嘶吼RoarTalk@全球数据安全标准和认证展望本文参考信标委TC260数据安全标准体系

本文参考信标委TC260数据安全标准体系研究，将分别对国际标准组织ISO、国际电信联盟ITU-T、美国国家标准组织NIST、我国国家数据安全标准组织TC260、以及互联网行业管理部门工信部下属行标数据安全组织CCSATC8的相关数据安全标准及其体系和常见数据安全认证进行梳理。
一、ISO隐私和数据安全标准
ISO隐私和数据安全标准主要由下属安全技术分委员会ISO/IECJTC1SC27制定，其发布的隐私保护保障体系如下：

文章图片
SC27隐私保护标准体系图
其中， SC27WG5身份管理和隐私保护技术工作组，主要负责隐私保护标准研制，目前已发布8项隐私保护标准， 2项技术研究报告，在研1项标准，如下表所示：
SC27隐私保护国际标准
此外， SC27WG4安全控制和服务工作组已发布3项数据安全相关国际标准，在研6项标准，研究项目1项，如下表所示：
SC27数据安全国际标准

文章图片
二、ITU-T数据安全标准
ITU-T国际电联SG17安全标准工作组硏制的数据安全和隐私保护标准，主要涉及电信运营商、通信组织、电子商务等的数据安全和个人信息保护标准。
ITU-T数据安全标准

文章图片
三、美国NIST数据安全标准
美国国家标准与技术研究院（NIST）于2012年6月启动了大数据相关基木概念、技术和标准需求的研究， 2013年5月成立了NST大数据公共工作组（NBG-PWG），对所有感兴趣的相关方开放，无会员费，旨在通过结合行业、学术和政府等各方力量加速对大数据这一新兴产业的采纳，其成果由NIST评审和发布。
美国NIST标准现有数据安全标准，主要涉及受控非保密信息、个人可识别信息等主题的数据安全和隐私保护标准，如下表所示：
NIST数据安全标准

文章图片
四、TC260数据安全国家标准
2016年，全国信安标委（TC260）成立大数据安全标准特别工作组（SWG-BDS），主要负责数据安全、云计算安全等新技术新应用标准研制。目前， TC260围绕数据安全和个人信息保护两个方向，已发布6项国家标准，在研标准10项，研究项目18项。现有数据安全国家标准已初成体系，如下表所示。

文章图片
现有数据安全国家标准
在个人信息保护方向，主要聚焦于个人信息保护要求、去标识技术、App收集个人信息、隐私工程、影响评估、告知同意、云服务等内容，已发布GB/T35273《个人信息安全规范》、GB/T37964《个人信息去标识化指南》2项标准，在研5项标准， 2项标准研究项目。
在数据安全方向，主要围绕数据安全能力、数据交易服务、出境评估、政务数据共享、健康医疗数据安全、电信数据安全等内容，已发布GB/T35274《大数据服务安全能力要求》、GBT37932《数据交易服务安全要求》、GB/T37973《大数据安全管理指南》、GBT37988《数据安全能力成熟度模型》4项标准，在研5项标准， 16项标准研究项目。
【嘶吼RoarTalk@全球数据安全标准和认证展望】五、CCSA数据安全行业标准
2019年7月1日工信部发布《电信和互联网行业提升网络数据安全保护能力专项行动方案》，方案中提到了要出台行业《网络数据安全标准体系建设指南》，加快完善行业网络数据安全标准体系。该项工作由CCSATC8SWG1（数据安全特设组）承担，目前规划的数据安全标准体系包括基础共性、关键技术、安全管理、重点领域四大类标准，如下图所示：