全球数据安全标准和认证展望 鹅门标局 4 天前 https://mp.weixin.qq.com/s/NAztKwQtmYKJPFeImkKJRA 本 文 参 考 T C 2 6 0 数 据 安 全 标 准 体 系 研 究 ,分 别 对 国 际 标 准 组 织 IS O、国 际 电 信 联 盟 IT U -T 、 美 国 国 家 标 准 组 织 N IS T 、我 我 国 国 家 数 据 安 全 标 准 组 织 T C 2 6 0 、以 以及互联网行业管理部 门 工 信 部 下 属 行 标 数 据 安 全 组 织 C C SA T C 8 的 相 关 数 据 安 全 标 准 及 其 体 系 和 常 见 数 据 安全认证进行梳理。 一、ISO 隐私和数据安全标准 ISO 隐私和数据安全标准主要由下属安全技术分委员会 ISO/IEC JTC1 SC27 制定,其 发布的隐私保护保障体系如下 发布的隐私保护保障体系如下: 1 / 10 SC27 隐私保护标准体系图 其中,SC27 WG5 身份管理和隐私保护技术工作组,主要负责隐私保护标准研制 身份管理和隐私保护技术工作组 主要负责隐私保护标准研制,目 前已发布 8 项隐私保护标准, ,2 项技术研究报告,在研 1 项标准,如下表所示 如下表所示: SC27 隐私保护国际标准 此外,SC27 WG4 安全控制和服务工作组已发布 3 项数据安全相关国际标准 项数据安全相关国际标准,在研 6 项标准,研究项目 1 项,如下表所示 如下表所示: SC27 数据安全国际标准 二、ITU-T 数据安全标准 ITU-T 国际电联 SG17 安全标准工作组硏制的数据安全和隐私保护标准 安全标准工作组硏制的数据安全和隐私保护标准,主要涉及电信 运营商、通信组织、电子商务等的数据安全和个人信息保护标准 电子商务等的数据安全和个人信息保护标准。 2 / 10 ITU-T 数据安全标准 三、美国 NIST 数据安全标准 美国国家标准与技术研究院(NIST NIST)于 2012 年 6 月启动了大数据相关基木概念 月启动了大数据相关基木概念、技术 和标准需求的研究,2013 年 5 月成立了 NST 大数据公共工作组( NBG NBG-PWG),对所 有感兴趣的相关方开放,无会员费 无会员费,旨在通过结合行业、学术和政府等各方力量加速对 学术和政府等各方力量加速对 大数据这一新兴产业的采纳, ,其成果由 NIST 评审和发布。 美国 NIST 标准现有数据安全标准,主要涉及受控非保密信息、个人可识别信息等主题 标准现有数据安全标准 个人可识别信息等主题 的数据安全和隐私保护标准, ,如下表所示: 3 / 10 NIST 数据安全标准 四、TC260 数据安全国家标准 2016 年,全国信安标委(TC260 TC260)成立大数据安全标准特别工作组( (SWG-BDS),主 要负责数据安全、云计算安全等新技术新应用标准研制 云计算安全等新技术新应用标准研制。目前,TC260 TC260 围绕数据安全 和个人信息保护两个方向,已发布 已发布 6 项国家标准,在研标准 10 项,研究项目 研究项目 18 项。 现有数据安全国家标准已初成体系 现有数据安全国家标准已初成体系,如下表所示。 4 / 10 现有数据安全国家标准 在个人信息保护方向,主要聚焦于个人信息保护要求、去标识技术、App 收集个人信息、 隐私工程、影响评估、告知同意、云服务等内容,已发布 GB/T35273《个人信息安全规 范》、GB/T37964《个人信息去标识化指南》2 项标准,在研 5 项标准,2 项标准研究项 目。 在数据安全方向,主要围绕数据安全能力、数据交易服务、出境评估、政务数据共享、 健康医疗数据安全、电信数据安全等内容,已发布 GB/T35274《大数据服务安全能力要 求》、GBT37932《数据交易服务安全要求》、GB/T37973《大数据安全管理指南》、GBT37988 《数据安全能力成熟度模型》4 项标准,在研 5 项标准,16 项标准研究项目。 5 / 10 在标准外,TC260 大数据安全标准特别工作组,共开展 大数据安全标准特别工作组 18 项数据安全相关研究项目 项数据安全相关研究项目, 其中部分研究项目转化为了上面的国家标准 相关研究项目具体如下所示: 其中部分研究项目转化为了上面的国家标准,相关研究项目具体如下所示 数据安全国家标准研究项目 五、CCSA 数据安全行业标准 2019 年 7 月 1 日工信部发布《 《电信和互联网行业提升网络数据安全保护能力专项行动 电信和互联网行业提升网络数据安全保护能力专项行动 方案》,方案中提到了要出台行业 方案中提到了要出台行业《网络数据安全标准体系建设指南 网络数据安全标准体系建设指南》,加快完善行业 网络数据安全标准体系。