為深入貫徹落實《中華人民共和國數據安全法》《中華人民共和國網絡安全法》等法律法規要求,建立健全工業領域數據安全標準體系,我們組織編制完成了《工業領域數據安全標準體系建設指南(2023版)》(征求意見稿)(見附件1)。

  現公開征求社會各界意見,如有意見或建議,請填寫《征求意見反饋信息表》(見附件2)發送至 KJBZ@miit.gov.cn (郵件主題注明:工業領域數據安全標準體系建設指南征求意見反饋)。

  公示時間:2023年5月22日-2023年6月22日

  聯系電話:010-68205261

  附件:1.工業領域數據安全標準體系建設指南(2023版)(征求意見稿).doc 下載

  2.征求意見反饋信息表.doc 下載


  工業和信息化部科技司

  2023年5月22日

  工業領域數據安全標準體系

  建設指南(2023版)

 ?。ㄕ髑笠庖姼澹?/strong>

 

  一、總體要求

  以習近平新時代中國特色社會主義思想為指導,全面貫徹黨的二十大精神,深入落實《中華人民共和國數據安全法》《中華人民共和國網絡安全法》等法律法規要求,建立健全工業領域數據安全標準體系,加快彌補關鍵基礎標準短板,強化重點急需標準供給,著力推動標準應用實施和國際標準化工作,有效支撐工業領域數字化轉型,護航數字經濟高質量發展。

 ?。ㄒ唬┗驹瓌t

  統籌規劃,全面布局。統籌標準化工作資源,結合工業領域技術和產業發展現狀及特點,以滿足工業領域數據安全保障需求為目標,堅持政府引導和市場驅動相結合,建立健全工業領域數據安全標準體系。

  需求引導,多層構建。結合不同行業工業數據安全標準化需求,在體現工業領域數據安全共性的基礎上,突出工業領域和各垂直行業所具有的個性,形成以國家標準為基礎、行業標準為主體、團體標準為補充的標準化工作格局,推動構建各類標準銜接有序、融合發展的多層次標準架構。

  基礎先立,急用先行。圍繞工業領域數據安全工作重點和難點,加快數據分類分級、重要數據識別、分級防護基礎共性標準的制定發布。綜合考慮工業領域數據安全現狀及面臨的風險挑戰,加快推進重點急需標準的研究制定。

  注重實效,開放合作。加強標準與法規政策的配套承接,組織開展標準宣貫培訓、對標達標和實施監督,提升標準應用實踐成效。積極開展國際交流合作,加大國際標準化工作參與力度,建立適用度高、開放性強的工業領域數據安全標準體系。

  (二)建設目標

  到2024年,初步建立工業領域數據安全標準體系,有效落實數據安全管理要求,基本滿足工業領域數據安全需要,推進標準在重點行業、重點企業中的應用,研制數據安全國家、行業或團體標準30項以上。

  到2026年,形成較為完備的工業領域數據安全標準體系,全面落實數據安全相關法律法規和政策制度要求,標準的技術水平、應用效果和國際化程度顯著提高,基礎性、規范性、引領性作用凸顯,貫標工作全面開展,有力支撐工業領域數據安全重點工作,研制數據安全國家、行業或團體標準100項以上。

  二、主要內容

 ?。ㄒ唬w系框架

  工業領域數據安全標準體系由基礎共性、安全管理、技術產品、安全評估與產業評價、新興融合領域、垂直行業六大類標準組成。其中,基礎共性標準用于明確工業數據安全術語,包括術語定義、分類分級規則、識別認定、分級防護標準,為各類標準研制提供基礎支撐。安全管理標準用于開展數據安全風險監測與應急處置、數據處理安全和組織人員管理。技術產品標準包括數據分類分級、數據安全防護、數據行為防控、數據共享安全技術、產品標準。安全評估與產業評價標準用于支撐工業數據安全評估及數據安全產業評價工作。新興融合領域標準包括智能制造、工業互聯網領域數據安全標準。垂直行業標準面向重點工業行業、領域的數據特點和安全需求,制定行業數據安全管理和技術標準規范。工業領域數據安全標準體系框架如圖1所示。

