×

应对 正确 风险 数字 时代

数字经济时代,如何正确应对数据安全风险?

jnlyseo998998 jnlyseo998998 发表于2023-04-07 11:11:03 浏览25 评论0

抢沙发发表评论

想要获取更多信息,请关注微信公众号:道普信息

随着数字经济时代的到来,数据已成为最有价值的生产要素,对于政务、工业、电信、交通、金融、卫生健康等关键领域以及大型互联网公司而言,数据安全需求成为重点。2022年,数据安全领域法规政策密集发布,国家层面,《数据安全法》及《个人信息保护法》等共同构筑了数据安全保护的基础性“法律堡垒”。地方层面,浙江、上海、山东等多个省市纷纷出台数据相关条例,对数据赋能产业、数据安全保护、数据共享等内容进行规制,以促进当地数字经济高质量发展,为安全技术与产业发展提供指引,筑牢国家数字安全屏障,为网络强国建设提供有力支撑。

数据安全与国家安全的关系紧密,同时也随着国家对于数据安全高度重视,数据安全相关的法律法规政策逐渐完善,监管逐渐趋严。

数据安全面临五大风险

面临严峻的数据安全风险防护和合规监管要求形势,道普信息风险管控专家指出,在数据释放价值的同时,在数据安全方面还存在五大风险。

01 数据安全合规风险

数据多层级、多统、多角色的使用、提取中存在数据泄露、数据资源滥用等风险,无法满足监管部门对数据安全的要求;网络安全监管要求越来越多,满足监管的难度越来越大。

02 数据安全共享风险

数据开放共享扩大了数据访问的范围,移动应用数据资源跨领域、共享使用十分频繁。在数据流转过程中,数据不免被各方调取、使用、或存储到本地,共享管理责任不明确、数据超范围共享、扩大数据暴露面等安全风险和隐患,将增加数据泄露风险。

03 数据方向性风险

数据建设方向不明确,缺乏规划和治理。

04 数据分类分级风险

基础制度建设相对滞后,无法有效支撑数据分类分级工作;传统数据分类分级工具在敏感数据的宽度、精度识别率不高;面向海量数据的数据资产分类分级,专业人员数量缺口巨大。

05 数据全生命周期风险

数据在采集、存储、传输、处理、交换、销毁的数据生存周期中,存在功能性、可靠性、安全性、性能、易用性等风险。

构建数据安全防护体系,筑牢数据安全防线

在数字经济时代下,数据作为新型生产要素的重要性日益凸显,国家出台了一系列数据安全相关的法律法规,体现了合规升级、监管趋严的宏观趋势。在数据安全风险和合规要求的驱动下,道普信息风险管控专家建议,安全是整体,合规是基准,可以借助专业的第三方风险管控服务,构建以合规为底线、以技术为保障的数据安全防护体系,采取多规管理融合、数据安全风险评估等手段,确保数据安全风险可控,促进数据安全保护的落地执行,提高客户的数据安全意识、数据安全技术。

展开全文

1多规管理融合加强数据安全合规

基于数据安全国家和行业监管要求,开展等保、关保等多规测评,针对风险提出改进建议,帮助完成合规整改。强化数据安全风险评估,对数据全生命周期进行风险识别和评估,提升数据安全保障能力、风险发现能力,确保数据安全风险可控。

2数据安全治理咨询保障数据平台的落地

通过数据治理体系建设,不断开发创新的数据服务,融合目标、流程、方法、工具,建立覆盖数据全生命周期的"数据管理机制、数据管理平台、数据开放平台“框架,实现数据的资产化、可视化、服务化,保障数据的核心价值。

3安全技术构建数据安全防护体系

针对数据安全的风险,数据安全技术框架遵循主动防御思想,从空间维度实现纵深防御,从时间维度实现全链条防护,形成统一管理、分层部署的安全技术体系,对全部纵深防护环节进行整体控制,实现环境感知,可信控制。

本文搜集了2022年度数据安全相关的19项国家政策法规、24项行业政策、27项部分省市法规、31条国家标准以及14篇行业相关报告。

国家政策法规

1《要素市场化配置综合改革试点总体方案》

《方案》要求完善公共数据开放共享机制、建立健全数据流通交易规则、拓展规范化数据开发利用场景、加强数据安全保护。

2《“十四五”数字经济发展规划》

《规划》部署了八项重点任务,在数字经济安全体系方面,提出了三个方向的要求,一是增强网络安全防护能力、二是提升数据安全保障水平、三是切实有效防范各类风险,并系统阐述了网络安全对于数字经济的独特作用及重要性。

