2024年07 北京網(wǎng)絡(luò)信息安全北京軟件產(chǎn)品質(zhì)量 編：王副主編：于晶、張海濤 聯(lián)網(wǎng)信息辦公室發(fā)布的報(bào)告，20228.1ZB，同22.7%50.220236成“數(shù)據(jù)孤島”與“數(shù)據(jù)壟斷”等現(xiàn)象。202212191234第5第1章數(shù)據(jù)流通安全發(fā)展情 第2章數(shù)據(jù)流通安全政策法規(guī)和標(biāo)準(zhǔn)化現(xiàn) 第3章數(shù)據(jù)流通安全標(biāo)準(zhǔn)化需 第4章數(shù)據(jù)流通安全標(biāo)準(zhǔn)體 第5章數(shù)據(jù)流通安全標(biāo)準(zhǔn)化工作建 此，202049勞動(dòng)力、資本、技術(shù)之后的第五大生產(chǎn)要素。20221218流通融合。2024220242數(shù)據(jù)指任何以電子或其他方式對(duì)信息的記錄【GB/T43697-數(shù)據(jù)流通指數(shù)據(jù)按照一定規(guī)則從提供方傳遞到需求方的過(guò)APIIT1-11-1和一項(xiàng)目標(biāo)一個(gè)基礎(chǔ)是指數(shù)據(jù)流通安全基礎(chǔ)設(shè)施流通安全基礎(chǔ)設(shè)施通過(guò)有效防范對(duì)承載數(shù)據(jù)流通活動(dòng)的基礎(chǔ)設(shè)施四個(gè)重點(diǎn)共享開(kāi)放公共數(shù)據(jù)，同時(shí)加強(qiáng)匯聚共享和開(kāi)放開(kāi)發(fā)、強(qiáng)化統(tǒng)籌授服務(wù)型、應(yīng)用型和技術(shù)型數(shù)商，促進(jìn)數(shù)據(jù)更加順暢地交易流通。四是數(shù)據(jù)交易與跨境流通是促進(jìn)數(shù)據(jù)要素價(jià)值充分發(fā)揮的有效途徑。通過(guò)建立場(chǎng)內(nèi)和場(chǎng)外數(shù)據(jù)交易模式，保障合規(guī)高效、場(chǎng)內(nèi)兩大保障是數(shù)據(jù)流通制度體系和數(shù)據(jù)安全體系數(shù)據(jù)流通安全制度體系制度包括數(shù)據(jù)流通安全基礎(chǔ)設(shè)施制度、公共數(shù)據(jù)開(kāi)發(fā)開(kāi)放制度、公共數(shù)據(jù)授權(quán)運(yùn)營(yíng)制度、數(shù)據(jù)產(chǎn)業(yè)與數(shù)商發(fā)展制度、數(shù)據(jù)交易與數(shù)據(jù)安全體系安全和可信安全等方面，數(shù)據(jù)安全保障體系建設(shè)貫穿數(shù)據(jù)供給、一項(xiàng)目標(biāo)是指數(shù)據(jù)應(yīng)用五是重點(diǎn)推進(jìn)關(guān)鍵領(lǐng)域與行業(yè)發(fā)展。針對(duì)關(guān)鍵領(lǐng)域和行業(yè)，如工業(yè)互聯(lián)網(wǎng)、智慧城市、交通運(yùn)輸?shù)?，?guó)家發(fā)布了多項(xiàng)指導(dǎo)意見(jiàn)和實(shí)施方案，推動(dòng)這些領(lǐng)域的數(shù)據(jù)安全保護(hù)。例如《深化智慧城14權(quán)益保護(hù)法》）20131025《中共中央國(guó)務(wù)院關(guān)于構(gòu)建更加完善的要素市場(chǎng)化配置體《中華人民共和國(guó)國(guó)民經(jīng)濟(jì)和社會(huì)發(fā)展第十四個(gè)五年規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》20213推進(jìn)數(shù)據(jù)跨部門(mén)、跨層級(jí)、跨地區(qū)匯聚融合和深度利用。建立健120226劃（2024—2026）》202312國(guó)內(nèi)數(shù)據(jù)安全標(biāo)準(zhǔn)化工作已經(jīng)從頂層設(shè)計(jì)到行業(yè)落地全面準(zhǔn)化工作是重中之重。側(cè)、運(yùn)維側(cè)、API火墻、API2算結(jié)果在進(jìn)行對(duì)應(yīng)的同態(tài)解密后的明文等同于對(duì)明文數(shù)據(jù)直接進(jìn)行相同的計(jì)算，實(shí)現(xiàn)數(shù)據(jù)的“可算不可見(jiàn)”。即除了能實(shí)現(xiàn)基本的加密操作外，還能實(shí)現(xiàn)密文間的多種計(jì)算功能，即先計(jì)算后推動(dòng)了數(shù)據(jù)流通安全市場(chǎng)規(guī)模的持續(xù)性擴(kuò)張，覆蓋從數(shù)據(jù)加密、脫敏處理到訪問(wèn)權(quán)限控制和審計(jì)追蹤等全方位安全產(chǎn)品與服務(wù)的供應(yīng)。