《工信部：工業領域數據安全標準體系建設指南（2023版）（23頁）.pdf》由會員分享，可在線閱讀，更多相關《工信部：工業領域數據安全標準體系建設指南（2023版）（23頁）.pdf（23頁珍藏版）》請在三個皮匠報告上搜索。

1、工業領域數據安全標準體系建設指南（2023 版）2023 年 12 月目 錄一、總體要求.1（一）基本原則.1（二）建設目標.2二、主要內容.2（一）體系框架.2（二）重點領域.51.基礎共性標準.52.安全管理標準.63.技術和產品標準.74.安全評估與產業評價標準.95.新興融合領域標準.106.工業領域細分行業標準.12三、組織實施.13 1 一、總體要求以習近平新時代中國特色社會主義思想為指導，全面貫徹黨的二十大精神，深入落實 中華人民共和國數據安全法工業和信息化領域數據安全管理辦法（試行）等法律法規和政策文件要求，建立健全工業領域數據安全標準體系，加快彌補關鍵基礎標準短板，強化重點急

2、需標準供給，著力推動標準應用實施和國際標準化工作，有效支撐工業領域數字化轉型，護航數字經濟高質量發展。（一）基本原則統籌規劃，全面布局。統籌標準化工作資源，結合工業領域技術和產業發展現狀及特點，以滿足工業領域數據安全保障需求為目標，堅持政府引導和市場驅動相結合，建立健全工業領域數據安全標準體系。需求引導，多層構建。結合不同行業工業領域數據安全標準化需求，在體現工業領域數據安全共性的基礎上，突出工業領域和各工業領域細分行業所具有的個性，形成以國家標準為基礎、行業標準為主體、團體標準為補充的標準化工作格局，推動構建各類標準銜接有序、融合發展的多層次標準架構?；A先立，急用先行。圍繞工業領域數據安全

3、工作重點和難點，加快數據分類分級、重要數據識別、分級防護基礎共性標準的制定發布。綜合考慮工業領域數據安全現狀及面臨的風險挑戰，加快推進重點急需標準的研究制定。注重實效，開放合作。加強標準與法規政策的配套承接，2 組織開展標準宣貫培訓、對標達標和實施監督，提升標準應用實踐成效。積極開展國際交流合作，加大國際標準化工作參與力度，建立適用度高、開放性強的工業領域數據安全標準體系。（二）建設目標到 2024 年，初步建立工業領域數據安全標準體系，有效落實數據安全管理要求，基本滿足工業領域數據安全需要，推進標準在重點行業、重點企業中的應用，研制數據安全國家、行業或團體標準 30 項以上。到 2026 年

4、，形成較為完備的工業領域數據安全標準體系，全面落實數據安全相關法律法規和政策制度要求，標準的技術水平、應用效果和國際化程度顯著提高，基礎性、規范性、引領性作用凸顯，有力支撐工業領域數據安全重點工作，研制數據安全國家、行業或團體標準 100 項以上。二、主要內容（一）體系框架工業領域數據安全標準體系明確了總體框架，以及基礎共性、安全管理、技術和產品、安全評估與產業評價、新興融合領域、工業細分行業六個子體系內容?；A共性、安全管理、技術和產品、安全評估與產業評價子體系聚焦工業領域具有共性的數據安全標準，新興融合領域、工業細分行業等兩個子體系重點突出特定業務場景的數據安全標準。其中，基礎共性標準用于

5、明確工業數據安全術語，包括術語定義、分類分級規則、識別認定、分級防護標準，為各 3 類標準研制提供基礎支撐。安全管理標準用于開展數據安全風險監測與應急處置、數據處理安全和組織人員管理，提供了覆蓋數據全生命周期的安全管理措施保障。技術和產品標準包括數據分類分級、數據安全防護、數據行為防控、數據共享安全技術、產品標準，建立了工業領域數據安全的技術支撐體系。安全評估與產業評價標準用于支撐工業數據安全評估及數據安全產業評價工作，為相關數據安全評估與產業評價提供了標準依據。新興融合領域標準旨在解決重點領域的數據安全問題，包括智能制造、工業互聯網領域數據安全標準。工業細分行業標準面向重點工業行業、領域的數