3《关于推动平台经济规范健康持续发展的若干意见》

《意见》强化数据安全管理工作;推动平台企业深入落实网络安全等级保护制度,探索开展数据安全风险态势监测通报,建立应急处置机制。

4《网络安全审查办法》

《办法》以关键信息基础设施的供应链安全为核心,重点加强对数据安全的关注和规范,聚焦网络产品、服务及数据处理活动,助推关键信息基础设施与网络平台的高质量发展。

5《关于加快推进电子证照扩大应用领域和全国互通互认的意见》

《意见》要求扩大电子证照应用领域、推动电子证照全国互通互认、全面提升电子证照应用支撑能力。

6《人民法院在线运行规则》

《规则》提出各级人民法院应当建设安全保障系统,为人民法院在线运行提供网络和信息安全保障,并明确提出依法采集、存储、处理和使用数据,保护国家秘密、商业秘密、个人隐私和个人信息,保障人民法院在线运行信息安全。

7《互联网信息服务算法推荐管理规定》

《规定》提出,建立健全算法机制机理审核、信息发布审核、数据安全和个人信息保护、安全评估监测、安全事件应急处置等管理制度和技术措施。

8《关于推进实施国家文化数字化战略的意见》

《意见》提出依照国家有关数据安全的法律法规,加强文化数据安全保障,在数据采集加工、交易分发、传输存储及数据治理等环节,制定文化数据安全标准。

9《数据安全管理认证实施规则》

《规则》规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。

10《移动互联网应用程序信息服务管理规定》

《规定》自2022年8月1日起施行,旨在范移动互联网应用程序信息服务。《规定》指出,建立健全信息内容安全管理、信息内容生态治理、数据安全和个人信息保护、未成年人保护等管理制度,确保网络安全,维护良好网络生态。

11《关于加强数字政府建设的指导意见》

《意见》指出建立数字政府安全评估,加强对参与政府信息化建设、运营企业的规范管理,加大对涉及国家秘密、工作秘密、商业秘密、个人隐私和个人信息等数据的保护力度,完善相应问责机制,依法加强重要数据出境安全管理。

12《互联网用户账号信息管理规定》

《规定》自2022年8月1日施行,提出建立健全并严格落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理制度。互联网信息服务提供者应当依法保护和处理互联网用户账号信息中的个人信息,并采取措施防止未经授权的访问以及个人信息泄露、篡改、丢失。

13《数据出境安全评估办法》

《办法》自2022年9月1日起施行,旨在进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。

14《民政部贯彻落实《国务院关于加强数字政府建设的指导意见》的实施方案》

《实施方案》明确提出,创建数据管理机制,深化数据高效共享,促进数据有序开发利用,以构建开放共享的民政数据资源体系。

15《全国一体化政务大数据体系建设指南》

《指南》提出政务数据安全保障能力亟需强化,数据安全技术防护能力亟待加强,缺乏专业化的数据安全运营团队,数据安全管理的规范化水平有待提升。

16《“十四五”全民健康信息化规划》

《规划》提出加快健全完善网络安全等级保护、数据安全、个人信息保护等标准体系,落实数据出境安全管理制度,加强医疗设备相关网络和数据安全监管。

17《“十四五”中医药信息化发展规划》

《规划》提出把安全治理贯穿中医药信息化建设管理应用全过程,全面提升安全保障能力,强化网络和数据安全防护。

18《互联网信息服务深度合成管理规定》

《规定》提出深度合成服务提供者应当落实信息安全主体责任,建立健全用户注册、算法机制机理审核、科技伦理审查、信息发布审核、数据安全、个人信息保护、反电信网络诈骗、应急处置等管理制度,具有安全可控的技术保障措施。

19《关于构建数据基础制度更好发挥数据要素作用的意见》

《意见》指出,以维护国家数据安全、保护个人信息和商业秘密为前提,以促进数据合规高效流通使用、赋能实体经济为主线,构建适应数据特征、符合数字经济发展规律、保障国家数据安全、彰显创新引领的数据基础制度,充分实现数据要素价值。

