通知中2025年度第一批網(wǎng)絡(luò)安全國(guó)家標(biāo)準(zhǔn)需求清單共30項(xiàng)���,其中數(shù)據(jù)安全技術(shù)國(guó)標(biāo)有8項(xiàng)��,這些標(biāo)準(zhǔn)的制定與修訂將進(jìn)一步完善我國(guó)的數(shù)據(jù)安全治理體系���,主要內(nèi)容包含了以下幾個(gè)方面:(一)是對(duì)《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》《個(gè)人信息保護(hù)合規(guī)審計(jì)辦法》《個(gè)人信息保護(hù)法》等法律法規(guī)全面對(duì)接,提升標(biāo)準(zhǔn)的指導(dǎo)性和實(shí)用性�����。(二)是針對(duì)小型個(gè)人信息處理者的特殊性���,制定專門(mén)的個(gè)人信息保護(hù)原則�����。(三)是進(jìn)一步規(guī)范數(shù)據(jù)提供����、委托處理�、共同處理等復(fù)雜數(shù)據(jù)處理活動(dòng)等數(shù)據(jù)安全要求。(四)是明確個(gè)人信息保護(hù)合規(guī)審計(jì)服務(wù)能力要求����,推動(dòng)數(shù)據(jù)安全產(chǎn)品分類標(biāo)準(zhǔn)化。(五)是推動(dòng)解決數(shù)據(jù)安全領(lǐng)域人才短缺與能力參差不齊的問(wèn)題�����。
數(shù)據(jù)安全技術(shù)國(guó)標(biāo)需求清單重點(diǎn)內(nèi)容梳理
01 修訂一:《數(shù)據(jù)安全技術(shù) 個(gè)人信息安全規(guī)范》
GB/T 35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》2020-03-06發(fā)布�����,2020-10-01實(shí)施��,代替GB/T 35273-2017《信息安全技術(shù)個(gè)人信息安全規(guī)范》��,標(biāo)準(zhǔn)針對(duì)個(gè)人信息面臨的安全問(wèn)題,根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》等相關(guān)法律�,規(guī)范個(gè)人信息控制者在收集、存儲(chǔ)����、使用、共享�����、轉(zhuǎn)讓����、公開(kāi)披露等信息處理環(huán)節(jié)中的相關(guān)行為。
主要內(nèi)容:本標(biāo)準(zhǔn)擬修訂GB/T 35273-2020《信息安全技術(shù) 個(gè)人信息安全規(guī)范》�����,根據(jù)《個(gè)人信息保護(hù)法》等法律法規(guī)最新要求�,吸納主管監(jiān)管部門(mén)開(kāi)展個(gè)人信息保護(hù)工作中的相關(guān)經(jīng)驗(yàn),與現(xiàn)行法律法規(guī)配套銜接��。
擬解決問(wèn)題:擬支撐《個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》《個(gè)人信息保護(hù)合規(guī)審計(jì)辦法》等法律法規(guī)落地實(shí)施,提升標(biāo)準(zhǔn)在個(gè)人信息保護(hù)工作中的指導(dǎo)性和實(shí)用性,為個(gè)人信息安全提供更全面的保障�����。
02 修訂二:《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》
GB/T37988—2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》2019-08-30發(fā)布��,2020-03-01實(shí)施���,標(biāo)準(zhǔn)給出了組織數(shù)據(jù)安全能力的成熟度模型架構(gòu),規(guī)定了數(shù)據(jù)采集安全���、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全����、數(shù)據(jù)處理安全���、數(shù)據(jù)交換安全�����、數(shù)據(jù)銷毀安全��、通用安全的成熟度等級(jí)要求���。