同時(shí)，在國(guó)家政策推動(dòng)及數(shù)據(jù)安全需求的共同驅(qū)動(dòng)下，2025全產(chǎn)業(yè)基礎(chǔ)能力和綜合實(shí)力明顯增強(qiáng)，數(shù)據(jù)安全產(chǎn)業(yè)規(guī)模超過(guò)150030%2035入繁榮成熟期。產(chǎn)業(yè)政策進(jìn)一步健全，數(shù)據(jù)安全關(guān)鍵核心技術(shù)、我國(guó)數(shù)據(jù)流通安全領(lǐng)域的人才體系建設(shè)正展現(xiàn)出積極的發(fā)展態(tài)勢(shì)，通過(guò)教育體系優(yōu)化、專業(yè)認(rèn)證強(qiáng)化、高端人才引進(jìn)及科研平安全的因素眾多，但唯有數(shù)據(jù)安全和網(wǎng)絡(luò)安全具有“牽一發(fā)而動(dòng)數(shù)據(jù)已經(jīng)成為新生產(chǎn)要素，數(shù)據(jù)安全決定數(shù)據(jù)要素作用能否發(fā)揮，助力數(shù)字經(jīng)濟(jì)高質(zhì)量112018520185規(guī)范公共數(shù)據(jù)資源復(fù)用和企業(yè)間數(shù)據(jù)交易，推動(dòng)數(shù)據(jù)共享服務(wù)提供者作為中介20217歷經(jīng)多次修訂，擴(kuò)大了公共數(shù)據(jù)的開(kāi)放促進(jìn)公共數(shù)據(jù)的有效利用和經(jīng)濟(jì)價(jià)值的21966要求聯(lián)邦政府機(jī)構(gòu)應(yīng)公開(kāi)其記錄和信個(gè)人隱私等。此法確保了公眾有權(quán)獲取政府信息，提升了政府透明度和數(shù)據(jù)流20071231FOIA，旨在改善信息請(qǐng)求處理的2009128要求聯(lián)邦機(jī)構(gòu)采取具體步驟提高透明20191142020202020216（OGP在國(guó)際層面上與美國(guó)建立“數(shù)據(jù)橋”，并與歐盟及亞太國(guó)家協(xié)商，努力維護(hù)韓國(guó)通過(guò)成立國(guó)家數(shù)據(jù)政策委員會(huì)集中了政府與民間的智2017（RCEP）（CPTPP3國(guó)家層面在公共數(shù)據(jù)開(kāi)發(fā)開(kāi)放方面，陸續(xù)出臺(tái)了諸多條例、公共數(shù)據(jù)開(kāi)放管理辦法、公共數(shù)據(jù)資源開(kāi)放開(kāi)發(fā)管理辦法、政府44在國(guó)家層面上對(duì)于數(shù)據(jù)交易的指導(dǎo)原則和規(guī)范融入在一系556202277202377數(shù)據(jù)跨境流轉(zhuǎn)及合規(guī)性的高度重視與積極行動(dòng)。國(guó)際組織ISO/IECJTC1NIST一、國(guó)際組織1、ISO/IECJTC1/SC27，專8ISO/IECJTC1Informationsecurity,cybersecurityandprivacyprotection-Informationsecuritymanagementsystems-定義了信息安全管理體系的要求，確保組織能夠識(shí)的控制措施以保護(hù)信息資Informationsecurity,cybersecurityandprivacyprotection-Informationsecurity提供了選擇和實(shí)施信息安制措施直接關(guān)系到數(shù)據(jù)保Informationtechnology-Securitytechniques-Codeofpracticeforprotectionofpersonallyidentifiableinformation(PII)inpubliccloudsactingasPII關(guān)注公有云環(huán)境中個(gè)人數(shù)Informationtechnology-Securitytechniques-NetworkCybersecurity-Supplier在供應(yīng)鏈中的安全流通管Securitytechniques—ExtensiontoISO/IEC27001andISO/IECforprivacyinformationmanagement—RequirementsandISO/IEC27001ISO/IEC27002，為隱私信息管理和個(gè)人數(shù)據(jù)處理提數(shù)據(jù)流通中的隱私保護(hù)至Informationtechnology-Securitytechniques-CodeofpracticeforinformationsecuritycontrolsbasedonISO/IEC27002forcloud為云服務(wù)的信息安全管理Securitytechniques-Selection