部分省市政策规章

1《山东省大数据发展促进条例》

《条例》旨在全面实施国家大数据战略,运用大数据推动经济发展、完善社会治理、提升政府服务和管理能力,加快数字强省建设。

2《湖南省网络安全和信息化条例》

《条例》旨在保障网络安全,促进信息化发展,提高数字化水平,推进经济社会高质量发展。

3《上海市数据条例》

《条例》旨在保护自然人、法人和非法人组织与数据有关的权益,规范数据处理活动,促进数据依法有序自由流动,保障数据安全,加快数据要素市场培育,推动数字经济更好服务和融入新发展格局。

4《天津市数据交易管理暂行办法》

《办法》旨在引导培育本市数据交易市场,规范数据交易行为,促进数据依法有序流动,推动数字化发展。

5《福建省大数据发展条例》

《条例》旨在促进大数据有序健康发展,发挥数据生产要素作用,推进数字福建建设。

6《江苏省公共数据管理办法》

《办法》旨在规范公共数据管理,保障公共数据安全,推进数字化发展,加快建设数字政府,提升政府治理能力和公共服务水平。

7《广东省公共数据安全管理办法》

《办法》旨在加强数字政府公共数据安全管理,规范公共数据处理活动,促进数据资源有序开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益。

8《河南省“十四五”新型基础设施建设规划》

《规划》提出加强个人信息保护,强化个人信息收集、使用、共享等环节安全管理,严格规范运用个人信息开展大数据分析的行为。

9.《浙江省公共数据条例》

《条例》旨在加强公共数据管理,促进公共数据应用创新,保护自然人、法人和非法人组织合法权益,保障数字化改革,深化数字浙江建设,推进省域治理体系和治理能力现代化。

10《四川省大数据发展条例(草案征求意见稿)》

《条例》旨在促进大数据有序健康发展,发挥数据要素作用,赋能经济社会发展,提升治理能力和水平,加快数字四川建设。

11.《江西省数据条例(征求意见稿)》

《条例》旨在保护自然人、法人和非法人组织的合法权益,规范数据处理活动,保障数据安全,促进数据要素的开发利用,推动数字经济、数字社会发展。

《陕西省“十四五”数字经济发展规划》

《规划》强调以数字产业化和产业数字化为主线,以建设支撑体系、完善治理体系、推动数字技术创新、培育数据要素市场为抓手,推动数字技术与实体经济深度融合,赋能数字社会发展,构建全省数字经济发展新格局。

13《黑龙江省促进大数据发展应用条例》

《条例》旨在发挥数据要素作用,加快大数据发展应用,创新社会治理模式,保障数据安全。

14《新疆维吾尔自治区关键信息基础设施安全保护条例》

《条例》旨在保障自治区关键信息基础设施安全,维护网络安全,自治区关键信息基础设施安全保护和监督管理工作坚持党的领导,遵循综合协调、分工负责、依法保护、共同保护的原则。

15《河北省数字经济促进条例》

《条例》旨在促进数字经济健康发展,培育经济增长新动能,加快建立现代化经济体系,推动经济社会高质量发展。

16《辽宁省大数据发展条例》

《条例》旨在充分挖掘数据资源,发挥数据效用,加快大数据发展,建设数字辽宁、智造强省。

17《北京市数字经济促进条例》

《条例》旨在加强数字基础设施建设,培育数据要素市场,推进数字产业化和产业数字化,完善数字经济治理,促进数字经济发展,建设全球数字经济标杆城市。

18《广西壮族自治区大数据发展条例》

《条例》旨在全面实施国家大数据战略,规范数据市场,保障数据安全,发挥数据要素作用,推动大数据发展应用,促进数字经济和实体经济深度融合,提升治理能力和水平,加快数字广西建设。

19《山西省数字经济促进条例》

《条例》旨在促进数字经济发展,加快数字经济与实体经济深度融合,建设数字经济强省,全方位推动高质量发展。

20《安徽省“十四五”软件和信息服务业发展规划》

《规划》提出安徽将实施软件铸魂技术攻关行动、产业发展载体建设行动、中国声谷创新发展行动、国产软件重大应用行动、软件企业主体倍增行动、“软件定义”融合创新行动和信息服务能力提升行动等七项重点任务推动软件和信息服务业发展。

