全球数据安全标准和认证展望

本文参考信标委TC260数据安全标准体系研究，将分别对国际标准组织ISO、国际电信联盟ITU-T、美国国家标准组织NIST、我国国家数据安全标准组织TC 260、以及互联网行业管理部门工信部下属行标数据安全组织CCSA TC8的相关数据安全标准及其体系和常见数据安全认证进行梳理。

一、ISO隐私和数据安全标准

ISO隐私和数据安全标准主要由下属安全技术分委员会ISO/IEC JTC1 SC27制定，其发布的隐私保护保障体系如下：

               SC27隐私保护标准体系图

其中，SC27 WG5身份管理和隐私保护技术工作组，主要负责隐私保护标准研制，目前已发布8项隐私保护标准，2项技术研究报告，在研1项标准，如下表所示：

                                      SC27隐私保护国际标准

此外，SC27 WG4安全控制和服务工作组已发布3项数据安全相关国际标准，在研6项标准，研究项目1项，如下表所示：

                                     SC27数据安全国际标准

二、ITU-T数据安全标准

ITU-T国际电联SG17安全标准工作组硏制的数据安全和隐私保护标准，主要涉及电信运营商、通信组织、电子商务等的数据安全和个人信息保护标准。

                                         ITU-T数据安全标准

三、美国NIST数据安全标准

美国国家标准与技术研究院（NIST）于2012年6月启动了大数据相关基木概念、技术和标准需求的研究，2013年5月成立了NST大数据公共工作组（ NBG-PWG），对所有感兴趣的相关方开放，无会员费，旨在通过结合行业、学术和政府等各方力量加速对大数据这一新兴产业的采纳，其成果由NIST评审和发布。

美国NIST标准现有数据安全标准，主要涉及受控非保密信息、个人可识别信息等主题的数据安全和隐私保护标准，如下表所示：

                                     NIST数据安全标准

四、TC260数据安全国家标准

2016年，全国信安标委（TC260）成立大数据安全标准特别工作组（SWG-BDS），主要负责数据安全、云计算安全等新技术新应用标准研制。目前，TC260围绕数据安全和个人信息保护两个方向，已发布6项国家标准，在研标准10项，研究项目18项。现有数据安全国家标准已初成体系，如下表所示。                                                   

现有数据安全国家标准

在个人信息保护方向，主要聚焦于个人信息保护要求、去标识技术、App收集个人信息、隐私工程、影响评估、告知同意、云服务等内容，已发布GB/T35273《个人信息安全规范》、GB/T37964《个人信息去标识化指南》2项标准，在研5项标准，2项标准研究项目。

在数据安全方向，主要围绕数据安全能力、数据交易服务、出境评估、政务数据共享、健康医疗数据安全、电信数据安全等内容，已发布GB/T35274《大数据服务安全能力要求》、GBT37932《数据交易服务安全要求》、GB/T37973《大数据安全管理指南》、GBT37988《数据安全能力成熟度模型》4项标准，在研5项标准，16项标准研究项目。

五、CCSA数据安全行业标准

2019年7月1日工信部发布《电信和互联网行业提升网络数据安全保护能力专项行动方案》，方案中提到了要出台行业《网络数据安全标准体系建设指南》，加快完善行业网络数据安全标准体系。该项工作由CCSA TC8 SWG1（数据安全特设组）承担，目前规划的数据安全标准体系包括基础共性、关键技术、安全管理、重点领域四大类标准，如下图所示：

                                工信部数据安全行业标准体系

基础共性标准包括术语定义、数据安全框架、数据分类分级，相关标准为各类标准提供基础性支撑。

关键技术标准从数据采集、传输、存储、处理、交换、销毁等数据全生命周期维度对数据安全关键技术进行规范。

安全管理标准从网络数据安全保护的管理视角出发，指导行业有效落实法律法规关于网络数据安全管理的要求，包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。

重点领域标准结合相关领域的实际情况和具体要求，指导行业有效开展重点领域网络数据安全保护工作。围绕我国新业务新技术的发展现状，重点在5G、工业互联网、车联网、物联网、人工智能、区块链、安全应用等垂直领域率先实现突破，并逐步覆盖电信和互联网行业其他垂直领域。

六、国内外常见数据安全认证

认证：指由国家认可的认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。对应上述国内外数据安全标准，常见的数据安全认证如下：

·       国内数据安全认证

等保：网络安全等级保护测评，主要测评依据GB/T 22239-2019信息安全技术 网络安全等级保护基本要求；

APP安全认证：移动互联网应用程序（App）安全认证，主要认证标准GB/T 35273-2020 信息安全技术 个人信息安全规范；

数据安全认证：在研，主要认证标准 信息安全技术 数据安全管理基本要求（草案）；GB/T 35273-2020 信息安全技术 个人信息安全规范；

·       国外数据安全认证

PCI DSS：支付卡行业数据安全标准认证，主要检测依据Payment Card Industry Data Security Standard；

SOC：System and Organization Controls Reports系统和机构控制报告，主要审计依据是美国注册会计师协会（AICPA）SSAE（鉴证业务准则公告）16（SOC 1）、ISAE 3402、AT（核证准则）101（SOC 2 或 SOC 3）等相关准则；

ISO/IEC 27001：信息安全管理体系认证，主要认证标准ISO/IEC 27001:2013；

ISO/IEC 27018：公有云个人信息保护国际认证，主要认证标准ISO/IEC 27018:2019；

ISO/IEC 27701：隐私信息管理体系认证，主要认证标准ISO/IEC 27701:2018；

ISO/IEC 29151：个人身份信息保护实践指南认证，主要认证标准ISO/IEC 29151:2017；

七、腾讯数据安全解决方案助力企业数据保护

“科技向善 数据有度”是腾讯在数据安全以及用户隐私数据保护秉承的理念。数据安全问题既是技术问题，也是管理问题，需要一套行之有效的数据管理策略。腾讯通过数据安全技术加持、建立数据安全中台等措施，为数据应用的安全与合规提供系统性的解决方案，并通过腾讯云服务对外输出数据安全保护以及数据合规能力。

腾讯云数据安全中台通过云数据加密代理网关、云加密机、密钥管理系统、凭据管理系统、数据安全审计、堡垒机、敏感数据处理、数据安全治理中心等七大产品，打造了端到端的云数据全生命周期安全体系，实现从数据获取、事务处理及检索、数据分析与服务，数据访问与消费过程中的安全防护，企业可据此极简快速地构建云上数据的全生命周期的安全防护体系。腾讯云数据安全中台的产品组件，如密钥管理系统KMS的产品技术规范已经通过PCI DSS、 ISO/IEC 27701、ISO 27001、ISO27017、ISO27018、MTCS、HIPPA、SOC、CSA STAR等数据安全认证。