2.1?數據安全標準體系

數據安全產業的發展需要以數據安全標準的制定為先導，數據安全產業鏈上的各方也應達成共識。實施數據分類分級、數據安全風險評估等相關標準，有助于在事前梳理機構的敏感數據，降低整體安全風險。本節將分別介紹國際和國內的數據安全和隱私保護方面的標準體系。

2.1.1　國際數據安全標準體系

數據安全的目的之一是保護敏感信息受黑客攻擊后不會遭到泄露、篡改或破壞，數據安全相關法規和標準旨在共同幫助實現這一目標。數據安全標準提出了安全基線或最佳實踐，有助于防止他人未經授權地訪問、使用、披露、破壞、修改或銷毀數據，為數據安全產業落地提供技術和管理上的指導，數據安全法律法規則確保機構在數據安全規劃、設計和實施階段遵循和執行相關標準。

數據安全標準是組織在保護敏感、機密信息時可以遵循的一套標準。不同的標準由不同的組織和機構制定，如國際標準化組織（International Organization for Standardization，ISO）和美國國家標準與技術研究院（National Institute of Standards and Technology，NIST）。ISO是一個獨立的、非政府的國際組織，旨在通過全球共識來制定國際標準。ISO 標準為確保質量、安全性和效率提供了一致的指南和要求，在全球范圍內得到了廣泛應用。

圖2-1展示了ISO/IEC 2700x系列標準，該系列標準涵蓋廣泛的信息安全主題，包括風險管理、安全控制和信息安全管理系統（Information Security Management System，ISMS）。如下是該系列中的一些具體標準。

圖2-1　ISO/IEC 2700x系列標準

ISO/IEC 27000定義了ISO/IEC 2700x系列標準中使用的術語和概念。

ISO/IEC 27001是最著名且使用最廣泛的標準，規定了建立、實施、維護和改進信息安全管理系統的要求。

ISO/IEC 27701是專用于個人身份信息收集和處理的全球性隱私權標準，包括組織應如何管理個人信息，并協助證明遵守了世界各地的隱私法規。

ISO/IEC 27002指導如何實施ISO/IEC 27001中規定的控制措施的實踐標準規范，涵蓋了14個信息安全領域。

ISO/IEC 27003主要提供有關信息安全管理體系實施的指南。它與ISO/IEC 27001和ISO/IEC 27002密切相關，旨在幫助組織有效地建立、實施、維護和持續改進信息安全管理體系。

ISO/IEC 27004是一項衡量標準，旨在指導如何衡量和評估基于ISO/IEC 27001的信息安全管理系統的性能和有效性，涵蓋了衡量框架、衡量屬性、衡量方法、衡量結果分析和報告等內容。

ISO/IEC 27005為組織提供了一個框架，以識別、評估和管理信息安全風險，從而保護信息資產的機密性、完整性和可用性。

ISO/IEC 27032重點關注互聯網背景下的信息保護，旨在加強網絡共享信息的安全性。

ISO/IEC 27017為我們在云端保護個人數據提供了指導。

ISO/IEC 27018旨在制定控制目標、控制措施和指導原則，以便在云環境中根據隱私原則保護個人可識別信息（PII）。

ISO/IEC 27031為制定、實施信息和通信技術（Information and Communication Technology，ICT）系統災難恢復計劃提供指導。

ISO/IEC 27037提供了在網絡事件中收集和保護數字證據的指南。

ISO/IEC 27040提供了保護存儲數據（包括存儲在云端的數據）的指南。

ISO/IEC 27799提供了受保護個人健康信息（Protected Health Information，PHI）的指南。

上面介紹的ISO標準屬于廣泛的國際標準，側重于信息安全管理的全局框架，強調管理過程和國際認證。NIST標準則更加具有技術導向作用，尤其適用于美國政府機構及與其有業務往來的組織，旨在提供更為詳細的技術控制和安全要求。

NIST是一家美國政府機構，旨在為包括信息安全在內的各行各業制定標準和指南。由NIST制定的準則和框架為不同行業和機構提供了具體的實施步驟和最佳實踐。

在網絡安全領域，NIST提供了網絡安全的宏觀框架CSF（Cyber Security Framework）。如圖2-2所示，NIST CSF 2.0提供了管理網絡安全風險的通用語言和指南，旨在識別、保護、檢測、響應和恢復網絡安全事件。該框架設計靈活，可滿足不同組織的需要。

圖2-2　NIST CSF 2.0框架

NIST SP 800系列標準則提供了詳細的技術和操作指南，涵蓋信息安全的各個方面，包括風險管理、事件響應和供應鏈安全。雖然這些指南主要是為美國聯邦機構設計的，但它們也被私營企業廣泛采用，是管理信息系統和數據安全的重要指南。該系列標準包括如下具體的數據安全標準。

NIST SP 800-53為美國聯邦信息系統安全控制的選擇和實施提供指導。

NIST SP 800-171為保護非美國聯邦系統和組織中的受控非機密信息提供指導。

上面介紹的這些數據安全相關標準盡管對企業并非都是強制性的，但許多企業會遵循NIST標準作為最佳實踐，以提高網絡安全水平，并減小潛在的風險。遵循這些標準可以幫助企業識別、保護、檢測、響應和恢復各種網絡安全威脅，從而降低數據泄露和產生其他安全事件的風險。

除此之外，一些法律直接或間接地引用了NIST的相關標準，例如美國的《聯邦信息安全管理法案》（Federal Information Security Management Act，FISMA）。FISMA要求美國聯邦機構遵守NIST發布的標準和指南，以確保聯邦信息系統的安全性。NIST SP 800系列文檔（包括NIST SP 800-53和NIST SP 800-171）是關鍵參考文件。通過遵循這些標準，企業能夠更好地滿足法律法規的要求，降低風險，并提高其在市場上的信譽度。

2.1.2　國內數據安全標準體系

在國內數據安全相關標準的建設上，如圖2-3所示，多部標準已經發布或者處于征求意見稿階段，國內數據安全標準體系逐步趨于完善。2019年8月30日，我國發布GB/T 37964—2019《信息安全技術　個人信息去標識化指南》、GB/T 37973—2019《信息安全技術　大數據安全管理指南》和GB/T 37988—2019《信息安全技術　數據安全能力成熟度模型》三部數據安全相關標準。在個人信息保護相關標準的制定時間上，國內標準與國際標準逐漸趨于同步，表2-1給出了部分國際標準和國內標準的對應關系。

圖2-3　國內數據安全標準體系

表2-1　國內標準與國際標準的對應關系

此外，我國還發布了一系列其他數據安全國家標準，如《信息安全技術 數據安全能力成熟度模型》、GB/T 43697—2024《數據安全技術 數據分類分級規則》等。其他數據安全相關的標準在此不一一列舉，感興趣的讀者可在相關標準網站上查詢。

數據安全標準有自愿性標準和強制性標準之分，但數據安全相關法律具有強制性，所有相關主體必須遵守，否則將面臨法律責任。法律法規常常會引用和支持某些標準，這使得這些標準具有了法律效力。例如，FISMA要求美國聯邦機構必須遵守NIST發布的標準和指南，以確保聯邦信息系統的安全性。