国家标准《数据安全技术 数据接口安全风险监测方法》编制说明

国家标准报批材料

一、工作简况

1.1任务来源

根据国家标准化管理委员会2023年第一批网络安全国家标准项目立项的通

知（信安字〔2023〕17号），《数据安全技术数据接口安全风险监测方法》由

全知科技（杭州）有限责任公司负责承办。本标准由全国信息安全标准化技术委

员会归口管理。

1.2制定背景

近年来，随着数据接口的广泛应用，相关数据安全问题日益凸显。由于数据

接口的数据安全防护不严，缺乏有效的安全风险监测，频繁发生被恶意利用导致

的数据安全事件，损害了相关企业和用户的合法权益。尽管当前众多法律法规对

数据安全风险监测提出要求，但并未明确涉及针对数据接口的安全防护。业界同

时缺乏解决由数据接口引发的数据安全风险，如数据泄露和滥用等问题的技术方

法。因此，亟需梳理数据接口安全风险分类，明确数据接口的风险监测技术方法，

以增强数据接口的安全风险防护能力。

1.3起草过程

2021年7月-2022年6月：十余名专家跨领域成立调研小组，耗时近一年进

行研究和讨论，产出一份约14000字的标准研究报告和一份约10000字的标准草

案。通过相关技术在三个关键行业领域进行了试点，包括金融（建设银行）、政

务（深圳大数据局）和电信（江西电信）。

2023年4-5月：组建标准编制项目组，基于调研成果形成制定相应标准草

案，并准备申报材料。

2023年6月：五月底至六月初，由全国信息安全标准化技术委员会（简称

“信安标委”）在昆明召开标准会议周，WG5工作组进行了立项汇报，得到工作

组同意，标准编制申请获得批准。

2023年8月：《数据安全技术数据接口安全风险监测方法》获得信安标委

正式发布立项通知。

2023年9月：正式发出征集《数据安全技术数据接口安全风险监测方法》

标准参编单位的通知，广泛征集参编单位。

2023年10月：举行《数据安全技术数据接口安全风险监测方法》正式启

1

国家标准报批材料

动会议，根据各参编单位提出的建议对标准内容进行完善。

2023年10月：WG5工作组组织标准专家研讨会，汇报《数据安全技术数据

接口安全风险监测方法》文本内容，并提交编制说明和意见汇总表。各位专家提

出相关专业意见，对标准内容进行完善。

2023年11月：十一月初，由信安标委在武汉召开第二次标准会议周，WG5

工作组进行征求意见稿汇报，会议决策提议形成征求意见稿。

2023年11月：十一月中旬，由信安标委秘书处组织召开标准实践指南专家

评审会，各专家意见一致建议不形成征求意见稿，需对实践指南内容进行进一步

完善。

2023年11月：十一月底，由WG5工作组组织标准专家研讨会，根据专家提

出的建议，对标准内容进行进一步完善。

2024年3月：三月上旬，由信安标委秘书处组织召开标准实践指南专家评

审会，专家同意形成征求意见稿，并提出部分内容的改进建议。

2024年5月：五月中旬，由WG5工作组组织标准专家研讨会，根据专家提

出的建议，对标准内容进行进一步完善。

2024年6月：六月中旬，由网安标委在南昌召开第一次标准会议周，根据

专家提出的建议，对标准内容进行进一步完善。

二、标准编制原则、主要内容及其确定依据

2.1标准编制原则

本标准的编制遵循以下原则：

1.实用性：立足于组织面临的数据接口安全风险的实际情况，分析风险场景

及成因，提取监测数据特征，结合当前监测技术实现，提出数据接口场景下的监

测方法。

2.合理性：在本标准制定过程中，充分吸纳了基础电信运营企业、头部金融

企业、互联网企业、研究机构、安全厂商等多家单位的意见和建议，力求标准合

理可行。

