电信和互联网行业数据安全标准体系建设指南.docxVIP

电信和互联网行业数据安全标准体系建设指南 2020年7月 目录 TOC \o "1-3" \h \z \u 前言 1 一、 建设思路及目标 2 （一） 总体思路 2 （二） 基本原则 2 （三） 建设目标 3 二、 建设内容 3 （一） 数据安全标准体系框架 3 （二） 数据安全重点标准化领域及方向 6 1.基础共性标准 6 2.关键技术标准 7 3.安全管理标准 9 4.重点领域标准 12 三、 组织实施 15 附件1术语定义 17 附件2数据安全相关标准项目明细表 20 PAGE PAGE 4 前言 随着信息技术和人类生产生活交汇融合，全球数据呈现爆发增长、海量聚集的特点，大数据产业正值活跃发展期，技术演进和应用创新并行加速推进，数据资源已成为国家基础战略性资源和社会生产的创新要素。当前，我国电信和互联网行业高速发展，汇聚大量数据，在释放数字经济发展潜力、促进数字经济加快成长的同时，面临严峻的安全风险。这要求我们深刻认识数据安全的重要性和紧迫性，坚持安全与发展并重，积极应对复杂严峻的安全风险与挑战，加速构建数据安全保障体系。 “安全发展、标准先行”，标准化工作是保障数据安全的重要基础。为落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求，指导电信和互联网行业数据安全标准化工作，工业和信息化部组织制定了《电信和互联网行业数据安全标准体系建设指南》（以下简称《建设指南》）。《建设指南》充分发挥标准的基础引领作用，明确行业标准顶层设计，加强行业标准统筹协调，为保障电信和互联网行业数据安全、促进数据合理有序流动、助力数字经济高质量发展提供有力支撑。 建设思路及目标 总体思路 以习近平新时代中国特色社会主义思想为指导，全面贯彻党的十九大和十九届二中、三中、四中全会精神，落实《中华人民共和国网络安全法》《全国人民代表大会常务委员会关于加强网络信息保护的决定》《电信和互联网用户个人信息保护规定》等法律法规要求，充分发挥标准在保障数据安全、推动行业健康有序发展中的支撑和引领作用，有效建立电信和互联网行业数据安全标准体系。加强标准的统筹规划，做好与国家标准、相关领域行业标准的衔接工作，鼓励创新技术成果向标准转化，强化标准的实施与应用，加强标准的国际交流与合作，提升标准对数据安全保护的整体支撑作用，为数字经济高质量发展保驾护航。 基本原则 统筹规划，全面布局。结合电信和互联网行业技术、产业发展现状及特点，发挥行业主管部门在顶层设计、组织协调和政策制定等方面的重要作用，制定政府引导和市场驱动相结合的标准体系建设方案，建立适合电信和互联网行业整体情况的数据安全标准体系。 基础先立，急用先行。从数据安全管理工作的重点和难点出发，确定电信和互联网行业数据安全标准体系建设的重点领域，加快基础共性、关键技术、安全管理类标准的研究制定。在此基础上，综合考虑相关重要领域的数据安全现状及面临的风险和挑战，加快推进急需标准项目的研究制定。 多方参与，协同合作。在标准制定过程中聚集电信运营企业、互联网企业、设备提供商、安全企业、科研院所、高校等产业界、学术界多方力量，充分凝聚共识，研究制定电信和互联网行业数据安全相关标准，完善标准研制、应用的全生命周期管理。统筹运用行业资源，充分发挥企业在技术创新、产品开发、示范引领等标准研究与应用方面的主体作用，组织协调相关单位积极参与国际标准的制定、交流与合作。 建设目标 到2021年，初步建立电信和互联网行业数据安全标准体系，有效落实数据安全管理要求，基本满足行业数据安全保护需要，推进标准在重点企业、重点领域中的应用，研制数据安全行业标准20项以上。 到2023年，健全完善电信和互联网行业数据安全标准体系，标准技术水平、应用水平和国际化水平显著提高，有力促进行业数据安全保护能力提升，研制数据安全行业标准50项以上。 建设内容 数据安全标准体系框架 电信和互联网行业数据安全标准体系包括基础共性、关键技术、安全管理、重点领域四大类标准。基础共性标准包括术语定义、数据安全框架、数据分类分级，相关标准为各类标准提供基础性支撑。关键技术标准从数据采集、传输、存储、处理、交换、销毁等数据全生命周期维度对数据安全关键技术进行规范。安全管理标准从数据安全保护的管理视角出发，指导行业有效落实法律法规关于数据安全管理的要求，包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。重点领域标准结合相关领域的实际情况和具体要求，指导行业有效开展重点领域数据安全保护工作。数据安全标准体系框架如图1所示。 PAGE PAG