6、據特點和安全需求，制定行業數據安全管理和技術標準規范。工業領域數據安全標準體系框架如圖 1 所示。4 圖 1 工業領域數據安全標準體系框架 5（二）重點領域1.基礎共性標準基礎共性標準是數據安全保護的基礎性、通用性、指導性標準，包括術語定義、分類分級規則、識別認定、分級防護標準?；A共性標準子體系如圖 2 所示。圖 2 基礎共性標準子體系1.1 術語定義術語定義用于規范工業領域數據安全相關概念，為其他標準的制定提供支撐，包括技術、規范、應用領域的相關術語、概念定義、相近概念之間的關系。1.2 分類分級規則分類分級規則標準用于指導工業數據處理者開展工業數據分類分級工作。1.3 識別認定識別認定標

7、準用于指導工業數據處理者開展重要數據 6 識別和認定工作。1.4 分級防護分級防護標準用于指導工業數據處理者根據工業數據分類分級和識別認定結果，采取有針對性地防護措施。2.安全管理標準安全管理標準從數據安全框架的管理視角出發，指導工業數據處理者落實法律法規以及行業主管部門的管理要求，包括安全運營、數據處理安全、組織人員管理標準。安全管理標準子體系如圖 3 所示。圖 3 安全管理標準子體系 7 2.1 安全運營安全運營標準用于規范工業領域安全運營，主要包括工業領域數據安全風險監測預警、監測接口、事件管理、事件分類分級、應急演練、應急預案與處置、信息上報與共享、數據容災備份管理等標準。2.2 數據

8、處理安全數據處理安全標準用于規范工業數據使用、共享、出境處理活動安全要求，其中數據使用包括數據收集、傳輸、存儲、使用加工方面安全要求，數據共享包括提供、公開、轉移、委托處理方面安全要求。2.3 組織人員管理組織人員管理標準用于加強工業數據處理者組織機構建設，規范工業數據處理崗位和人員安全管理，推動組織和人員數據安全意識與能力提升，主要包括組織機構管理、關鍵崗位人員管理、數據安全從業人員能力要求標準。3.技術和產品標準技術和產品標準對數據安全關鍵技術和產品及其檢測要求進行規范，包括數據分類分級、數據安全防護、數據行為防控、數據共享安全技術、產品標準。技術和產品標準子體系如圖 4 所示。8 圖 4

9、 技術和產品標準子體系3.1 數據分類分級技術和產品數據分類分級技術和產品標準用于規范數據資產發現、識別、標識、分析方面的技術、產品要求，主要包括數據分類分級、數據血緣分析、數據質量管理標準。3.2 數據安全防護技術和產品數據安全防護技術和產品標準用于規范數據收集、存儲、使用、加工、傳輸、銷毀方面技術、產品要求，主要包括數據防篡改、數據加密、數據脫敏、數據防泄漏、數據銷毀、數據恢復標準。3.3 數據行為防控技術和產品數據行為防控標準用于規范數據處理異常行為識別、監測、態勢感知、安全審計、數據訪問控制方面的技術、產品要求，主要包括用戶行為分析、數據流轉監測、數據安全態勢感知、安全審計、數據訪問控

10、制、可信執行環境標準。9 3.4 數據共享安全技術和產品數據共享安全技術和產品標準用于規范數據提供、公開方面技術、產品要求，主要包括數據溯源、多方安全計算、聯邦學習、同態加密標準。4.安全評估與產業評價標準安全評估與產業評價標準用于支撐工業領域數據安全評估及產業評價，包括安全評估、產業評價標準。安全評估與產業評價標準子體系如圖 5 所示。圖 5 安全評估與產業評價標準子體系 10 4.1 安全評估安全評估標準用于指導評估機構開展數據安全風險評估、能力評估、出境安全評估工作，主要包括工業領域數據安全風險評估、數據安全能力評估、數據出境安全評估標準。4.2 產業評價產業評價標準用于數據安全產業、數

