数据流通安全标准化白皮书-2024

2024年07 北京网络信息安全北京软件产品质量 编：王副主编：于晶、张海涛 联网信息办公室发布的报告，20228.1ZB，同22.7%50.220236成“数据孤岛”与“数据垄断”等现象。202212191234第5第1章数据流通安全发展情 第2章数据流通安全政策法规和标准化现 第3章数据流通安全标准化需 第4章数据流通安全标准体 第5章数据流通安全标准化工作建 此，202049劳动力、资本、技术之后的第五大生产要素。20221218流通融合。2024220242数据指任何以电子或其他方式对信息的记录【GB/T43697-数据流通指数据按照一定规则从提供方传递到需求方的过APIIT1-11-1和一项目标一个基础是指数据流通安全基础设施流通安全基础设施通过有效防范对承载数据流通活动的基础设施四个重点共享开放公共数据，同时加强汇聚共享和开放开发、强化统筹授服务型、应用型和技术型数商，促进数据更加顺畅地交易流通。四是数据交易与跨境流通是促进数据要素价值充分发挥的有效途径。通过建立场内和场外数据交易模式，保障合规高效、场内两大保障是数据流通制度体系和数据安全体系数据流通安全制度体系制度包括数据流通安全基础设施制度、公共数据开发开放制度、公共数据授权运营制度、数据产业与数商发展制度、数据交易与数据安全体系安全和可信安全等方面，数据安全保障体系建设贯穿数据供给、一项目标是指数据应用五是重点推进关键领域与行业发展。针对关键领域和行业，如工业互联网、智慧城市、交通运输等，国家发布了多项指导意见和实施方案，推动这些领域的数据安全保护。例如《深化智慧城14权益保护法》）20131025《中共中央国务院关于构建更加完善的要素市场化配置体《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》20213推进数据跨部门、跨层级、跨地区汇聚融合和深度利用。建立健120226划（2024—2026）》202312国内数据安全标准化工作已经从顶层设计到行业落地全面准化工作是重中之重。侧、运维侧、API火墙、API2算结果在进行对应的同态解密后的明文等同于对明文数据直接进行相同的计算，实现数据的“可算不可见”。即除了能实现基本的加密操作外，还能实现密文间的多种计算功能，即先计算后推动了数据流通安全市场规模的持续性扩张，覆盖从数据加密、脱敏处理到访问权限控制和审计追踪等全方位安全产品与服务的供应。同时，在国家政策推动及数据安全需求的共同驱动下，2025全产业基础能力和综合实力明显增强，数据安全产业规模超过150030%2035入繁荣成熟期。产业政策进一步健全，数据安全关键核心技术、我国数据流通安全领域的人才体系建设正展现出积极的发展态势，通过教育体系优化、专业认证强化、高端人才引进及科研平安全的因素众多，但唯有数据安全和网络安全具有“牵一发而动数据已经成为新生产要素，数据安全决定数据要素作用能否发挥，助力数字经济高质量112018520185规范公共数据资源复用和企业间数据交易，推动数据共享服务提供者作为中介20217历经多次修订，扩大了公共数据的开放促进公共数据的有效利用和经济价值的21966要求联邦政府机构应公开其记录和信个人隐私等。此法确保了公众有权获取政府信息，提升了政府透明度和数据流20071231FOIA，旨在改善信息请求处理的2009128要求联邦机构采取具体步骤提高透明20191142020202020216（OGP在国际层面上与美国建立“数据桥”，并与欧盟及亚太国家协商，努力维护韩国通过成立国家数据政策委员会集中了政府与民间的智2017（RCEP）（CPTPP3国家层面在公共数据开发开放方面，陆续出台了诸多条例、公共数据开放管理办法、公共数据资源开放开发管理办法、政府44在国家层面上对于数据交易的指导原则和规范融入在一系556202277202377数据跨境流转及合规性的高度重视与积极行动。国际组织ISO/IECJTC1NIST一、国际组织1、ISO/IECJTC1/SC27，专8ISO/IECJTC1Informationsecurity,cybersecurityandprivacyprotection-Informationsecuritymanagementsystems-定义了信息安全管理体系的要求，确保组织能够识的控制措施以保护信息资Informationsecurity,cybersecurityandprivacyprotection-Informationsecurity提供了选择和实施信息安制措施直接关系到数据保Informationtechnology-Securitytechniques-Codeofpracticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPII关注公有云环境中个人数Informationtechnology-Securitytechniques-NetworkCybersecurity-Supplier在供应链中的安全流通管Securitytechniques—ExtensiontoISO/IEC27001andISO/IECforprivacyinformationmanagement—RequirementsandISO/IEC27001ISO/IEC27002，为隐私信息管理和个人数据处理提数据流通中的隐私保护至Informationtechnology-Securitytechniques-CodeofpracticeforinformationsecuritycontrolsbasedonISO/IEC27002forcloud为云服务的信息安全管理Securitytechniques-Selection,deploymentandoperationsofintrusiondetectionandpreventionsystems关注信息安全的加密技术输和存储中的加密提供指NIST（NationalInstituteofStandardsandTechnology）是美国商务部下属的一个非监管机9NIST9NISTSecurityandNISTControlsfor从物理安全到数据保护多800-SystemsProtecting专门针对非联邦系