|
建议项目名称
(中文)
|
电信领域数据安全评估规范
|
建议项目名称
(英文)
|
Guidelines for Telecommunication Networks and Internet Data Security Assessment
|
|
制定或修订
|
□制定 ■修订
|
被修订标准号
|
YD/T 3956-2021
|
|
采用程度
|
□IDT □MOD □NEQ
|
采标号
|
|
|
国际标准名称
(中文)
|
|
国际标准名称
(英文)
|
|
|
采用快速程序
|
□FTP
|
快速程序代码
|
□B □C
|
|
ICS分类号
|
35.020
|
中国标准分类号
|
L70
|
|
牵头单位
|
中国信息通信研究院
|
体系编号
|
G
|
|
参与单位
|
中国移动通信集团有限公司,中国联合网络通信集团有限公司,中国电信集团有限公司,数据通信科学技术研究所,北京天融信网络安全技术有限公司,华信咨询设计研究院有限公司,中安威士(北京)科技有限公司,深圳市腾讯计算机系统有限公司,阿里云计算有限公司,北京金山云网络技术有限公司
|
完成周期(月)
|
18
|
|
目的、意义
或必要性
|
本标准是电信网和互联网数据安全评估系列标准的子标准,旨在围绕电信网和互联网数据安全要求确定的合规性要求,明确数据安全评估的框架和流程,规范评估实施效果和结果应用。
一是随着数字经济时代的到来,网络数据的开发利用日益成为经济社会发展新的驱动力,网络数据资源已经成为与物质资产和人力资本同样重要的基础生产要素。与此同时,近年来数据安全形势越发严峻,各种数据安全事件层出不穷,数据泄露事件频繁发生,过度收集、滥用个人信息问题普遍存在,非法数据共享与交易带来的安全挑战愈加严峻,国家重要数据资源流失风险加剧。在此形势下,需及时加强数据安全管理措施研究。
由于数据资源与传统资源不同,具有流动特性,需要切实加强数据全生命周期的各个环节的安全管理,针对各应用领域和业务场景下的不同特点,形成闭环安全管理模式,保障数据安全,保护用户合法权益,维护国家重要数据安全。
随着《数据安全法》的落地实施,工业和信息化部加速推动电信领域数据安全管理要求落地实施,研究起草《工业和信息化领域网络数据安全管理办法(试行)》(征求意见稿)对数据安全提出新的管理要求,为切实推动相关管理要求落地实施,指导企业开展数据安全合规性评估工作,提升企业数据安全保障能力,针对《电信网和互联网数据安全评估规范》进行标准修订工作,依据最新法律法规,修订评估要点、流程和方法,贴合现阶段我国数据安全管理政策方针和具体要求。
|
|
范围和主要
技术内容
|
本标准主要适用于在通信行业中组织开展的数据安全评估工作。
本标结合数据安全全生命周期的特性,制定网络数据安全评估方法评估框架模型,规范安全风险评估流程,明确数据安全评估的评测指标等,切实指引企业科学、规范的开展数据安全评估,有效识别数据安全风险。
|
|
国内外情况
简要说明
|
目前国内外高度重视网络数据安全,且以安全评估的方式提升企业数据安全保障能力,保护数据安全逐渐成为数据安全的一种重要管理方式,我国相关标准制定工作起步较晚,安全评估相关国家标准、行业标准多围绕传统网络安全、系统安全,个人信息保护、数据安全等安全评估指南类标准较少,且正在制定过程中,尚未正式发布实施。例如,国家标准《信息安全技术 信息安全风险评估实施指南》、《信息安全技术 个人信息影响评估指南》(公开征求意见稿)、《信息安全技术 数据出境安全评估指南》(公开征求意见稿),行业标准《电信网和互联网安全风险评估实施指南》、《互联网新技术新业务安全评估指南》(送审稿)等,存在针对网络数据安全评估专项性标准规范缺失的问题,本标准从此方向入手,弥补我国行业标准在这一领域的空白,指引企业科学规范的开展网络数据安全评估,落实相关法律法规要求。
|
|
备注
|
|
|
牵头单位
|
(签字、盖公章)
月 日
|
标准化技术组织
|
(签字、盖公章)
月 日
|
部委托机构
|
(签字、盖公章)
月 日
|
|