2024年07 北京網絡信息安全北京軟件產品質量 編：王副主編：于晶、張海濤 聯網信息辦公室發布的報告，20228.1ZB，同22.7%50.220236成“數據孤島”與“數據壟斷”等現象。202212191234第5第1章數據流通安全發展情 第2章數據流通安全政策法規和標準化現 第3章數據流通安全標準化需 第4章數據流通安全標準體 第5章數據流通安全標準化工作建 此，202049勞動力、資本、技術之后的第五大生產要素。20221218流通融合。2024220242數據指任何以電子或其他方式對信息的記錄【GB/T43697-數據流通指數據按照一定規則從提供方傳遞到需求方的過APIIT1-11-1和一項目標一個基礎是指數據流通安全基礎設施流通安全基礎設施通過有效防范對承載數據流通活動的基礎設施四個重點共享開放公共數據，同時加強匯聚共享和開放開發、強化統籌授服務型、應用型和技術型數商，促進數據更加順暢地交易流通。四是數據交易與跨境流通是促進數據要素價值充分發揮的有效途徑。通過建立場內和場外數據交易模式，保障合規高效、場內兩大保障是數據流通制度體系和數據安全體系數據流通安全制度體系制度包括數據流通安全基礎設施制度、公共數據開發開放制度、公共數據授權運營制度、數據產業與數商發展制度、數據交易與數據安全體系安全和可信安全等方面，數據安全保障體系建設貫穿數據供給、一項目標是指數據應用五是重點推進關鍵領域與行業發展。針對關鍵領域和行業，如工業互聯網、智慧城市、交通運輸等，國家發布了多項指導意見和實施方案，推動這些領域的數據安全保護。例如《深化智慧城14權益保護法》）20131025《中共中央國務院關于構建更加完善的要素市場化配置體《中華人民共和國國民經濟和社會發展第十四個五年規劃和2035年遠景目標綱要》20213推進數據跨部門、跨層級、跨地區匯聚融合和深度利用。建立健120226劃（2024—2026）》202312國內數據安全標準化工作已經從頂層設計到行業落地全面準化工作是重中之重。側、運維側、API火墻、API2算結果在進行對應的同態解密后的明文等同于對明文數據直接進行相同的計算，實現數據的“可算不可見”。即除了能實現基本的加密操作外，還能實現密文間的多種計算功能，即先計算后推動了數據流通安全市場規模的持續性擴張，覆蓋從數據加密、脫敏處理到訪問權限控制和審計追蹤等全方位安全產品與服務的供應。同時，在國家政策推動及數據安全需求的共同驅動下，2025全產業基礎能力和綜合實力明顯增強，數據安全產業規模超過150030%2035入繁榮成熟期。產業政策進一步健全，數據安全關鍵核心技術、我國數據流通安全領域的人才體系建設正展現出積極的發展態勢，通過教育體系優化、專業認證強化、高端人才引進及科研平安全的因素眾多，但唯有數據安全和網絡安全具有“牽一發而動數據已經成為新生產要素，數據安全決定數據要素作用能否發揮，助力數字經濟高質量112018520185規范公共數據資源復用和企業間數據交易，推動數據共享服務提供者作為中介20217歷經多次修訂，擴大了公共數據的開放促進公共數據的有效利用和經濟價值的21966要求聯邦政府機構應公開其記錄和信個人隱私等。此法確保了公眾有權獲取政府信息，提升了政府透明度和數據流20071231FOIA，旨在改善信息請求處理的2009128要求聯邦機構采取具體步驟提高透明20191142020202020216（OGP在國際層面上與美國建立“數據橋”，并與歐盟及亞太國家協商，努力維護韓國通過成立國家數據政策委員會集中了政府與民間的智2017（RCEP）（CPTPP3國家層面在公共數據開發開放方面，陸續出臺了諸多條例、公共數據開放管理辦法、公共數據資源開放開發管理辦法、政府44在國家層面上對于數據交易的指導原則和規范融入在一系556202277202377數據跨境流轉及合規性的高度重視與積極行動。國際組織ISO/IECJTC1NIST一、國際組織1、ISO/IECJTC1/SC27，專8ISO/IECJTC1Informationsecurity,cybersecurityandprivacyprotection-Informationsecuritymanagementsystems-定義了信息安全管理體系的要求，確保組織能夠識的控制措施以保護信息資Informationsecurity,cybersecurityandprivacyprotection-Informationsecurity提供了選擇和實施信息安制措施直接關系到數據保Informationtechnology-Securitytechniques-Codeofpracticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPII關注公有云環境中個人數Informationtechnology-Securitytechniques-NetworkCybersecurity-Supplier在供應鏈中的安全流通管Securitytechniques—ExtensiontoISO/IEC27001andISO/IECforprivacyinformationmanagement—RequirementsandISO/IEC27001ISO/IEC27002，為隱私信息管理和個人數據處理提數據流通中的隱私保護至Informationtechnology-Securitytechniques-CodeofpracticeforinformationsecuritycontrolsbasedonISO/IEC27002forcloud為云服務的信息安全管理Securitytechniques-Selection,deploymentandoperationsofintrusiondetectionandpreventionsystems關注信息安全的加密技術輸和存儲中的加密提供指NIST（NationalInstituteofStandardsandTechnology）是美國商務部下屬的一個非監管機9NIST9NISTSecurityandNISTControlsfor從物理安全到數據保護多800-SystemsProtecting專門針對非聯邦系統中受NISTUnclassified