2020全球数据安全标准和认证展望

2020-05-06 13:40:30 浏览数 (2)

本文参考信标委TC260数据安全标准体系研究,将分别对国际标准组织ISO、国际电信联盟ITU-T、美国国家标准组织NIST、我国国家数据安全标准组织TC 260、以及互联网行业管理部门工信部下属行标数据安全组织CCSA TC8的相关数据安全标准及其体系和常见数据安全认证进行梳理。

一、ISO隐私和数据安全标准

ISO隐私和数据安全标准主要由下属安全技术分委员会ISO/IEC JTC1 SC27制定,其发布的隐私保护保障体系如下:

(SC27隐私保护标准体系图)

其中,SC27 WG5身份管理和隐私保护技术工作组,主要负责隐私保护标准研制,目前已发布8项隐私保护标准,2项技术研究报告,在研1项标准,如下表所示:

(SC27隐私保护国际标准)

此外,SC27 WG4安全控制和服务工作组已发布3项数据安全相关国际标准,在研6项标准,研究项目1项,如下表所示:

(SC27数据安全国际标准)

二、ITU-T数据安全标准

ITU-T国际电联SG17安全标准工作组硏制的数据安全和隐私保护标准,主要涉及电信运营商、通信组织、电子商务等的数据安全和个人信息保护标准。

(ITU-T数据安全标准)

三、美国NIST数据安全标准

美国国家标准与技术研究院(NIST)于2012年6月启动了大数据相关基木概念、技术和标准需求的研究,2013年5月成立了NST大数据公共工作组( NBG-PWG),对所有感兴趣的相关方开放,无会员费,旨在通过结合行业、学术和政府等各方力量加速对大数据这一新兴产业的采纳,其成果由NIST评审和发布。

美国NIST标准现有数据安全标准,主要涉及受控非保密信息、个人可识别信息等主题的数据安全和隐私保护标准,如下表所示:

(NIST数据安全标准)

四、TC260数据安全国家标准

2016年,全国信安标委(TC260)成立大数据安全标准特别工作组(SWG-BDS),主要负责数据安全、云计算安全等新技术新应用标准研制。目前,TC260围绕数据安全和个人信息保护两个方向,已发布6项国家标准,在研标准10项,研究项目18项。现有数据安全国家标准已初成体系,如下表所示。

(现有数据安全国家标准)

在个人信息保护方向,主要聚焦于个人信息保护要求、去标识技术、App收集个人信息、隐私工程、影响评估、告知同意、云服务等内容,已发布GB/T35273《个人信息安全规范》、GB/T37964《个人信息去标识化指南》2项标准,在研5项标准,2项标准研究项目。

在数据安全方向,主要围绕数据安全能力、数据交易服务、出境评估、政务数据共享、健康医疗数据安全、电信数据安全等内容,已发布GB/T35274《大数据服务安全能力要求》、GBT37932《数据交易服务安全要求》、GB/T37973《大数据安全管理指南》、GBT37988《数据安全能力成熟度模型》4项标准,在研5项标准,16项标准研究项目。

五、CCSA数据安全行业标准

2019年7月1日工信部发布《电信和互联网行业提升网络数据安全保护能力专项行动方案》,方案中提到了要出台行业《网络数据安全标准体系建设指南》,加快完善行业网络数据安全标准体系。该项工作由CCSA TC8 SWG1(数据安全特设组)承担,目前规划的数据安全标准体系包括基础共性、关键技术、安全管理、重点领域四大类标准,如下图所示:

(工信部数据安全行业标准体系)

基础共性标准包括术语定义、数据安全框架、数据分类分级,相关标准为各类标准提供基础性支撑。

关键技术标准从数据采集、传输、存储、处理、交换、销毁等数据全生命周期维度对数据安全关键技术进行规范。

安全管理标准从网络数据安全保护的管理视角出发,指导行业有效落实法律法规关于网络数据安全管理的要求,包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。

重点领域标准结合相关领域的实际情况和具体要求,指导行业有效开展重点领域网络数据安全保护工作。围绕我国新业务新技术的发展现状,重点在5G、工业互联网、车联网、物联网、人工智能、区块链、安全应用等垂直领域率先实现突破,并逐步覆盖电信和互联网行业其他垂直领域。

六、国内外常见数据安全认证

认证:指由国家认可的认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。对应上述国内外数据安全标准,常见的数据安全认证如下:

  • 国内数据安全认证

等保:网络安全等级保护测评,主要测评依据GB/T 22239-2019信息安全技术网络安全等级保护基本要求;

APP安全认证:移动互联网应用程序(App)安全认证,主要认证标准GB/T 35273-2020 信息安全技术个人信息安全规范;

数据安全认证:在研,主要认证标准信息安全技术数据安全管理基本要求(草案);GB/T 35273-2020 信息安全技术个人信息安全规范;

  • 国外数据安全认证

PCI DSS:支付卡行业数据安全标准认证,主要检测依据Payment Card Industry Data Security Standard;

SOC:System and Organization Controls Reports系统和机构控制报告,主要审计依据是美国注册会计师协会(AICPA)SSAE(鉴证业务准则公告)16(SOC 1)、ISAE 3402、AT(核证准则)101(SOC 2 或 SOC 3)等相关准则;

ISO/IEC 27001:信息安全管理体系认证,主要认证标准ISO/IEC 27001:2013;

ISO/IEC 27018:公有云个人信息保护国际认证,主要认证标准ISO/IEC 27018:2019;

ISO/IEC 27701:隐私信息管理体系认证,主要认证标准ISO/IEC 27701:2018;

ISO/IEC 29151:个人身份信息保护实践指南认证,主要认证标准ISO/IEC 29151:2017;

七、腾讯数据安全解决方案助力企业数据保护

“科技向善数据有度”是腾讯在数据安全以及用户隐私数据保护秉承的理念。数据安全问题既是技术问题,也是管理问题,需要一套行之有效的数据管理策略。腾讯通过数据安全技术加持、建立数据安全中台等措施,为数据应用的安全与合规提供系统性的解决方案,并通过腾讯云服务对外输出数据安全保护以及数据合规能力。

腾讯云数据安全中台通过云数据加密代理网关、云加密机、密钥管理系统、凭据管理系统、数据安全审计、堡垒机、敏感数据处理、数据安全治理中心等七大产品,打造了端到端的云数据全生命周期安全体系,实现从数据获取、事务处理及检索、数据分析与服务,数据访问与消费过程中的安全防护,企业可据此极简快速地构建云上数据的全生命周期的安全防护体系。腾讯云数据安全中台的产品组件,如密钥管理系统KMS的产品技术规范已经通过PCI DSS、 ISO/IEC 27701、ISO 27001、ISO27017、ISO27018、MTCS、HIPPA、SOC、CSA STAR等数据安全认证。

关注云鼎实验室,获取更多安全情报

0 人点赞