21《重庆市数据条例》

《条例》旨在规范数据处理,保障数据安全,保护个人、组织的合法权益,培育数据要素市场,促进数据应用,推动数字经济发展。

22《吉林省数字政府建设“十四五”规划》

《规划》提出,2025年底前,全省政务服务流程和模式持续优化,网上政务服务能力全面提升,高频政务服务事项网办发生率达到90%以上,数字政府建设达到全国先进水平。

23《西安市政务数据开放管理办法》

《办法》旨在规范本市政务数据开放、使用及相关管理活动,提升政府治理能力和公共服务水平,推动数字经济、数字社会发展。

24《杭州市深化数字政府建设实施方案》

《方案》旨在深化数字政府建设,加快推动政府职能转变,率先建设现代政府,促进政府治理体系和治理能力现代化水平有效提升。

25《深圳经济特区数字经济产业促进条例》

《条例》旨在优化数字经济产业发展环境,促进数字经济产业高质量发展。

26《厦门经济特区数据条例(草案征求意见稿)》

《条例》旨在规范数据处理活动,保障数据安全,保护个人、组织的合法权益,加快数据要素市场培育,促进数据应用,推动数字经济发展。

27《广州市数字经济促进条例》

《条例》旨在了促进数字经济发展,推动数字技术同实体经济深度融合,加快城市数字化转型,实现经济社会高质量发展,建设具有全球影响力的数字经济引领型城市。

重点行业政策

政务

1《“十四五”推进国家政务信息化规划》

《规划》提出,强化网络安全和数据安全,严格保护商业秘密和个人隐私,落实信息安全和信息系统等级分级保护制度,全面提升政务信息化基础设施、重大平台、业务系统和数据资源的安全保障能力。

2《关于加快推进政务服务标准化规范化便利化的指导意见》

《意见》要求在确保数据安全的基础上,充分发挥政务数据共享协调机制作用,建立政务数据共享供需对接机制,推进国务院部门垂直管理业务信息系统与地方政务服务平台深度对接和数据双向共享。

3《关于加强区块链司法应用的意见》

《意见》提出,着力提升上链数据和智能合约的准确可控水平,确保数据安全,保护个人信息,推动形成区块链在司法领域稳中求进、有序发展、安全可靠的应用生态。

4《关于规范和加强人工智能司法应用的意见》

概述/要求:《意见》要求加强司法数据分类分级管理,强化重要数据和敏感信息保护,完善司法数据安全共享和应用模式,通过司法人工智能伦理委员会等机制,综合采用伦理审核、合规审查、安全评估等方式,防范化解人工智能应用过程中的安全风险。

金融

1《关于银行业保险业数字化转型的指导意见》

意见从战略规划与组织流程建设、业务经营管理数字化、数据能力建设、科技能力建设、风险防范等方面提出要求。

2《银行保险机构消费者权益保护管理办法(征求意见稿)》

《办法》要求,银行保险机构应当建立消费者个人信息保护机制,完善内部管理制度、分级授权审批和内部控制措施,对消费者个人信息实施全流程分级分类管控。

3《金融标准化“十四五”发展规划》

《规划》提出统筹金融数据开发利用、公共安全、商业秘密和个人隐私保护,加快完善金融数据资源产权、交易流通、跨境传输和安全保护等标准规范;制定金融据质量、脱敏、分级分类等标准。

教育

1《“十四五”数字经济发展规划》

《规划》提出,实施社会服务数字化提升工程,深入推进智慧教育。

医疗

1《药品监管网络安全与信息化建设“十四五”规划》

《规划》旨在为加强医疗卫生机构网络安全管理,进一步促进“互联网+医疗健康”发展,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,加强医疗卫生机构网络安全管理,防范网络安全事件发生。

2《“十四五”生物经济发展规划》

《规划》指出,整合健康可穿戴设备、互联网医疗、医疗保险等多源异构数据,实现健康态数据和主动健康产品数据互联互通。促进区域医疗健康数据安全有序汇聚与共享,支撑区域卫生健康大数据产业发展。

3《医疗卫生机构网络安全管理办法》

《办法》规定,各医疗卫生机构应按照有关法规标准,选择合适的数据存储架构和介质在境内存储,并采取备份、加密等措施加强数据的存储安全。涉及到云上存储数据时,应当评估可能带来的安全风险。

电力

1《电力行业网络安全等级保护管理办法》

《办法》提出发生泄露、出售或者非法向他人提供在服务中知悉的国家秘密、工作秘密、重要数据、个人信息和隐私等网络安全信息时,国家能源局可向国家有关部门、认证机构、行业协会等提出限期整改、取消/暂停使用测评机构服务认证证书等建议。

