嘶吼RoarTalk@全球数据安全标准和认证展望( 二 ) 本文参考信标委TC260数据安全标准体系

文章图片
工信部数据安全行业标准体系
基础共性标准包括术语定义、数据安全框架、数据分类分级，相关标准为各类标准提供基础性支撑。

文章图片
关键技术标准从数据采集、传输、存储、处理、交换、销毁等数据全生命周期维度对数据安全关键技术进行规范。

文章图片
安全管理标准从网络数据安全保护的管理视角出发，指导行业有效落实法律法规关于网络数据安全管理的要求，包括数据安全规范、数据安全评估、监测预警与处置、应急响应与灾难备份、安全能力认证等。
重点领域标准结合相关领域的实际情况和具体要求，指导行业有效开展重点领域网络数据安全保护工作。围绕我国新业务新技术的发展现状，重点在5G、工业互联网、车联网、物联网、人工智能、区块链、安全应用等垂直领域率先实现突破，并逐步覆盖电信和互联网行业其他垂直领域。

文章图片
六、国内外常见数据安全认证
认证：指由国家认可的认证机构证明产品、服务、管理体系符合相关技术规范、相关技术规范的强制性要求或者标准的合格评定活动。对应上述国内外数据安全标准，常见的数据安全认证如下：
·国内数据安全认证
等保：网络安全等级保护测评，主要测评依据GB/T22239-2019信息安全技术网络安全等级保护基本要求；
APP安全认证：移动互联网应用程序（App）安全认证，主要认证标准GB/T35273-2020信息安全技术个人信息安全规范；
数据安全认证：在研，主要认证标准信息安全技术数据安全管理基本要求（草案）；GB/T35273-2020信息安全技术个人信息安全规范；
·国外数据安全认证
PCIDSS：支付卡行业数据安全标准认证，主要检测依据PaymentCardIndustryDataSecurityStandard；
SOC：SystemandOrganizationControlsReports系统和机构控制报告，主要审计依据是美国注册会计师协会（AICPA）SSAE（鉴证业务准则公告）16（SOC1）、ISAE3402、AT（核证准则）101（SOC2或SOC3）等相关准则；
ISO/IEC27001：信息安全管理体系认证，主要认证标准ISO/IEC27001:2013；
ISO/IEC27018：公有云个人信息保护国际认证，主要认证标准ISO/IEC27018:2019；
ISO/IEC27701：隐私信息管理体系认证，主要认证标准ISO/IEC27701:2018；
ISO/IEC29151：个人身份信息保护实践指南认证，主要认证标准ISO/IEC29151:2017；
七、腾讯数据安全解决方案助力企业数据保护
"科技向善数据有度"是腾讯在数据安全以及用户隐私数据保护秉承的理念。数据安全问题既是技术问题，也是管理问题，需要一套行之有效的数据管理策略。腾讯通过数据安全技术加持、建立数据安全中台等措施，为数据应用的安全与合规提供系统性的解决方案，并通过腾讯云服务对外输出数据安全保护以及数据合规能力。
腾讯云数据安全中台通过云数据加密代理网关、云加密机、密钥管理系统、凭据管理系统、数据安全审计、堡垒机、敏感数据处理、数据安全治理中心等七大产品，打造了端到端的云数据全生命周期安全体系，实现从数据获取、事务处理及检索、数据分析与服务，数据访问与消费过程中的安全防护，企业可据此极简快速地构建云上数据的全生命周期的安全防护体系。腾讯云数据安全中台的产品组件，如密钥管理系统KMS的产品技术规范已经通过PCIDSS、ISO/IEC27701、ISO27001、ISO27017、ISO27018、MTCS、HIPPA、SOC、CSASTAR等数据安全认证。