800-inNonfederal其中包括數據的傳輸安全andNISTSP800-GuidetoProtectingtheConfidentialityofPersonallyIdentifiableInformation含了數據傳輸和分享過程NISTSP800-GuidetoData-CentricSystemThreat了關于數據在云環境中的NISTSP800-WorkforceFrameworkforCybersecurity(NICE關注網絡安全人員的技能NISTSP800-ApplicationContainerSecurityGuide關注容器安全和數據流通IEEE10IEEEIEEEIEEEStandardforTechnicalFrameworkandRequirementsofTrustedExecutionEnvironmentbasedSharedMachineStandardforaReferenceFrameworkofDataSecurityCirculationSystemBasedonBlockchainandFederatedIEEEIEEEStandardforBigDataBusinessSecurityIEEEIEEEApprovedDraftStandardforTrustedMatrixSystem作。TC26011。11TC260GB/T43207-2023GB/T20945-信息安全技術網2023GB/T42460-信息安全技術個2023GB/T39786-信息安全技術信202110GB/T39477-202011GB/T2020名第2202011GB/T35273-202010GB/T37932-2019GB/T37973-2019GB/T37964-2019GB/T37988-信息安全技術數2019GB/T36624-2018GB/T42572-2023GB/T42571-2023GB/T42570-2023GB/T41388-2022GB/T43557-信息安全技術網2024GB/T43697-2024GB/T32907-SM42016GB/TSM22016GB/T33133-信息安全技術祖2016GB/T2020技術SM9SM92020GB/T32905-SM32016GB/T37964-信息安全技術個2019GB/T37988-信息安全技術個2020GB/T39205安全技術輕量級202010全國信息技術標準化技術委員會（SACTC28）負責信息技術12TC28GB/T務外包第22019GB/T386642020GB/T38667-20202024年5與集中的關鍵一步。其將負責數據資源、數據技術、數據流通、智慧城市、數字化轉型等基礎通用標準，以及支撐數據流通利用的數據基礎設施標準和保障數據流通利用的安全標準制修訂工作。旨在從頂層規劃和設計出發，統一協調全國范圍內的數據安13JT/T1480-202311YD/T4386-2023YD/T4251-2023YD/T4245-2023YD/T4242-2023YD/T2441-2013YD/T3592-2019YD/T3768-2020YD/T4219-5G5G5G述、5G2023T/TAF137-App202211DL/T2549-202211YD/T3954-202112GY/T351-2021YD/T3806-202012JR/T0197-2020GA/T913-2019JR/T0295-202310JR/T20202020JR/T20212020NB/T2023202310GM/T0126-202312GM/T0127-202312GM/T0128-202312GM/T0129-202312GM/T0130-202312GM/T0131-202312GM/T0132-202312201414142202310DB20235DB51/T20234DB31/T20231DB36/B61/T202212DB36/T2022520224DB33/T20217DB31/T1311—20217DB34/T20211DB15/T20215DB52/T202112201931515.3-2023-2023472-2023473-2023481-2023004-2023005-202321—202322—20232023202351—202320232023T/CIQA2024T/CIQA2024091-2024國際合作等諸多方面依舊存在許多需求與挑戰需要通過標準化一是數據流通法律法規要求不統一。在數據流通安全方面，但是不同國家和地區對于數據流通的法律法規和政策要求存在較大差距，這導致跨國數據流通時難以確保全面合規。另外，隨著數據流通過程中數據安全技術和手段不足的風險，涉及數據泄露、數據篡改、數據丟失等多個方面，這些風險直接威脅到數據的機密性、完整性和可用性。者可能通過破解加密算法或利用加密過程中的弱點來獲取未加密的數據，導致數據泄露。訪問控制機制不完善或執行不嚴，攻擊者可能通過偽造身份、繞過安全策略等方式非法訪問數據。數4-14-14-2。4-2安全體系架構有助于準確理解數據流通安全保障包含的結構層次、功能要素及其關系，指導數據安全的頂層設計和架構建立，為規劃和設計數據流通安全其他標準提供基礎參考。出針對支撐數據流通基礎設施安全和數據流通全生命周期安全相關技術標準的制定。數據流通匿名化技術指南旨在說明隱私技術涉及多種技術數據流通安全風險監測旨在規定數據流通過程中對有可能產生安全風險的環節進行監控的要求。數據流通溯源風險監測旨在規定在突發數據安全泄露事件據質量標準規則。數據流通資產識別技術指南明確數據流通全生命周期中的資產識別方法，為相關進行資產識別提供指導。數據流通數據脫敏技術標準旨在國家現有數據脫敏技術的數據流通安全保護管理類標準與安全技術類標準共同落實數據流通安全事件分類分級指南旨在明確安全事件分類和分級的方法，界定安全事件類別和級別，并明確，安全事件分類監測預警和應急處置等活動提供指導。數據提供方安全能力評估要求針對數據提供方提出具體的要求，如數據提供方的合法身份、數據提供方提供數據的質量、完整性及安全性等，確保采集到的數據來源可靠、數據可信。數據服務提供方安全能力要求針對數據服務提供方所具有數據