2《电力行业网络安全管理办法》

《办法》第33条提出,行业部门工作人员必须对在履行监督管理职责中知悉的国家秘密、工作秘密、商业秘密、重要数据、个人信息和隐私严格保密,不得泄露、出售或者非法向他人提供。

交通

1《车联网网络安全和数据安全标准体系建设指南》

《指南》提出通用要求、分类分级、出境安全、个人信息保护、应用数据安全等 5类数据安全标准。

2《关于进一步加强新能源汽车企业安全体系建设的指导意见》

《意见》要求企业要切实履行数据安全保护义务,建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全。

3《公路水路关键信息基础设施安全保护管理办法(征求意见稿)》

《办法》旨在规范公路水路关键信息基础设施安全保护管理,落实关键信息基础设施安全保护工作责任。

电信

1《互联网跟帖评论服务管理规定(修订草案征求意见稿)》

《规定》提到跟帖评论服务提供者应当依法履行“建立健全用户个人信息保护制度,处理用户个人信息应当遵循合法、正当、必要和诚信原则,公开个人信息处理规则,告知个人信息的处理目的、处理方式、处理的个人信息种类、保存期限等事项,并依法取得个人的同意,法律、行政法规另有规定的除外”的义务。

能源

1《2022年能源工作指导意见》

《意见》要求,加大能源技术装备和核心部件攻关力度,积极推进能源系统数字化智能化升级,提升能源产业链现代化水平。加强北斗系统、5G、国密算法等新技术和“互联网+安全监管”智能技术在能源领域的推广应用。

工业

1《工业和信息化领域数据安全管理办法(试行)》

《办法》自2023年1月1日起施行,共八章四十二条,重点解决工业和信息化领域数据安全“谁来管、管什么、怎么管”问题。

国家标准

1.《企业信用监管档案数据项规范》

标准编号:GB/T 40478-2021

本文件规定了企业信用监管档案数据项描述、基本要求、信息分类以及档案的管理与维护。

2.《信息安全技术 工业控制系统安全防护技术要求和测试评价方法》

标准编号:GB/T 40813—2021

本文件规定了工业控制系统安全防护技术要求、保障要求和测试评价方法。本文件适用于工业控制系统建设、运营、维护等。

3.《信息安全技术互联网信息服务安全通用要求》

标准编号:GB/T 40645—2021

本文件规定了互联网信息服务的安全通用要求,包括安全技术要求和安全保障要求。

4.《信息安全技术生物特征识别信息保护基本要求》

标准编号:GB/T 40660—2021

本文件规定了各类生物特征识别信息控制者开展收集、存储、使用、委托处理共享、转让、公开披露、删除等生物特征识别信息处理活动应遵循的基本原则和安全要求。

5.《信息安全技术 数据备份与恢复产品技术要求与测试评价方法》

标准编号:GB/T 29765-2021

本文件规定了数据备份与恢复产品安全功能要求、自身安全要求、安全保障要求与测试评价方法。本文件适用于对数据备份与恢复产品的研制、生产、测试和评价。

6.《信息安全技术 网站数据恢复产品技术要求与测试评价方法》

标准编号:GB/T 29766—2021

本文件规定了网站数据恢复产品安全功能要求、自身安全要求、安全保障要求与测试评价方法。本文件适用于对网站数据恢复产品的研制、生产、测试和评价。

7.《信息安全技术 祖冲之序列密码算法第2部分:保密性算法》

标准编号:GB/T 33133.2-2021

本部分描述了基于祖冲之序列密码算法的保密性算法。本部分适用于基于祖冲之序列密码算法的保密性算法的相关产品的研制、检测和使用。

8.《信息安全技术 祖冲之序列密码算法第3部分:完整性算法》

标准编号:GB/T 33133.3-2021

本部分描述了基于祖冲之序列密码算法的完整性算法。本部分适用于基于祖冲之序列密码算法的完整性算法的相关产品的研制、检测和使用。

9.《信息技术服务 数据资产 管理要求》

标准编号:GB/T 40685-2021

本文件规定了数据资产的管理总则、管理对象、管理过程和管理保障要求。本文件适用于组织的数据资产的应用和管理,使用者包括需要开展数据资产管理工作和提供数据资产管理服务的组织等。