11、據安全服務能力及產業競爭力評價，包括數據安全產業評價指標、數據安全服務機構能力評價、數據安全產業競爭力評價標準。5.新興融合領域標準新興融合領域標準主要用于規范工業相關新興融合領域的數據安全要求，包括智能制造、工業互聯網領域數據安全標準。新興融合領域標準子體系如圖 6 所示。11 圖 6 新興融合領域標準子體系5.1 智能制造數據安全標準智能制造數據安全標準用于規范智能制造場景下的數據安全，包括智能裝備、智能工廠、智能服務、智能賦能技術、智慧供應鏈數據安全標準。5.2 工業互聯網數據安全標準工業互聯網數據安全標準用于規范工業互聯網場景下的數據安全，包括工業互聯網終端和網絡、工業互聯網標識解析、

12、工業互聯網邊緣計算、工業互聯網平臺、工業互聯網典型應用數據安全標準。12 6.工業領域細分行業標準根據基礎共性、安全管理、技術和產品、安全評估與產業評價標準，結合原材料、裝備、消費品、電子信息制造、民爆、節能與綜合利用、軟件和信息技術服務等重點工業行業、領域數據特點和安全需求，制定工業領域細分行業數據安全標準。工業領域細分行業標準子體系如圖 7 所示。圖 7 工業領域細分行業標準子體系6.1 原材料工業針對原材料工業中鋼鐵、有色、稀土、石化化工、建材等行業的數據安全特點、場景，提出原材料工業各行業數據分類分級、重要數據識別、數據安全防護重點標準。6.2 裝備工業針對裝備工業中汽車、民用飛機、民

13、用船舶等行業的數據安全特點、場景，提出裝備工業各行業數據分類分級、重要數據識別、數據安全防護重點標準。13 6.3 消費品工業針對消費品工業中輕工、紡織等行業的數據安全特點、場景，提出消費品工業各行業數據分類分級、重要數據識別、數據安全防護重點標準。6.4 電子信息制造業針對電子信息制造業的數據安全特點、場景，提出電子信息制造業數據分類分級、重要數據識別、數據安全防護重點標準。6.5 民爆針對民爆行業的數據安全特點、場景，提出民爆行業數據分類分級、重要數據識別、數據安全防護重點標準。6.6 節能與綜合利用針對工業領域節能與綜合利用相關領域的數據安全特點、場景，提出節能與綜合利用數據分類分級、重

14、要數據識別、數據安全防護重點標準。6.7 軟件和信息技術服務業針對軟件和信息技術服務業的數據安全特點、場景，提出軟件和信息技術服務業數據分類分級、重要數據識別、數據安全防護重點標準。三、組織實施一是加強統籌協調。工業和信息化部統籌推進工業領域數據安全標準體系建設，組織開展國家標準和行業標準制修訂工作，鼓勵支持開展高質量團體標準、企業標準制定與實施。加強各標準組織的協作配合以及各行業、各領域之間的 14 協同推進。二是加快任務落實。匯聚工業領域產學研用各方力量，大力推進重點急需標準研制。注重工業領域數據安全標準化工作與新技術新應用及行業優秀實踐的有機融合，建立完善標準試驗驗證平臺與環境，提升標準

15、的實用性。緊密圍繞技術和產業發展趨勢，適時修訂標準體系和相關標準。三是強化宣貫實施。鼓勵各地主管部門、有關行業協會、聯盟、標準化技術組織、專業機構通過多種渠道宣傳工業領域數據安全標準化成果，有針對性地開展專題培訓，引導企業開展貫標達標工作，推動標準落地實施和應用推廣。四是加強國際合作。積極與國外數據安全、工業互聯網、智能制造相關組織開展標準化交流與合作，支持企事業單位參與國際電信聯盟（ITU）、國際標準化組織（ISO）、國際電工委員會（IEC）國際標準化活動，推動相關國際標準制定。附件：1.工業領域數據安全現行及在研標準明細表2.工業領域數據安全標準擬研制重點方向 1 附件 1工業領域數據安全

16、現行及在研標準明細表總序號總序號分序號分序號標準名稱標準名稱標準號標準號/計劃號計劃號狀態狀態A 基礎共性基礎共性AB 分類分級規則分類分級規則1.1)信息安全技術 數據分類分級規則20220787-T-469制定中C 技術和產品技術和產品CA 數據分類分級技術和產品數據分類分級技術和產品CAC 數據質量管理數據質量管理2.1)工業數據質量 通用技術規范GB/T 39400-2020已發布D 安全評估與產業評價安全評估與產業評價DA 安全評估安全評估DAA 風險評估風險評估3.1)信息安全技術 數據安全風險評估方法20230257-T-469制定中DAB 能力評估能力評估4.1)信息安全技術