3.典型性：吸纳多个行业多家组织的数据接口风险场景，提炼典型且广泛的

数据接口安全风险点，致力于监测效果能够全面地涵盖数据接口造成的数据泄漏、

2

国家标准报批材料

篡改、非法滥用等风险。

2.2主要内容及其确定依据

本文件给出了数据接口安全风险监测的方法，包括方式、内容、流程等，明

确了风险监测各阶段的监测要点。

本文件首先明确了数据接口的定义，并从数据接口各方角色及关系抽象概括

形成了数据接口的各项基础要素，基于基础要素，提出了数据接口风险监测方法

的整体框架，并分别对框架中的监测方式、监测原则、监测流程展开描述。

2.3修订前后技术内容的对比[仅适用于国家标准修订项目]

无

三、试验验证的分析、综述报告，技术经济论证，预期的经济效益、社会

效益和生态效益

3.1试验验证的分析、综述报告

本标准所提及的数据接口风险监测方法均在在金融、政务、电信以及其他行

业进行试点验证，包括建设银行、国家信息中心、中国电信等单位的合作，共同

推动数据接口风险检查和监测，验证标准对数据接口风险监测的实际效果。随着

标准内容的不断成熟，将进一步扩大试点验证范围，以兼顾标准化工作的实用性、

典型性，同时确保在产业中的实际应用。

3.2技术经济论证

数据接口风险监测方法所涉及的接口数据等采集、存储、处理、分析等工作

依托于一定的计算资源的投入，该投入在前期的金融、政务、电信试点工作中经

验证技术可行。

3.3预期的经济效益、社会效益和生态效益

该标准从经济效益方面上分析，它将帮助组织充分履行数据安全职责，有助

于降低组织面临的数据安全风险，从而减少潜在的财务损失。此外，通过提高数

据接口的稳定性和可用性，将增进生产力，降低业务中断成本，提升整体效率。

这不仅有助于提高企业的市场竞争力，还将促进新业务模式的创新，进一步加速

数字经济的增长。

从社会效益方面分析，该标准标准可以适用于主管单位、监管单位的风险监

测，因此可以帮助监管主管单位所在行业、区域的数据风险进行发现识别，从而

3

国家标准报批材料

在社会面上减少数据、个人信息泄漏等，提升社会面的数据安全稳定，保障社会

公众的隐私权益。

四、与国际、国外同类标准技术内容的对比情况，或者与测试的国外样品、

样机的有关数据对比情况

无国际相应标准

五、以国际标准为基础的起草情况，以及是否合规引用或者采用国际国外

标准，并说明未采用国际标准的原因

无

六、与有关法律、行政法规及相关标准的关系

本标准与现行法律、法规以及国家标准不存在冲突与矛盾。

与《信息安全技术信息安全风险评估方法》、《信息安全技术数据安全风

险评估方法》（征求意见稿）中的风险分析与评价章节保持一致，遵从《信息安

全技术个人信息安全规范》数据接口调用与个人信息安全相关结合，以明确相

关的风险类型。

七、重大分歧意见的处理经过和依据

本标准在起草过程中未遇到重大分歧意见，无重要技术问题需要说明。

八、涉及专利的有关说明

无

九、实施国家标准的要求，以及组织措施、技术措施、过渡期和实施日期

的建议等措施建议

本标准内容较为丰富，包含了数据接口的风险类型、风险识别、监测方式、

监测实施方法等多个方面，实用性较高，适用于各类组织开展的数据接口安全风

险监测活动。

十、其他应当说明的事项

2024年3月，致函国家标准委申请调整标准名称前缀为“网络安全技术”，

调整后标准名称为《网络安全技术数据接口安全风险检测方法》，归口单位：

全国网络安全标准化技术委员会。

2024年7月，根据全国网络安全标准化技术委员会意见，标准名称前缀调

整为“数字安全技术”，调整后标准名称为《数据安全技术数据接口安全风险

4

国家标准报批材料

检测方法》。

国家标准《数据安全技术