本文參考信標委TC260資料安全標準體系研究,將分別對國際標準組織ISO、國際電信聯盟ITU-T、美國國家標準組織NIST、我國國家資料安全標準組織TC 260、以及網際網路行業管理部門工信部下屬行標資料安全組織CCSA TC8的相關資料安全標準及其體系和常見資料安全認證進行梳理。
一、ISO隱私和資料安全標準
ISO隱私和資料安全標準主要由下屬安全技術分委員會ISO/IEC JTC1 SC27制定,其釋出的隱私保護保障體系如下:
(SC27隱私保護標準體系圖)
其中,SC27 WG5身份管理和隱私保護技術工作組,主要負責隱私保護標準研製,目前已釋出8項隱私保護標準,2項技術研究報告,在研1項標準,如下表所示:
(SC27隱私保護國際標準)
此外,SC27 WG4安全控制和服務工作組已釋出3項資料安全相關國際標準,在研6項標準,研究專案1項,如下表所示:
(SC27資料安全國際標準)
二、ITU-T資料安全標準
ITU-T國際電聯SG17安全標準工作組硏制的資料安全和隱私保護標準,主要涉及電信運營商、通訊組織、電子商務等的資料安全和個人資訊保護標準。
(ITU-T資料安全標準)
三、美國NIST資料安全標準
美國國家標準與技術研究院(NIST)於2012年6月啟動了大資料相關基木概念、技術和標準需求的研究,2013年5月成立了NST大資料公共工作組( NBG-PWG),對所有感興趣的相關方開放,無會員費,旨在通過結合行業、學術和政府等各方力量加速對大資料這一新興產業的採納,其成果由NIST評審和釋出。
美國NIST標準現有資料安全標準,主要涉及受控非保密資訊、個人可識別資訊等主題的資料安全和隱私保護標準,如下表所示:
(NIST資料安全標準)
四、TC260資料安全國家標準
2016年,全國信安標委(TC260)成立大資料安全標準特別工作組(SWG-BDS),主要負責資料安全、雲端計算安全等新技術新應用標準研製。目前,TC260圍繞資料安全和個人資訊保護兩個方向,已釋出6項國家標準,在研標準10項,研究專案18項。現有資料安全國家標準已初成體系,如下表所示。
(現有資料安全國家標準)
在個人資訊保護方向,主要聚焦於個人資訊保護要求、去標識技術、App收集個人資訊、隱私工程、影響評估、告知同意、雲服務等內容,已釋出GB/T35273《個人資訊保安規範》、GB/T37964《個人資訊去標識化指南》2項標準,在研5項標準,2項標準研究專案。
在資料安全方向,主要圍繞資料安全能力、資料交易服務、出境評估、政務資料共享、健康醫療資料安全、電信資料安全等內容,已釋出GB/T35274《大資料服務安全能力要求》、GBT37932《資料交易服務安全要求》、GB/T37973《大資料安全管理指南》、GBT37988《資料安全能力成熟度模型》4項標準,在研5項標準,16項標準研究專案。
五、CCSA資料安全行業標準
2019年7月1日工信部發布《電信和網際網路行業提升網路資料安全保護能力專項行動方案》,方案中提到了要出臺行業《網路資料安全標準體系建設指南》,加快完善行業網路資料安全標準體系。該項工作由CCSA TC8 SWG1(資料安全特設組)承擔,目前規劃的資料安全標準體系包括基礎共性、關鍵技術、安全管理、重點領域四大類標準,如下圖所示:
(工信部資料安全行業標準體系)
基礎共性標準包括術語定義、資料安全框架、資料分類分級,相關標準為各類標準提供基礎性支撐。
關鍵技術標準從資料採集、傳輸、儲存、處理、交換、銷燬等資料全生命週期維度對資料安全關鍵技術進行規範。
安全管理標準從網路資料安全保護的管理視角出發,指導行業有效落實法律法規關於網路資料安全管理的要求,包括資料安全規範、資料安全評估、監測預警與處置、應急響應與災難備份、安全能力認證等。
重點領域標準結合相關領域的實際情況和具體要求,指導行業有效開展重點領域網路資料安全保護工作。圍繞我國新業務新技術的發展現狀,重點在5G、工業網際網路、車聯網、物聯網、人工智慧、區塊鏈、安全應用等垂直領域率先實現突破,並逐步覆蓋電信和網際網路行業其他垂直領域。
六、國內外常見資料安全認證
認證:指由國家認可的認證機構證明產品、服務、管理體系符合相關技術規範、相關技術規範的強制性要求或者標準的合格評定活動。對應上述國內外資料安全標準,常見的資料安全認證如下:
1、國內資料安全認證
- 等保:網路安全等級保護測評,主要測評依據GB/T 22239-2019資訊保安技術網路安全等級保護基本要求;
- APP安全認證:移動網際網路應用程式(App)安全認證,主要認證標準GB/T 35273-2020 資訊保安技術個人資訊保安規範;
- 資料安全認證:在研,主要認證標準資訊保安技術資料安全管理基本要求(草案);GB/T 35273-2020 資訊保安技術個人資訊保安規範;
2、國外資料安全認證
- PCI DSS:支付卡行業資料安全標準認證,主要檢測依據Payment Card Industry Data Security Standard;
- SOC:System and Organization Controls Reports系統和機構控制報告,主要審計依據是美國註冊會計師協會(AICPA)SSAE(鑑證業務準則公告)16(SOC 1)、ISAE 3402、AT(核證準則)101(SOC 2 或 SOC 3)等相關準則;
- ISO/IEC 27001:資訊保安管理體系認證,主要認證標準ISO/IEC 27001:2013;
- ISO/IEC 27018:公有云個人資訊保護國際認證,主要認證標準ISO/IEC 27018:2019;
- ISO/IEC 27701:隱私資訊管理體系認證,主要認證標準ISO/IEC 27701:2018;
- ISO/IEC 29151:個人身份資訊保護實踐指南認證,主要認證標準ISO/IEC 29151:2017;
七、騰訊資料安全解決方案助力企業資料保護
“科技向善資料有度”是騰訊在資料安全以及使用者隱私資料保護秉承的理念。資料安全問題既是技術問題,也是管理問題,需要一套行之有效的資料管理策略。騰訊通過資料安全技術加持、建立資料安全中臺等措施,為資料應用的安全與合規提供系統性的解決方案,並通過騰訊雲服務對外輸出資料安全保護以及資料合規能力。
騰訊雲資料安全中臺通過雲資料加密代理閘道器、雲加密機、金鑰管理系統、憑據管理系統、資料安全審計、堡壘機、敏感資料處理、資料安全治理中心等七大產品,打造了端到端的雲資料全生命週期安全體系,實現從資料獲取、事務處理及檢索、資料分析與服務,資料訪問與消費過程中的安全防護,企業可據此極簡快速地構建雲上資料的全生命週期的安全防護體系。騰訊雲資料安全中臺的產品元件,如金鑰管理系統KMS的產品技術規範已經通過PCI DSS、 ISO/IEC 27701、ISO 27001、ISO27017、ISO27018、MTCS、HIPPA、SOC、CSA STAR等資料安全認證。