17、數據安全能力成熟度模型GB/T 37988-2019已發布F 工業領域細分行業工業領域細分行業FB 裝備工業裝備工業FBA 汽車行業數據安全汽車行業數據安全5.1)汽車整車信息安全技術要求20214422-Q-339制定中6.2)智能網聯汽車 數據通用要求20213606-T-339制定中FBB 民用飛機行業數據安全民用飛機行業數據安全7.1)無人機云系統數據規范MH/T 2011-2019已發布FD 電子信息制造業電子信息制造業 2 總序號總序號分序號分序號標準名稱標準名稱標準號標準號/計劃號計劃號狀態狀態8.1)可穿戴產品數據規范GB/T 37037-2018已發布FG 軟件和信息技術服務

18、業軟件和信息技術服務業9.1)信息技術服務 數據資產 管理要求GB/T 40685-2021已發布10.2)面向公有云服務的文件數據安全標記規范YD/T 3470-2019已發布11.3)云服務用戶數據保護能力評估方法 第 1 部分：公有云YD/T 3797.1-2021已發布12.4)云服務用戶數據保護能力評估方法 第 2 部分：私有云YD/T 3797.2-2020已發布 1 附件 2工業領域數據安全標準擬研制重點方向A 基礎共性基礎共性AA 術語定義術語定義工業領域數據安全術語AB 分類分級規則分類分級規則工業領域數據分類分級指南、標識規則AC 識別認定識別認定工業領域重要數據識別指南A

19、D 分級防護分級防護工業企業數據安全防護要求B 安全管理安全管理BA 安全運營安全運營BAA 監測預警監測預警工業領域數據安全監測預警實施指南、監測接口規范BAB 應急處置應急處置工業領域數據安全事件分類分級指南、事件管理指南、應急演練指南、應急預案與處置要求BAC 信息上報和共享信息上報和共享工業領域數據安全風險信息上報和共享指南、風險信息上報和共享接口規范BAD 數據容災備份管理數據容災備份管理工業領域數據災備管理要求BB 數據處理安全數據處理安全BBA 數據使用安全數據使用安全工業領域數據使用安全要求BBB 數據共享安全數據共享安全工業領域數據共享安全要求、接口安全要求BBC 數據出境安

20、全數據出境安全工業領域數據出境安全要求BC 組織人員管理組織人員管理 2 BCA 組織機構管理組織機構管理工業領域數據安全組織機構建設指南BCB 人員管理人員管理工業領域數據處理關鍵崗位及人員安全管理要求、從業人員能力基本要求、管理人員能力要求、評估人員能力要求C 技術和產品技術和產品CA 數據分類分級技術和產品數據分類分級技術和產品CAA 數據分類分級數據分類分級數據分類分級產品技術要求和測試評價方法CAB 數據血緣分析數據血緣分析數據血緣分析技術要求CAC 數據質量管理數據質量管理數據清洗比對技術要求CB 數據安全防護技術和產品數據安全防護技術和產品CBA 數據防篡改數據防篡改數據防篡改產

21、品技術要求和測試評價方法CBB 數據加密數據加密數據加密產品技術要求和測試評價方法CBC 數據脫敏數據脫敏數據脫敏產品技術要求和測試評價方法CBD 數據防泄漏數據防泄漏數據防泄漏產品技術要求和測試評價方法CBE 數據銷毀數據銷毀數據銷毀產品技術要求和測試評價方法CBF 數據恢復數據恢復數據恢復產品技術要求和測試評價方法CC 數據行為防控技術和產品數據行為防控技術和產品CCA 用戶行為分析用戶行為分析數據異常行為識別技術要求CCB 數據流轉監測數據流轉監測數據安全監測技術要求 3 CCC 數據安全態勢感知數據安全態勢感知數據安全態勢感知技術要求CCD 安全審計安全審計數據安全審計產品技術要求和測