主要內(nèi)容:本標(biāo)準(zhǔn)擬提出組織機(jī)構(gòu)數(shù)據(jù)安全保障的能力成熟度模型,以數(shù)據(jù)為中心���,重點(diǎn)圍繞數(shù)據(jù)處理活動(dòng)�,從組織建設(shè)、制度流程�����、技術(shù)工具和人員能力四個(gè)方面進(jìn)行安全保障���。適用于對(duì)組織機(jī)構(gòu)數(shù)據(jù)安全能力進(jìn)行評(píng)估����,也可供組織機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全能力建設(shè)時(shí)參考���。
擬解決問(wèn)題:擬解決現(xiàn)行GB/T37988—2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》與數(shù)據(jù)安全法提出的數(shù)據(jù)處理活動(dòng)劃分思路不一致等問(wèn)題����。
03 制定一:《數(shù)據(jù)安全技術(shù) 小型個(gè)人信息處理者個(gè)人信息保護(hù)指南》
主要內(nèi)容:本標(biāo)準(zhǔn)擬明確小型個(gè)人信息處理者的界定因素�����,提出小型個(gè)人信息處理者在處理個(gè)人信息時(shí)的安全保護(hù)原則和安全措施等����。
擬解決問(wèn)題:擬支撐《個(gè)人信息保護(hù)法》第六十二條關(guān)于針對(duì)小型個(gè)人信息處理者制定專門(mén)的個(gè)人信息保護(hù)規(guī)則�����、標(biāo)準(zhǔn)的要求���,規(guī)范小型個(gè)人信息處理者合理合法處理個(gè)人信息活動(dòng)。
附:《個(gè)人信息保護(hù)法》第六十二條原文
國(guó)家網(wǎng)信部門(mén)統(tǒng)籌協(xié)調(diào)有關(guān)部門(mén)依據(jù)本法推進(jìn)下列個(gè)人信息保護(hù)工作:
(一)制定個(gè)人信息保護(hù)具體規(guī)則����、標(biāo)準(zhǔn);
(二)針對(duì)小型個(gè)人信息處理者����、處理敏感個(gè)人信息以及人臉識(shí)別、人工智能等新技術(shù)���、新應(yīng)用,制定專門(mén)的個(gè)人信息保護(hù)規(guī)則�、標(biāo)準(zhǔn);
(三)支持研究開(kāi)發(fā)和推廣應(yīng)用安全�、方便的電子身份認(rèn)證技術(shù),推進(jìn)網(wǎng)絡(luò)身份認(rèn)證公共服務(wù)建設(shè)�����;
(四)推進(jìn)個(gè)人信息保護(hù)社會(huì)化服務(wù)體系建設(shè),支持有關(guān)機(jī)構(gòu)開(kāi)展個(gè)人信息保護(hù)評(píng)估��、認(rèn)證服務(wù)�;
(五)完善個(gè)人信息保護(hù)投訴、舉報(bào)工作機(jī)制����。
04 制定二:《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)提供、委托處理�����、共同處理安全指南》
主要內(nèi)容:本標(biāo)準(zhǔn)擬提出數(shù)據(jù)對(duì)外提供���、委托處理��、共同處理安全指南���,明確安全舉措、評(píng)估指南等內(nèi)容��。擬解決問(wèn)題:擬支撐《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第十二條�、第三十一條關(guān)于提供個(gè)人信息和重要數(shù)據(jù)提供、委托處理、共同處理安全要求����。
附:《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》第十二條、第三十一條原文