圖片

  圖1 工業領域數據安全標準體系框架

 ?。ǘ┲攸c領域

  1.基礎共性標準

  基礎共性標準是數據安全保護的基礎性、通用性、指導性標準,包括術語定義、分類分級規則、識別認定、分級防護標準?;A共性標準子體系如圖2所示。

圖片

  圖2 基礎共性標準子體系

  1.1 術語定義

  術語定義用于規范工業數據安全相關概念,為其他標準的制定提供支撐,包括技術、規范、應用領域的相關術語、概念定義、相近概念之間的關系。

  1.2 分類分級規則

  分類分級規則標準用于指導工業數據處理者開展工業數據分類分級工作。

  1.3 識別認定

  識別認定標準用于指導工業數據處理者開展重要數據識別和認定工作。

  1.4 分級防護

  分級防護標準用于指導工業數據處理者根據工業數據分類分級和識別認定結果,采取有針對性地防護措施。

  2.安全管理標準

  安全管理標準從數據安全框架的管理視角出發,指導工業數據處理者落實法律法規以及行業主管部門的管理要求,包括風險監測與應急處置、數據處理安全、組織人員管理標準。安全管理標準子體系如圖3所示。

  圖片

  圖3 安全管理標準子體系

  2.1 風險監測與應急處置

  風險監測與應急處置標準用于規范工業數據安全風險監測與應急處置,主要包括工業數據安全風險監測預警、監測接口、事件管理、事件分類分級、應急預案與處置、信息上報與共享、數據容災備份標準。

  2.2 數據處理安全

  數據處理安全標準用于規范工業數據使用、共享、出境處理活動安全要求,其中數據使用包括數據收集、存儲、使用加工方面安全要求,數據共享包括提供、公開、轉移、委托處理方面安全要求。

  2.3 組織人員管理

  組織人員管理標準用于加強工業數據處理者組織機構建設,規范工業數據處理崗位和人員安全管理,推動組織和人員數據安全意識與能力提升,主要包括組織機構管理、關鍵崗位人員管理、數據安全從業人員能力要求標準。

  3.技術產品標準

  技術產品標準對數據安全關鍵技術和產品及其檢測要求進行規范,包括數據分類分級、數據安全防護、數據行為防控、數據共享安全技術、產品標準。技術產品標準子體系如圖4所示。

 圖片

  圖4 技術產品標準子體系

  3.1 數據分類分級技術產品

  數據分類分級技術產品標準用規范數據資產盤點、標識、分析方面技術產品要求,主要包括數據分類分級、數據血緣分析、數據質量管理標準。

  3.2 數據安全防護技術產品

  數據安全防護技術產品標準用于規范數據收集、存儲、使用、加工、傳輸方面技術產品要求,主要包括數據防篡改、數據加密、數據脫敏、數據防泄漏、數據銷毀、數據恢復、可信執行環境標準。

  3.3 數據行為防控技術產品

  數據行為防控標準用于規范數據處理異常行為識別、監測、態勢感知、安全審計方面技術產品要求,主要包括用戶行為分析、數據流轉監測、數據安全態勢感知、安全審計標準。

  3.4 數據共享安全技術產品

  數據共享安全技術產品標準用于規范數據提供、公開方面技術產品要求,主要包括數據溯源、多方安全計算、聯邦學習標準。

  4.安全評估與產業評價標準

  安全評估與產業評價標準用于支撐工業數據安全評估及產業評價,包括安全評估、產業評價標準。安全評估與產業評價標準子體系如圖5所示。

圖片

  圖5 安全評估與產業評價標準子體系

  4.1 安全評估

  安全評估標準用于指導評估機構開展數據安全風險評估能力評估、出境安全評估工作,主要包括工業數據安全風險評估、數據安全能力評估、數據出境安全評估標準。

  4.2 產業評價

  產業評價標準用于數據安全產業、數據安全服務能力及產業競爭力評價,包括數據安全產業評價指標、數據安全服務機構能力評價、數據安全服務能力要求、數據安全產業競爭力評價標準。