,deploymentandoperationsofintrusiondetectionandpreventionsystems關(guān)注信息安全的加密技術(shù)輸和存儲(chǔ)中的加密提供指NIST（NationalInstituteofStandardsandTechnology）是美國(guó)商務(wù)部下屬的一個(gè)非監(jiān)管機(jī)9NIST9NISTSecurityandNISTControlsfor從物理安全到數(shù)據(jù)保護(hù)多800-SystemsProtecting專門(mén)針對(duì)非聯(lián)邦系統(tǒng)中受NISTUnclassified800-inNonfederal其中包括數(shù)據(jù)的傳輸安全andNISTSP800-GuidetoProtectingtheConfidentialityofPersonallyIdentifiableInformation含了數(shù)據(jù)傳輸和分享過(guò)程N(yùn)ISTSP800-GuidetoData-CentricSystemThreat了關(guān)于數(shù)據(jù)在云環(huán)境中的NISTSP800-WorkforceFrameworkforCybersecurity(NICE關(guān)注網(wǎng)絡(luò)安全人員的技能NISTSP800-ApplicationContainerSecurityGuide關(guān)注容器安全和數(shù)據(jù)流通IEEE10IEEEIEEEIEEEStandardforTechnicalFrameworkandRequirementsofTrustedExecutionEnvironmentbasedSharedMachineStandardforaReferenceFrameworkofDataSecurityCirculationSystemBasedonBlockchainandFederatedIEEEIEEEStandardforBigDataBusinessSecurityIEEEIEEEApprovedDraftStandardforTrustedMatrixSystem作。TC26011。11TC260GB/T43207-2023GB/T20945-信息安全技術(shù)網(wǎng)2023GB/T42460-信息安全技術(shù)個(gè)2023GB/T39786-信息安全技術(shù)信202110GB/T39477-202011GB/T2020名第2202011GB/T35273-202010GB/T37932-2019GB/T37973-2019GB/T37964-2019GB/T37988-信息安全技術(shù)數(shù)2019GB/T36624-2018GB/T42572-2023GB/T42571-2023GB/T42570-2023GB/T41388-2022GB/T43557-信息安全技術(shù)網(wǎng)2024GB/T43697-2024GB/T32907-SM42016GB/TSM22016GB/T33133-信息安全技術(shù)祖2016GB/T2020技術(shù)SM9SM92020GB/T32905-SM32016GB/T37964-信息安全技術(shù)個(gè)2019GB/T37988-信息安全技術(shù)個(gè)2020GB/T39205安全技術(shù)輕量級(jí)202010全國(guó)信息技術(shù)標(biāo)準(zhǔn)化技術(shù)委員會(huì)（SACTC28）負(fù)責(zé)信息技術(shù)12TC28GB/T務(wù)外包第22019GB/T386642020GB/T38667-20202024年5與集中的關(guān)鍵一步。其將負(fù)責(zé)數(shù)據(jù)資源、數(shù)據(jù)技術(shù)、數(shù)據(jù)流通、智慧城市、數(shù)字化轉(zhuǎn)型等基礎(chǔ)通用標(biāo)準(zhǔn)，以及支撐數(shù)據(jù)流通利用的數(shù)據(jù)基礎(chǔ)設(shè)施標(biāo)準(zhǔn)和保障數(shù)據(jù)流通利用的安全標(biāo)準(zhǔn)制修訂工作。