第十二條 網(wǎng)絡(luò)數(shù)據(jù)處理者向其他網(wǎng)絡(luò)數(shù)據(jù)處理者提供�、委托處理個(gè)人信息和重要數(shù)據(jù)的,應(yīng)當(dāng)通過(guò)合同等與網(wǎng)絡(luò)數(shù)據(jù)接收方約定處理目的����、方式、范圍以及安全保護(hù)義務(wù)等����,并對(duì)網(wǎng)絡(luò)數(shù)據(jù)接收方履行義務(wù)的情況進(jìn)行監(jiān)督。向其他網(wǎng)絡(luò)數(shù)據(jù)處理者提供���、委托處理個(gè)人信息和重要數(shù)據(jù)的處理情況記錄����,應(yīng)當(dāng)至少保存3年�。
第三十一條 重要數(shù)據(jù)的處理者提供�、委托處理、共同處理重要數(shù)據(jù)前����,應(yīng)當(dāng)進(jìn)行風(fēng)險(xiǎn)評(píng)估��,但是屬于履行法定職責(zé)或者法定義務(wù)的除外�����。風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)重點(diǎn)評(píng)估下列內(nèi)容:
(一)提供��、委托處理�、共同處理網(wǎng)絡(luò)數(shù)據(jù)����,以及網(wǎng)絡(luò)數(shù)據(jù)接收方處理網(wǎng)絡(luò)數(shù)據(jù)的目的、方式���、范圍等是否合法����、正當(dāng)��、必要�����;
(二)提供、委托處理�����、共同處理的網(wǎng)絡(luò)數(shù)據(jù)遭到篡改����、破壞、泄露或者非法獲取�、非法利用的風(fēng)險(xiǎn),以及對(duì)國(guó)家安全��、公共利益或者個(gè)人�����、組織合法權(quán)益帶來(lái)的風(fēng)險(xiǎn)�����;
(三)網(wǎng)絡(luò)數(shù)據(jù)接收方的誠(chéng)信����、守法等情況;
(四)與網(wǎng)絡(luò)數(shù)據(jù)接收方訂立或者擬訂立的相關(guān)合同中關(guān)于網(wǎng)絡(luò)數(shù)據(jù)安全的要求能否有效約束網(wǎng)絡(luò)數(shù)據(jù)接收方履行網(wǎng)絡(luò)數(shù)據(jù)安全保護(hù)義務(wù)����;
(五)采取或者擬采取的技術(shù)和管理措施等能否有效防范網(wǎng)絡(luò)數(shù)據(jù)遭到篡改、破壞��、泄露或者非法獲取��、非法利用等風(fēng)險(xiǎn)���;
(六)有關(guān)主管部門(mén)規(guī)定的其他評(píng)估內(nèi)容��。
05 制定三:《數(shù)據(jù)安全技術(shù) 個(gè)人信息保護(hù)合規(guī)審計(jì)服務(wù)能力要求》
主要內(nèi)容:本標(biāo)準(zhǔn)擬明確提供個(gè)人信息保護(hù)合規(guī)審計(jì)服務(wù)的機(jī)構(gòu)和人員的管理能力�����、技術(shù)能力等相關(guān)要求���。
擬解決問(wèn)題:擬支撐《個(gè)人信息保護(hù)法》第六十四條規(guī)定由專業(yè)機(jī)構(gòu)開(kāi)展的個(gè)人信息保護(hù)合規(guī)審計(jì)工作,解決個(gè)人信息保護(hù)合規(guī)審計(jì)專業(yè)機(jī)構(gòu)能力難認(rèn)定的問(wèn)題����。
附《個(gè)人信息保護(hù)法》第六十四條原文
第六十四條 履行個(gè)人信息保護(hù)職責(zé)的部門(mén)在履行職責(zé)中,發(fā)現(xiàn)個(gè)人信息處理活動(dòng)存在較大風(fēng)險(xiǎn)或者發(fā)生個(gè)人信息安全事件的�,可以按照規(guī)定的權(quán)限和程序?qū)υ搨€(gè)人信息處理者的法定代表人或者主要負(fù)責(zé)人進(jìn)行約談,或者要求個(gè)人信息處理者委托專業(yè)機(jī)構(gòu)對(duì)其個(gè)人信息處理活動(dòng)進(jìn)行合規(guī)審計(jì)�����。個(gè)人信息處理者應(yīng)當(dāng)按照要求采取措施,進(jìn)行整改����,消除隱患。