统中受NISTUnclassified800-inNonfederal其中包括数据的传输安全andNISTSP800-GuidetoProtectingtheConfidentialityofPersonallyIdentifiableInformation含了数据传输和分享过程NISTSP800-GuidetoData-CentricSystemThreat了关于数据在云环境中的NISTSP800-WorkforceFrameworkforCybersecurity(NICE关注网络安全人员的技能NISTSP800-ApplicationContainerSecurityGuide关注容器安全和数据流通IEEE10IEEEIEEEIEEEStandardforTechnicalFrameworkandRequirementsofTrustedExecutionEnvironmentbasedSharedMachineStandardforaReferenceFrameworkofDataSecurityCirculationSystemBasedonBlockchainandFederatedIEEEIEEEStandardforBigDataBusinessSecurityIEEEIEEEApprovedDraftStandardforTrustedMatrixSystem作。TC26011。11TC260GB/T43207-2023GB/T20945-信息安全技术网2023GB/T42460-信息安全技术个2023GB/T39786-信息安全技术信202110GB/T39477-202011GB/T2020名第2202011GB/T35273-202010GB/T37932-2019GB/T37973-2019GB/T37964-2019GB/T37988-信息安全技术数2019GB/T36624-2018GB/T42572-2023GB/T42571-2023GB/T42570-2023GB/T41388-2022GB/T43557-信息安全技术网2024GB/T43697-2024GB/T32907-SM42016GB/TSM22016GB/T33133-信息安全技术祖2016GB/T2020技术SM9SM92020GB/T32905-SM32016GB/T37964-信息安全技术个2019GB/T37988-信息安全技术个2020GB/T39205安全技术轻量级202010全国信息技术标准化技术委员会（SACTC28）负责信息技术12TC28GB/T务外包第22019GB/T386642020GB/T38667-20202024年5与集中的关键一步。其将负责数据资源、数据技术、数据流通、智慧城市、数字化转型等基础通用标准，以及支撑数据流通利用的数据基础设施标准和保障数据流通利用的安全标准制修订工作。旨在从顶层规划和设计出发，统一协调全国范围内的数据安13JT/T1480-202311YD/T4386-2023YD/T4251-2023YD/T4245-2023YD/T4242-2023YD/T2441-2013YD/T3592-2019YD/T3768-2020YD/T4219-5G5G5G述、5G2023T/TAF137-App202211DL/T2549-202211YD/T3954-202112GY/T351-2021YD/T3806-202012JR/T0197-2020GA/T913-2019JR/T0295-202310JR/T20202020JR/T20212020NB/T2023202310GM/T0126-202312GM/T0127-202312GM/T0128-202312GM/T0129-202312GM/T0130-202312GM/T0131-202312GM/T0132-202312201414142202310DB20235DB51/T20234DB31/T20231DB36/B61/T202212DB36/T2022520224DB33/T20217DB31/T1311—20217DB34/T20211DB15/T20215DB52/T202112201931515.3-2023-2023472-2023473-2023481-2023004-2023005-202321—202322—20232023202351—202320232023T/CIQA2024T/CIQA2024091-2024国际合作等诸多方面依旧存在许多需求与挑战需要通过标准化一是数据流通法律法规要求不统一。在数据流通安全方面，但是不同国家和地区对于数据流通的法律法规和政策要求存在较大差距，这导致跨国数据流通时难以确保全面合规。另外，随着数据流通过程中数据安全技术和手段不足的风险，涉及数据泄露、数据篡改、数据丢失等多个方面，这些风险直接威胁到数据的机密性、完整性和可用性。者可能通过破解加密算法或利用加密过程中的弱点来获取未加密的数据，导致数据泄露。访问控制机制不完善或执行不严，攻击者可能通过伪造身份、绕过安全策略等方式非法访问数据。数4-14-14-2。4-2安全体系架构有助于准确理解数据流通安全保障包含的结构层次、功能要素及其关系，指导数据安全的顶层设计和架构建立，为规划和设计数据流通安全其他标准提供基础参考。出针对支撑数据流通基础设施安全和数据流通全生命周期安全相关技术标准的制定。数据流通匿名化技术指南旨在说明隐私技术涉及多种技术数据流通安全风险监测旨在规定数据流通过程中对有可能产生安全风险的环节进行监控的要求。数据流通溯源风险监测旨在规定在突发数据安全泄露事件据质量标准规则。数据流通资产识别技术指南明确数据流通全生命周期中的资产识别方法，为相关进行资产识别提供指导。数据流通数据脱敏技术标准旨在国家现有数据脱敏技术的数据流通安全保护管理类标准与安全技术类标准共同落实数据流通安全事件分类分级指南旨在明确安全事件分类和分级的方法，界定安全事件类别和级别，并明确，安全事件分类监测预警和应急处置等活动提供指导。数据提供方安全能力评估要求针对数据提供方提出具体的要求，如数据提供方的合法身份、数据提供方提供数据的质量、完整性及安全性等，确保采集到的数据来源可靠、数据可信。数据服务提供方安全能力要求针对数据服务提供方所具有数据