10.《车载信息交互系统信息安全技术要求及试验方法》

标准编号:GB/T 40856-2021

概述/要求:本文件规定了车载信息交互系统硬件、通信协议与接口、操作系统、应用软件、数据的信息安全技术要求与试验方法。

11.《汽车信息安全通用技术要求》

标准编号:GB/T 40861-2021

本文件规定了汽车信息安全的保护对象和技术要求。本文件适用于M类、N类汽车整车及其电子电气系统和组件。

12.《公共信用信息基础数据项规范》

标准编号:GB/T 41195-2021

概述/要求:本文件规定了公共信用信息基础数据项及其描述规范。木文件适用于公共信用信息数据的归集、整理和共享交换。

13.《信息安全技术 网络脆弱性扫描产品安全技术要求和测试评价方法》

标准编号:GB/T 20278—2022

本文件规定了网络脆弱性扫描产品的安全技术要求和测试评价方法。本文件适用于脆弱性扫描产品的设计、开发与测试。

14.《信息安全技术 个人信息安全工程指南》

标准编号:GB/T 41817-2022

本文件提出了个人信息安全工程的原则、目标、阶段和准备,提供了网络产品和服务在需求、设计、开发、测试、发布阶段落实个人信息安全要求的工程化指南。

15.《信息技术 大数据 面向分析的数据存储与检索技术要求》

标准编号:GB/T 41818-2022

本文件规定了支撑多应用融合分析的大数据列式存储与检索技术要求。本文件适用于面向分析的数据存储与检索的系统或子系统的设计、开发和使用。

16.《信息技术 大数据 政务数据开放共享 第4部分 共享评价》

标准编号:GB/T 38664.4—2022

本文件旨在确立政务数据开放共享的参考架构和总体要求,确立政务数据开放共享的网络设施、数据资源、平台设施和安全保障的基本要求,确立政务数据开放程度评价的评价原则、评价指标体系和评价方法,确立政务数据共享的评价内容及评价方法。

17.《信息安全技术步态识别数据安全要求》

标准编号:GB/T 41773-2022

本文件规定了步态识别数据收集、存储、传输﹑使用、加工,提供、公开、删除等数据处理活动的安全要求。本文件适用于步态识别数据处理者规范数据处理活动,监管部门、第三方评估机构对步态识别数据处理活动进行监督、管理、评估参照使用。

18.《信息安全技术 基因识别数据安全要求》

标准编号:GB/T 41806-2022

本文件规定了基因识别数据及关联信息的收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动的安全要求。

19.《信息安全技术 声纹识别数据安全要求》

标准编号:GB/T 41807-2022

本文件规定了声纹识别数据的收集、存储、使用、传输﹑提供、公开、删除等活动中,对数据处理者的安全要求。本文件适用于规范数据处理者的声纹识别数据处理行为。

20.《信息安全技术 个人信息安全工程指南》

标准编号:GB/T 41817-2022

本文件提出了个人信息安全工程的原则、目标、阶段和准备,提供了网络产品和服务在需求、设计、开发、测试、发布阶段落实个人信息安全要求的工程化指南。

21.《信息安全技术 人脸识别数据安全要求》

标准编号:GB/T 41819-2022

本文件规定了人脸识别数据的安全通用要求以及收集、存储、使用、传输、提供、公开、删除等具体处理活动的安全要求。本文件适用于数据处理者安全开展人脸识别数据处理活动。

22.《信息安全技术 汽车数据处理安全要求》

标准编号:GB/T 41871-2022

本文件规定了汽车数据处理者对汽车数据进行收集、传输等处理活动的通用安全要求、车外数据安全要求、座舱数据安全要求和管理安全要求。

23.《信息安全技术 即时通信服务数据安全要求》

标准编号:GB/T 42012-2022

本文件规定了即时通信服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动安全要求。本文件适用于即时通信服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对即时通信服务数据处理活动进行监督、管理、评估提供参考。

24.《信息技术工业大数据术语》

标准编号:GB/T 41778—2022

本文件界定了信息技术工业大数据领域中的常用术语和定义。本文件适用于工业大数据领域的科研、教学和应用。

25.《信息安全技术 信息安全风险评估方法》

标准编号:GB/T 20984—2022

本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法,以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。

26.《信息安全技术 工业控制系统信息安全防护能力成熟度模型》

标准编号:GB/T 41400—2022

本文件给出了工业控制系统信息安全防护能力成熟度模型,规定了核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。