06 制定四:《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全產(chǎn)品分類指南》
主要內(nèi)容:本標(biāo)準(zhǔn)擬規(guī)定數(shù)據(jù)安全產(chǎn)品分類�����,包括數(shù)據(jù)安全管理類��、數(shù)據(jù)安全技術(shù)類�����、數(shù)據(jù)安全合規(guī)類及其他類四個(gè)方面�。本文件適用于數(shù)據(jù)安全產(chǎn)品企業(yè)參照明確產(chǎn)品分類,同時(shí)也為數(shù)據(jù)處理者開(kāi)展數(shù)據(jù)安全防護(hù)能力建設(shè)時(shí)選取數(shù)據(jù)安全產(chǎn)品提供參考��。
擬解決問(wèn)題:擬通過(guò)調(diào)研我國(guó)工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全產(chǎn)品技術(shù)及產(chǎn)業(yè)發(fā)展現(xiàn)狀����,研制工業(yè)和信息化領(lǐng)域數(shù)據(jù)安全產(chǎn)品分類指南,摸清數(shù)據(jù)安全產(chǎn)品市場(chǎng)類型底數(shù)���,明確細(xì)分領(lǐng)域產(chǎn)品技術(shù)指標(biāo)基線���,為主管部門(mén)數(shù)據(jù)安全產(chǎn)品產(chǎn)業(yè)治理提供標(biāo)準(zhǔn)化抓手��,為數(shù)據(jù)安全產(chǎn)品應(yīng)用企業(yè)提供標(biāo)準(zhǔn)化參考依據(jù)。
07 制定五:《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)安全從業(yè)人員能力建設(shè)指南》
主要內(nèi)容:本標(biāo)準(zhǔn)擬提出數(shù)據(jù)安全從業(yè)人員能力培養(yǎng)目標(biāo)��、技術(shù)知識(shí)和技能條件��、考核評(píng)估方法等����,同時(shí)給出適宜的人員培訓(xùn)方法、培訓(xùn)教材編寫(xiě)��、培訓(xùn)機(jī)構(gòu)與師資配置及管理流程等指南���。
擬解決問(wèn)題:旨在解決我國(guó)數(shù)據(jù)安全領(lǐng)域面臨的三大挑戰(zhàn):人才數(shù)量短缺����、從業(yè)人員質(zhì)量參差不齊��、以及缺乏人才評(píng)價(jià)和認(rèn)證體系����。此外���,從業(yè)人員在技術(shù)基礎(chǔ)、持續(xù)進(jìn)步潛力�����、法律法規(guī)理解��、治理和風(fēng)險(xiǎn)評(píng)估方面的能力參差不齊���,難以滿足日益增長(zhǎng)的數(shù)據(jù)安全要求���。
原點(diǎn)安全作為全國(guó)網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化技術(shù)委員會(huì) WG8 組的成員單位,始終致力于數(shù)據(jù)安全領(lǐng)域的技術(shù)研發(fā)與實(shí)踐����,深入理解并積極響應(yīng)國(guó)家數(shù)據(jù)安全相關(guān)法律法規(guī)及標(biāo)準(zhǔn)要求并保持高度一致?;谠c(diǎn)安全提供的平臺(tái)化的數(shù)據(jù)安全保護(hù)能力,已有效支撐銀行���、證券�����、保險(xiǎn)��、政務(wù)����、高校��、汽車�、互聯(lián)網(wǎng)等不同領(lǐng)域企業(yè)客戶的數(shù)據(jù)安全能力體系建設(shè),能夠?yàn)槠髽I(yè)在數(shù)據(jù)安全建設(shè)中提供場(chǎng)景化的數(shù)據(jù)安全解決方案與技術(shù)支持�����,助力企業(yè)滿足數(shù)據(jù)安全合規(guī)要求����,實(shí)現(xiàn)數(shù)據(jù)高效流通與價(jià)值釋放。