  5.新興融合領域標準

  新興融合領域標準主要用于規范工業相關新興融合領域的數據安全要求,包括智能制造、工業互聯網領域數據安全標準。新興融合領域標準子體系如圖6所示。

圖片

  圖6 新興融合領域標準子體系

  5.1 智能制造數據安全標準

  智能制造數據安全標準用于規范智能制造場景下的數據安全,包括智能裝備、智能工廠、智能服務、智能賦能技術、智慧供應鏈數據安全標準。

  5.2 工業互聯網數據安全標準

  工業互聯網數據安全標準用于規范工業互聯網場景下的數據安全,包括工業互聯網企業、工業互聯網終端和網絡、工業互聯網標識解析、工業互聯網邊緣計算、工業互聯網平臺、工業互聯網典型應用數據安全標準。

  6.垂直行業標準

  根據基礎共性、安全管理、技術產品、安全評估與產業評價標準,結合原材料、裝備、消費品、電子信息制造、安全生產、節能與綜合利用、軟件和信息技術服務重點工業行業、領域數據特點和安全需求,制定垂直行業數據安全標準。垂直行業標準子體系如圖7所示。

圖片

  圖7 垂直行業標準子體系

  6.1 原材料工業

  針對原材料工業中鋼鐵、有色、稀土、石化化工、建材行業的數據安全特點、場景,提出原材料工業各行業數據分類分級、重要數據識別、數據安全防護重點標準。

  6.2 裝備工業

  針對裝備工業中汽車、民用飛機、民用船舶行業的數據安全特點、場景,提出裝備工業各行業數據分類分級、重要數據識別、數據安全防護重點標準。

  6.3 消費品工業

  針對消費品工業中輕工、紡織行業的數據安全特點、場景,提出消費品工業各行業數據分類分級、重要數據識別、數據安全防護重點標準。

  6.4 電子信息制造業

  針對電子信息制造業的數據安全特點、場景,提出電子信息制造業數據分類分級、重要數據識別、數據安全防護重點標準。

  6.5 安全生產

  針對民爆工業領域安全生產相關行業的數據安全特點、場景,提出民爆行業數據分類分級、重要數據識別、數據安全防護重點標準。

  6.6 節能與綜合利用

  針對工業領域節能與綜合利用相關行業的數據安全特點、場景,提出節能與綜合利用數據分類分級、重要數據識別、數據安全防護重點標準。

  6.7 軟件和信息技術服務業

  針對軟件和信息技術服務業的數據安全特點、場景,提出軟件和信息技術服務業數據分類分級、重要數據識別、數據安全防護重點標準。

  三、組織實施

  一是加強統籌協調。工業和信息化部統籌推進工業領域數據安全標準體系建設,組織開展國家標準和行業標準制修訂工作,鼓勵支持企業、研究機構、高院校、行業協會和聯盟不同主體開展團體標準、企業標準的制定、應用和轉化。加強各標準組織的協作配合,以及各行業、各領域之間的協同推進。

  二是加快任務落實。匯聚工業領域產學研用各方力量,大力推進重點急需標準研制。注重工業領域數據安全標準化工作與新技術新應用及行業優秀實踐的有機融合,建立完善標準試驗驗證平臺與環境,提升標準的實用性。緊密圍繞技術和產業發展趨勢,適時修訂標準體系和相關標準。

  三是強化宣貫實施。鼓勵各地主管部門、有關行業協會、聯盟、標準化技術組織、專業機構通過多種渠道宣傳工業領域數據安全標準化成果,有針對性地開展專題培訓,引導企業開展貫標達標工作,推動標準落地實施和應用推廣。

  四是加強國際合作。積極與國外數據安全、工業互聯網、智能制造相關組織開展標準化交流與合作,支持企事業單位參與國際電信聯盟(ITU)、國際標準化組織(ISO)、國際電工技術委員會(IEC)國際標準化活動,推動相關國際標準的制定。

  附件:

  1.工業領域數據安全已發布和制定中標準明細

  2.工業領域數據安全擬研制標準重點

  附件1

  工業領域數據安全已發布和制定中標準細則

圖片

 

  附件2

  工業領域數據安全擬研制標準重點圖片

圖片