27.《信息安全技术 可信计算密码支撑平台功能与接口规范》

标准编号:GB/T 29829—2022

本文件给出可信计算密码支撑平台的体系框架和功能原理,规定了可信密码模块的接口规范,描述了对应的证实方法。

28.《信息安全技术 网络数据处理安全要求》

标准编号:GB/T 41479-2022

本文件规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。

29.《信息安全技术 信息安全服务分类与代码》

标准编号:GB/T 30283—2022

本文件描述了信息安全服务的分类与代码,主要包括信息安全咨询类、信息安全设计与开发类、信息安全集成类、信息安全运营类、信息的安全处理和存储类、信息安全测评与认证类及其他类七个方面。

30.《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》

标准编号:GB/T 41391—2022

本文件规定了App收集个人信息的基本要求,给出了常见服务类型App必要个人信息范围和使用要求。

31.《信息安全技术 政务网站系统安全指南》

标准编号:GB/T 31506—2022

概述/要求:本文件给出了在对政务网站系统实施安全防护时可采取的安全技术措施和安全管理措施。

重点领域报告

1《数据安全风险分析及应对策略研究》

《报告》认为,2022年企业亟待有序建设、分步实施落地数据安全能力,加速开展数据安全体系化建设。

2《2022年威胁情报指数报告》

报告总结了从数据中发现和分析出的新趋势和攻击模式,这些数据是从数十亿个数据点收集的,包括终端检测设备、事件响应 (IR) 互动和域名跟踪等。

3《车联网网络安全和数据安全标准体系

建设指南》

建设指南提出标准体系框架图,包括总体与基础共性、终端与设施网络安全、网联通信安全、数据安全、应用服务安全、安全保障与支撑等6个部分。

4《隐私计算技术金融应用研究报告》

本报告围绕隐私计算,展开政策法规、标准、技术、场景调研,对应用场景进行探索实验, 形成解决方案,并发布技术研究报告。

5《车联网数据安全监管制度研究报告2022》

本报告对当前车联网领域涉及的汽车数据类型、数据安全的监管现状等问题进行梳理和分析,并提出监管建议,希望能为社会各界提供借鉴和参考。

6《5G数据安全防护白皮书(2022)》

白皮书提出了5G环境下的数据新特征、安全新目标,分析了5G数据安全新挑战、新风险;系统梳理了国内外5G数据安全政策、动态以及相关标准化现状。

7《数字安全产业大数据白皮书》

报告通过分析VC/PE市场的投资状况,发现数据安全和工业控制安全为近年来最热门的安全投资子赛道,且投资机构的避险意识使得天使轮阶段的占比在下降。

8《数据安全治理白皮书4.0》

《白皮书4.0》在前序版本基础上,进一步研判当前数据安全形势与动态,解读密集颁布的法律法规监管要求,梳理数据安全治理面临的痛点和问题,完善数据安全治理框架体系及相关技术。

9《数据传输安全白皮书》

白皮书基于当前形势研判,聚焦数字政府建设、数字金融、互联网等领域中数据传输安全典型应用场景,探讨了主要风险点与解决方案,展望了数据传输安全发展趋势。

10《数据治理研究报告——数据要素权益配置路径》

报告对数据要素权益配置的内涵进行逻辑解构,讨论权益配置的基础理论、基本构成以及配置方法,并分析数据要素权益配置的关键症结。

11《2022年数据安全趋势》

报告阐述了安全挑战、安全威胁、数据安全工具以及展望。

12《中国数据要素市场发展报告 (2021~2022)》

本报告围绕数据要素市场培育过程中,政府主管部门及数据要素流通涉及主体各方面临的难点及问题,梳理了数据要素相关类别及其采集、存储、加工、流通、分析等环节的相关特性,从宏观经济增长、行业发展、企业绩效三个层面估算了数据要素的经济贡献度。

13《数据要素流通标准化白皮书(2022版)》

本白皮书将重点聚焦数据要素流通过程中涉及的多角度发展现状,充分发挥标准化在推进数据要素市场化方面的基础性、引领性和战略性作用。

14《数据安全治理实践指南2.0》

本指南依据大量行业调研和企业实践,在《指南(1.0)》的基础上优化了数据安全治理总体视图,并针对数据分类分级难落地、管理与技术易脱钩等焦点问题的建设方案进行了初步探索,进一步细化了数据安全治理实践路线。

想要获取更多信息,请关注微信公众号:道普信息