本文转发自CCIA数据安全工作委员会
2024年9月11日,在2024年国家网络安全宣传周——网络安全标准与产业促进座谈会活动期间,中国电子技术标准化研究院发起的“数安标准强‘基’助‘力’计划”(Data Security Standards Enhancement Program,简称DSEP)正式启动。
01
数安标准强“基”助“力”计划(DSEP)
数安标准强“基”助“力”计划(DSEP),由中国电子技术标准化研究院发起,以我国数字产业化、产业数字化的高质量发展和高水平安全需求为导向,落实《数据安全法》《个人信息保护法》等法律法规要求,依托数据安全和个人信息保护国家标准体系,打造基于标准的政、产、学、研、用深度融合平台,建立集政策研究、标准验证、应用开发、宣贯培训、示范推广、效果评估等一体化标准应用推广机制,为各行业领域、地方区域和组织机构筑牢数据安全合规底线、提升数据安全能力提供标准化路径,充分发挥国家标准对数字经济高质量发展的基础性、规范性和引领性作用。
数安标准强“基”助“力”计划,拟实现“强基”、“助力”、“同轨”三个目标:
(1)强基:支撑我国数据安全法律法规落地应用,夯实数据安全基础和合规底线。
(2)助力:赋能数字产业化、产业数字化高质量发展,助力行业领域、地方区域和各类组织提升数据安全能力水平,促进数据供得出、流得动、用得好。
(3)同轨:依托数据安全和个人信息保护国家标准实施,提供数据安全合规和能力提升的标准化、规范化路径。
“DSEP”将围绕数据安全和个人信息保护国家标准体系,提出数据安全和个人信息保护标准应用参考框架,采取多种方式推进数据安全标准应用实践,助力各类组织筑牢数据安全合规底线、提升数据安全能力,以标准化、规范化的高水平安全保障数字经济高质量发展。
“DSEP”综合考虑标准对法律法规支撑作用、标准适用范围、实施难易程度、所反映的安全能力水平等要素,将现有数据安全和个人信息保护国家标准文件进行分类分级,提出包含基础应用级、规范应用级、卓越应用级三个应用层级的标准应用参考框架,帮助组织机构区分基础合规、能力提升、特定对象相关标准,进而夯实合规基础底线,逐步提升安全能力。
02
DSEP首个试点试验区和首批试点单位
启动仪式上,发布了“DSEP”首个试点试验区和首批10家试点单位:
1. DSEP首个试点试验区:广州市南沙区
2. DSEP首批试点单位(排名不分先后):
中国移动通信集团有限公司
中国联合网络通信集团有限公司
中国银行股份有限公司
广西电网有限责任公司
华为技术有限公司
阿里云计算有限公司
蚂蚁科技集团股份有限公司
北京百度网讯科技有限公司
北京快手科技有限公司
滴滴出行科技有限公司
03
数据安全标准应用框架
截至2024年9月,全国网络安全标准化技术委员会(TC260)在数据安全方面,已经制定发布《数据分类分级规则》《数据安全能力成熟度模型》等15项国家标准,正在制修订《数据安全保护要求》《数据安全风险评估方法》等10项标准。
现有数据安全国家标准的应用参考框架如下图所示,其中粗线浅框为通用类数据安全标准,深色框为面向特定对象或特定情形的数据安全标准。
应用框架下载见:附下载 | 数据安全标准应用参考框架(v1.0)
04
个人信息保护标准应用框架
截至2024年9月,全国网络安全标准化技术委员会(TC260)在个人信息保护方面,已经制定发布《个人信息安全规范》《移动互联网应用程序(App)收集个人信息基本要求》等17项国家标准,正在制订《敏感个人信息处理安全要求》《个人信息保护合规审计要求》等10项国家标准。
现有个人信息保护标准的应用框架如下图所示:
应用框架下载见:附下载 | 个人信息保护标准应用参考框架(v1.0)
05
工作联动机制说明
CCIA数据安全工作委员会长期致力于国家标准推广应用工作,其中以专题工作开展推广的国家标准包括了:
标准名称 | 标准编号/状态 | 主要适用对象 | 相关安全/合规义务 | 涉及专题工作 | DSEP中应用级别 |
个人信息安全影响评估指南 | GB/T 39335-2020 | 个人信息处理者、第三方评估机构 | 个人信息保护影响评估 | PIA专题工作 | 规范应用级(二星) |
数据接口安全风险监测方法 | 征求意见稿 | 数据处理者、安全厂商 | 数据安全风险监测 | DiRM专题工作 | 规范应用级(二星) |
参与“PIA专题工作”和“DiRM专题工作”并获得任意星级标识,意味着在DSEP计划中,对相关数据安全和个人信息保护国家标准的应用已经达到“规范应用级”。