4月1日,全国网安标委关于发布2025年度第一批网络安全国家标准需求的通知。
通知中2025年度第一批网络安全国家标准需求清单共30项,其中数据安全技术国标有8项,这些标准的制定与修订将进一步完善我国的数据安全治理体系,主要内容包含了以下几个方面:(一)是对《网络数据安全管理条例》《个人信息保护合规审计办法》《个人信息保护法》等法律法规全面对接,提升标准的指导性和实用性。(二)是针对小型个人信息处理者的特殊性,制定专门的个人信息保护原则。(三)是进一步规范数据提供、委托处理、共同处理等复杂数据处理活动等数据安全要求。(四)是明确个人信息保护合规审计服务能力要求,推动数据安全产品分类标准化。(五)是推动解决数据安全领域人才短缺与能力参差不齐的问题。 数据安全技术国标需求清单重点内容梳理 01 修订一:《数据安全技术 个人信息安全规范》 GB/T 35273-2020《信息安全技术个人信息安全规范》2020-03-06发布,2020-10-01实施,代替GB/T 35273-2017《信息安全技术个人信息安全规范》,标准针对个人信息面临的安全问题,根据《中华人民共和国网络安全法》等相关法律,规范个人信息控制者在收集、存储、使用、共享、转让、公开披露等信息处理环节中的相关行为。 主要内容:本标准拟修订GB/T 35273-2020《信息安全技术 个人信息安全规范》,根据《个人信息保护法》等法律法规最新要求,吸纳主管监管部门开展个人信息保护工作中的相关经验,与现行法律法规配套衔接。 拟解决问题:拟支撑《个人信息保护法》《网络数据安全管理条例》《个人信息保护合规审计办法》等法律法规落地实施,提升标准在个人信息保护工作中的指导性和实用性,为个人信息安全提供更全面的保障。 02 修订二:《数据安全技术 数据安全能力成熟度模型》 GB/T37988—2019《信息安全技术数据安全能力成熟度模型》2019-08-30发布,2020-03-01实施,标准给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。 主要内容:本标准拟提出组织机构数据安全保障的能力成熟度模型,以数据为中心,重点围绕数据处理活动,从组织建设、制度流程、技术工具和人员能力四个方面进行安全保障。适用于对组织机构数据安全能力进行评估,也可供组织机构开展数据安全能力建设时参考。 拟解决问题:拟解决现行GB/T37988—2019《信息安全技术 数据安全能力成熟度模型》与数据安全法提出的数据处理活动划分思路不一致等问题。 03 制定一:《数据安全技术 小型个人信息处理者个人信息保护指南》 主要内容:本标准拟明确小型个人信息处理者的界定因素,提出小型个人信息处理者在处理个人信息时的安全保护原则和安全措施等。 拟解决问题:拟支撑《个人信息保护法》第六十二条关于针对小型个人信息处理者制定专门的个人信息保护规则、标准的要求,规范小型个人信息处理者合理合法处理个人信息活动。 附:《个人信息保护法》第六十二条原文 国家网信部门统筹协调有关部门依据本法推进下列个人信息保护工作: (一)制定个人信息保护具体规则、标准; (二)针对小型个人信息处理者、处理敏感个人信息以及人脸识别、人工智能等新技术、新应用,制定专门的个人信息保护规则、标准; (三)支持研究开发和推广应用安全、方便的电子身份认证技术,推进网络身份认证公共服务建设; (四)推进个人信息保护社会化服务体系建设,支持有关机构开展个人信息保护评估、认证服务; (五)完善个人信息保护投诉、举报工作机制。 04 制定二:《数据安全技术 数据提供、委托处理、共同处理安全指南》 主要内容:本标准拟提出数据对外提供、委托处理、共同处理安全指南,明确安全举措、评估指南等内容。拟解决问题:拟支撑《网络数据安全管理条例》第十二条、第三十一条关于提供个人信息和重要数据提供、委托处理、共同处理安全要求。 