22、試評價方法CCE 數據訪問控制數據訪問控制數據訪問控制產品技術要求和測試評價方法CCF 可信執行環境可信執行環境可信執行環境技術要求CD 數據共享安全技術和產品數據共享安全技術和產品CDA 數據溯源數據溯源數據追蹤溯源技術要求CDB 多方安全計算多方安全計算多方安全計算技術要求CDC 聯邦學習聯邦學習聯邦學習技術要求CDD 同態加密同態加密同態加密技術要求D 安全評估與產業評價安全評估與產業評價DA 安全評估安全評估DAA 風險評估風險評估工業領域數據安全風險評估指南DAB 能力評估能力評估工業企業數據安全能力評估指南DAC 出境評估出境評估工業領域數據出境安全評估指南DB 產業評價產業評價D

23、BA 產業評價指標產業評價指標數據安全產業評價指標DBB 服務能力評價服務能力評價數據安全服務機構能力評價、數據安全服務能力要求 4 DBC 產業競爭力評價產業競爭力評價數據安全產業競爭力評價E 新興融合領域新興融合領域EA 智能制造數據安全智能制造數據安全EAA 智能裝備數據安全智能裝備數據安全智能裝備數據安全要求、工業控制系統數據安全要求EAB 智能工廠數據安全智能工廠數據安全智能工廠數據安全要求EAC 智能服務數據安全智能服務數據安全大規模個性化定制數據安全要求、網絡協同制造數據安全要求EAD 智能賦能技術數據安全智能賦能技術數據安全工業+5G 應用數據安全要求、工業+人工智能應用數據安

24、全要求、工業+區塊鏈應用數據安全要求EAE 智慧供應鏈數據安全智慧供應鏈數據安全智慧供應鏈數據安全要求EB 工業互聯網數據安全工業互聯網數據安全EBA 終端與網絡數據安全終端與網絡數據安全工業互聯網數據采集設備安全技術要求EBB 標識解析數據安全標識解析數據安全工業互聯網標識解析數據安全要求EBC 邊緣計算數據安全邊緣計算數據安全工業互聯網邊緣數據采集處理安全要求EBD 平臺數據安全平臺數據安全工業微服務數據安全要求、工業互聯網大數據中心數據安全監測技術要求EBE 典型應用數據安全典型應用數據安全工業 App 數據安全要求F 工業領域細分行業工業領域細分行業FA 原材料工業原材料工業FAA 鋼

25、鐵行業數據安全鋼鐵行業數據安全鋼鐵行業重要數據識別、數據分類分級、數據安全防護實施指南FAB 有色行業數據安全有色行業數據安全 5 有色行業重要數據識別、數據分類分級、數據安全防護實施指南FAC 稀土行業數據安全稀土行業數據安全稀土行業重要數據識別、數據分類分級、數據安全防護實施指南FAD 石化化工行業數據安全石化化工行業數據安全石化化工行業重要數據識別、數據分類分級、數據安全防護實施指南FAE 建材行業數據安全建材行業數據安全建材行業重要數據識別、數據分類分級、數據安全防護實施指南FB 裝備工業裝備工業FBA 汽車行業數據安全汽車行業數據安全汽車行業重要數據識別、數據分類分級、數據安全防護實

26、施指南FBB 民用飛機行業數據安全民用飛機行業數據安全民用飛機行業重要數據識別、數據分類分級、數據安全防護實施指南FBC 民用船舶行業數據安全民用船舶行業數據安全民用船舶行業重要數據識別、數據分類分級、數據安全防護實施指南FC 消費品工業消費品工業FCA 輕工行業數據安全輕工行業數據安全輕工行業重要數據識別、數據分類分級、數據安全防護實施指南FCB 紡織行業數據安全紡織行業數據安全紡織行業重要數據識別、數據分類分級、數據安全防護實施指南FD 電子信息制造業電子信息制造業電子信息制造業重要數據識別、數據分類分級、數據安全防護實施指南FE 民爆民爆民爆行業重要數據識別、數據分類分級、數據安全防護實施指南FF 節能與綜合利用節能與綜合利用節能與綜合利用重要數據識別、數據分類分級、數據安全防護實施指南FG 軟件和信息技術服務業軟件和信息技術服務業軟件和信息技術服務業重要數據識別、數據分類分級、數據安全防護實施指南