全产品厂商,国家级专精特新“小巨人”企业,先后获得安天、国科嘉和、腾讯、重庆科技成果转化基金、朗玛峰创投等投资。炼石自研可灵活挂载多重安全能力的免改造平台,帮政企客户打造领先的数据安全保护体系,同时敏捷交付国密合规改造。炼石已交付超两百家行业头部客户,产品已生产级部署在政府、金融、交通、电信、医疗、教育、工业、能源、商业等行业用户广泛的关键应用系统,当前实时保护着超千套应用、十多亿人口信息、数千亿条敏感数据,保障数据监管合规,促进数据有序流通。
微信号:炼石网络CipherGateway
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...