该项工作由 该项工作由 CCSA TC8 SWG1(数据安全特设组 数据安全特设组)承担,目前规 划的数据安全标准体系包括基础共性 划的数据安全标准体系包括基础共性、关键技术、安全管理、重点领域四大类标准 重点领域四大类标准,如 下图所示: 基础共性标准包括术语定义、数据安全框架 数据安全框架、数据分类分级,相关标准为各类标准提供 相关标准为各类标准提供 基础性支撑。 6 / 10 关键技术标准从数据采集、传输 传输、存储、处理、交换、销毁等数据全生命周期维度对数 销毁等数据全生命周期维度对数 据安全关键技术进行规范。 安全管理标准从网络数据安全保护的管理视角出发 从网络数据安全保护的管理视角出发,指导行业有效落实法律法规关于网 络数据安全管理的要求,包括数据安全规范 包括数据安全规范、数据安全评估、监测预警与处置 监测预警与处置、应急响 应与灾难备份、安全能力认证等 安全能力认证等。 7 / 10 重点领域标准结合相关领域的实际情况和具体要求 结合相关领域的实际情况和具体要求,指导行业有效开展重点领域网络数 据安全保护工作。围绕我国新业务新技术的发展现状 围绕我国新业务新技术的发展现状,重点在 5G、工业互联网 工业互联网、车联 网、物联网、人工智能、区块链 区块链、安全应用等垂直领域率先实现突破, ,并逐步覆盖电信 和互联网行业其他垂直领域。 。 8 / 10 六、国内外常见数据安全认证 国内外常见数据安全认证 认证:指由国家认可的认证机构证明产品 指由国家认可的认证机构证明产品、服务、管理体系符合相关技术规范 管理体系符合相关技术规范、相关技 术规范的强制性要求或者标准的合格评定活动 对应上述国内外数据安全标准,常见的 术规范的强制性要求或者标准的合格评定活动。对应上述国内外数据安全标准 数据安全认证如下: 国内数据安全认证 等保: 网络安全等级保护测评,主要测评依据 网络安全等级保护测评 GB/T 22239-2019 信息安全技术网络安 全等级保护基本要求; APP 安全认证: 移动互联网应用程序(App)安全认证,主要认证标准 移动互联网应用程序 主要认证标准 GB/T35273-2020 信息安全技术个人信息安全规范 信息安全技术个人信息安全规范; 9 / 10 数据安全认证: 在研,主要认证标准信息安全技术数据安全管理基本要求(草案); GB/T35273-2020 信息安全技术个人信息安全规范; 国外数据安全认证 PCI DSS: 支付卡行业数据安全标准认证,主要检测依据 Payment Card Industry DataSecurity Standard SOC: System and Organization Controls Reports 系统和机构控制报告,主要审计 依据是美国注册会计师协会(AICPA)SSAE(鉴证业务准则公告)16(SOC 1)、ISAE 3402、 AT(核证准则)101(SOC 2 或 SOC 3)等相关准则 ISO/IEC 27001: 信息安全管理体系认证,主要认证标准 ISO/IEC 27001:2013 ISO/IEC 27018: 公有云个人信息保护国际认证,主要认证标准 ISO/IEC 27018:2019 ISO/IEC 27701: 隐私信息管理体系认证,主要认证标准 ISO/IEC 27701:2018 ISO/IEC 29151:个人身份信息保护实践指南认证,主要认证标准 ISO/IEC 29151:2017 七、腾讯数据安全解决方案助力企业数据保护 “科技向善 数据有度”是腾讯在数据安全以及用户隐私数据保护秉承的理念。数据安 全问题既是技术问题,也是管理问题,需要一套行之有效的数据管理策略。腾讯通过数 据安全技术加持、建立数据安全中台等措施,为数据应用的安全与合规提供系统性的解 决方案,并通过腾讯云服务对外输出数据安全保护以及数据合规能力。 腾讯云数据安全中台通过云数据加密代理网关、云加密机、密钥管理系统、凭据管理系 统、数据安全审计、堡垒机、敏感数据处理、数据安全治理中心等七大产品,打造了端 到端的云数据全生命周期安全体系,实现从数据获取、事务处理及检索、数据分析与服 务,数据访问与消费过程中的安全防护,企业可据此极简快速地构建云上数据的全生命 周期的安全防护体系。腾讯云数据安全中台的产品组件,如密钥管理系统 KMS 的产品技 术规范已经通过 PCI DSS、 ISO/IEC 27701、ISO 27001、ISO27017、ISO27018、MTCS、 HIPPA、SOC、CSA STAR 等数据安全认证。 10 / 10
腾讯 全球数据安全标准和认证展望
文档预览
中文文档
10 页
50 下载
1000 浏览
0 评论
0 收藏
3.0分
温馨提示:本文档共10页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
本文档由 路人甲 于 2022-08-20 01:33:19上传分享