旨在從頂層規(guī)劃和設(shè)計(jì)出發(fā)，統(tǒng)一協(xié)調(diào)全國(guó)范圍內(nèi)的數(shù)據(jù)安13JT/T1480-202311YD/T4386-2023YD/T4251-2023YD/T4245-2023YD/T4242-2023YD/T2441-2013YD/T3592-2019YD/T3768-2020YD/T4219-5G5G5G述、5G2023T/TAF137-App202211DL/T2549-202211YD/T3954-202112GY/T351-2021YD/T3806-202012JR/T0197-2020GA/T913-2019JR/T0295-202310JR/T20202020JR/T20212020NB/T2023202310GM/T0126-202312GM/T0127-202312GM/T0128-202312GM/T0129-202312GM/T0130-202312GM/T0131-202312GM/T0132-202312201414142202310DB20235DB51/T20234DB31/T20231DB36/B61/T202212DB36/T2022520224DB33/T20217DB31/T1311—20217DB34/T20211DB15/T20215DB52/T202112201931515.3-2023-2023472-2023473-2023481-2023004-2023005-202321—202322—20232023202351—202320232023T/CIQA2024T/CIQA2024091-2024國(guó)際合作等諸多方面依舊存在許多需求與挑戰(zhàn)需要通過(guò)標(biāo)準(zhǔn)化一是數(shù)據(jù)流通法律法規(guī)要求不統(tǒng)一。在數(shù)據(jù)流通安全方面，但是不同國(guó)家和地區(qū)對(duì)于數(shù)據(jù)流通的法律法規(guī)和政策要求存在較大差距，這導(dǎo)致跨國(guó)數(shù)據(jù)流通時(shí)難以確保全面合規(guī)。另外，隨著數(shù)據(jù)流通過(guò)程中數(shù)據(jù)安全技術(shù)和手段不足的風(fēng)險(xiǎn)，涉及數(shù)據(jù)泄露、數(shù)據(jù)篡改、數(shù)據(jù)丟失等多個(gè)方面，這些風(fēng)險(xiǎn)直接威脅到數(shù)據(jù)的機(jī)密性、完整性和可用性。者可能通過(guò)破解加密算法或利用加密過(guò)程中的弱點(diǎn)來(lái)獲取未加密的數(shù)據(jù)，導(dǎo)致數(shù)據(jù)泄露。訪問(wèn)控制機(jī)制不完善或執(zhí)行不嚴(yán)，攻擊者可能通過(guò)偽造身份、繞過(guò)安全策略等方式非法訪問(wèn)數(shù)據(jù)。數(shù)4-14-14-2。4-2安全體系架構(gòu)有助于準(zhǔn)確理解數(shù)據(jù)流通安全保障包含的結(jié)構(gòu)層次、功能要素及其關(guān)系，指導(dǎo)數(shù)據(jù)安全的頂層設(shè)計(jì)和架構(gòu)建立，為規(guī)劃和設(shè)計(jì)數(shù)據(jù)流通安全其他標(biāo)準(zhǔn)提供基礎(chǔ)參考。出針對(duì)支撐數(shù)據(jù)流通基礎(chǔ)設(shè)施安全和數(shù)據(jù)流通全生命周期安全相關(guān)技術(shù)標(biāo)準(zhǔn)的制定。數(shù)據(jù)流通匿名化技術(shù)指南旨在說(shuō)明隱私技術(shù)涉及多種技術(shù)數(shù)據(jù)流通安全風(fēng)險(xiǎn)監(jiān)測(cè)旨在規(guī)定數(shù)據(jù)流通過(guò)程中對(duì)有可能產(chǎn)生安全風(fēng)險(xiǎn)的環(huán)節(jié)進(jìn)行監(jiān)控的要求。數(shù)據(jù)流通溯源風(fēng)險(xiǎn)監(jiān)測(cè)旨在規(guī)定在突發(fā)數(shù)據(jù)安全泄露事件據(jù)質(zhì)量標(biāo)準(zhǔn)規(guī)則。數(shù)據(jù)流通資產(chǎn)識(shí)別技術(shù)指南明確數(shù)據(jù)流通全生命周期中的資產(chǎn)識(shí)別方法，為相關(guān)進(jìn)行資產(chǎn)識(shí)別提供指導(dǎo)。數(shù)據(jù)流通數(shù)據(jù)脫敏技術(shù)標(biāo)準(zhǔn)旨在國(guó)家現(xiàn)有數(shù)據(jù)脫敏技術(shù)的數(shù)據(jù)流通安全保護(hù)管理類標(biāo)準(zhǔn)與安全技術(shù)類標(biāo)準(zhǔn)共同落實(shí)數(shù)據(jù)流通安全事件分類分級(jí)指南旨在明確安全事件分類和分級(jí)的方法，界定安全事件類別和級(jí)別，并明確，安全事件分類監(jiān)測(cè)預(yù)警和應(yīng)急處置等活動(dòng)提供指導(dǎo)。數(shù)據(jù)提供方安全能力評(píng)估要求針對(duì)數(shù)據(jù)提供方提出具體的要求，如數(shù)據(jù)提供方的合法身份、數(shù)據(jù)提供方提供數(shù)據(jù)的質(zhì)量、完整性及安全性等，確保采集到的數(shù)據(jù)來(lái)源可靠、數(shù)據(jù)可信。數(shù)據(jù)服務(wù)提供方安全能力要求針對(duì)數(shù)據(jù)服務(wù)提供方所具有數(shù)據(jù)