附:《网络数据安全管理条例》第十二条、第三十一条原文 第十二条 网络数据处理者向其他网络数据处理者提供、委托处理个人信息和重要数据的,应当通过合同等与网络数据接收方约定处理目的、方式、范围以及安全保护义务等,并对网络数据接收方履行义务的情况进行监督。向其他网络数据处理者提供、委托处理个人信息和重要数据的处理情况记录,应当至少保存3年。 第三十一条 重要数据的处理者提供、委托处理、共同处理重要数据前,应当进行风险评估,但是属于履行法定职责或者法定义务的除外。风险评估应当重点评估下列内容: (一)提供、委托处理、共同处理网络数据,以及网络数据接收方处理网络数据的目的、方式、范围等是否合法、正当、必要; (二)提供、委托处理、共同处理的网络数据遭到篡改、破坏、泄露或者非法获取、非法利用的风险,以及对国家安全、公共利益或者个人、组织合法权益带来的风险; (三)网络数据接收方的诚信、守法等情况; (四)与网络数据接收方订立或者拟订立的相关合同中关于网络数据安全的要求能否有效约束网络数据接收方履行网络数据安全保护义务; (五)采取或者拟采取的技术和管理措施等能否有效防范网络数据遭到篡改、破坏、泄露或者非法获取、非法利用等风险; (六)有关主管部门规定的其他评估内容。 05 制定三:《数据安全技术 个人信息保护合规审计服务能力要求》 主要内容:本标准拟明确提供个人信息保护合规审计服务的机构和人员的管理能力、技术能力等相关要求。 拟解决问题:拟支撑《个人信息保护法》第六十四条规定由专业机构开展的个人信息保护合规审计工作,解决个人信息保护合规审计专业机构能力难认定的问题。 附《个人信息保护法》第六十四条原文 第六十四条 履行个人信息保护职责的部门在履行职责中,发现个人信息处理活动存在较大风险或者发生个人信息安全事件的,可以按照规定的权限和程序对该个人信息处理者的法定代表人或者主要负责人进行约谈,或者要求个人信息处理者委托专业机构对其个人信息处理活动进行合规审计。个人信息处理者应当按照要求采取措施,进行整改,消除隐患。 06 制定四:《数据安全技术 数据安全产品分类指南》 主要内容:本标准拟规定数据安全产品分类,包括数据安全管理类、数据安全技术类、数据安全合规类及其他类四个方面。本文件适用于数据安全产品企业参照明确产品分类,同时也为数据处理者开展数据安全防护能力建设时选取数据安全产品提供参考。 拟解决问题:拟通过调研我国工业和信息化领域数据安全产品技术及产业发展现状,研制工业和信息化领域数据安全产品分类指南,摸清数据安全产品市场类型底数,明确细分领域产品技术指标基线,为主管部门数据安全产品产业治理提供标准化抓手,为数据安全产品应用企业提供标准化参考依据。 07 制定五:《数据安全技术 数据安全从业人员能力建设指南》 主要内容:本标准拟提出数据安全从业人员能力培养目标、技术知识和技能条件、考核评估方法等,同时给出适宜的人员培训方法、培训教材编写、培训机构与师资配置及管理流程等指南。 拟解决问题:旨在解决我国数据安全领域面临的三大挑战:人才数量短缺、从业人员质量参差不齐、以及缺乏人才评价和认证体系。此外,从业人员在技术基础、持续进步潜力、法律法规理解、治理和风险评估方面的能力参差不齐,难以满足日益增长的数据安全要求。 小结 原点安全作为全国网络安全标准化技术委员会 WG8 组的成员单位,始终致力于数据安全领域的技术研发与实践,深入理解并积极响应国家数据安全相关法律法规及标准要求并保持高度一致。基于原点安全提供的平台化的数据安全保护能力,已有效支撑银行、证券、保险、政务、高校、汽车、互联网等不同领域企业客户的数据安全能力体系建设,能够为企业在数据安全建设中提供场景化的数据安全解决方案与技术支持,助力企业满足数据安全合规要求,实现数据高效流通与价值释放。
