2.1?數(shù)據(jù)安全標(biāo)準(zhǔn)體系

數(shù)據(jù)安全產(chǎn)業(yè)的發(fā)展需要以數(shù)據(jù)安全標(biāo)準(zhǔn)的制定為先導(dǎo)，數(shù)據(jù)安全產(chǎn)業(yè)鏈上的各方也應(yīng)達(dá)成共識。實(shí)施數(shù)據(jù)分類分級、數(shù)據(jù)安全風(fēng)險(xiǎn)評估等相關(guān)標(biāo)準(zhǔn)，有助于在事前梳理機(jī)構(gòu)的敏感數(shù)據(jù)，降低整體安全風(fēng)險(xiǎn)。本節(jié)將分別介紹國際和國內(nèi)的數(shù)據(jù)安全和隱私保護(hù)方面的標(biāo)準(zhǔn)體系。

2.1.1　國際數(shù)據(jù)安全標(biāo)準(zhǔn)體系

數(shù)據(jù)安全的目的之一是保護(hù)敏感信息受黑客攻擊后不會(huì)遭到泄露、篡改或破壞，數(shù)據(jù)安全相關(guān)法規(guī)和標(biāo)準(zhǔn)旨在共同幫助實(shí)現(xiàn)這一目標(biāo)。數(shù)據(jù)安全標(biāo)準(zhǔn)提出了安全基線或最佳實(shí)踐，有助于防止他人未經(jīng)授權(quán)地訪問、使用、披露、破壞、修改或銷毀數(shù)據(jù)，為數(shù)據(jù)安全產(chǎn)業(yè)落地提供技術(shù)和管理上的指導(dǎo)，數(shù)據(jù)安全法律法規(guī)則確保機(jī)構(gòu)在數(shù)據(jù)安全規(guī)劃、設(shè)計(jì)和實(shí)施階段遵循和執(zhí)行相關(guān)標(biāo)準(zhǔn)。

數(shù)據(jù)安全標(biāo)準(zhǔn)是組織在保護(hù)敏感、機(jī)密信息時(shí)可以遵循的一套標(biāo)準(zhǔn)。不同的標(biāo)準(zhǔn)由不同的組織和機(jī)構(gòu)制定，如國際標(biāo)準(zhǔn)化組織（International Organization for Standardization，ISO）和美國國家標(biāo)準(zhǔn)與技術(shù)研究院（National Institute of Standards and Technology，NIST）。ISO是一個(gè)獨(dú)立的、非政府的國際組織，旨在通過全球共識來制定國際標(biāo)準(zhǔn)。ISO 標(biāo)準(zhǔn)為確保質(zhì)量、安全性和效率提供了一致的指南和要求，在全球范圍內(nèi)得到了廣泛應(yīng)用。

圖2-1展示了ISO/IEC 2700x系列標(biāo)準(zhǔn)，該系列標(biāo)準(zhǔn)涵蓋廣泛的信息安全主題，包括風(fēng)險(xiǎn)管理、安全控制和信息安全管理系統(tǒng)（Information Security Management System，ISMS）。如下是該系列中的一些具體標(biāo)準(zhǔn)。

圖2-1　ISO/IEC 2700x系列標(biāo)準(zhǔn)

ISO/IEC 27000定義了ISO/IEC 2700x系列標(biāo)準(zhǔn)中使用的術(shù)語和概念。

ISO/IEC 27001是最著名且使用最廣泛的標(biāo)準(zhǔn)，規(guī)定了建立、實(shí)施、維護(hù)和改進(jìn)信息安全管理系統(tǒng)的要求。

ISO/IEC 27701是專用于個(gè)人身份信息收集和處理的全球性隱私權(quán)標(biāo)準(zhǔn)，包括組織應(yīng)如何管理個(gè)人信息，并協(xié)助證明遵守了世界各地的隱私法規(guī)。

ISO/IEC 27002指導(dǎo)如何實(shí)施ISO/IEC 27001中規(guī)定的控制措施的實(shí)踐標(biāo)準(zhǔn)規(guī)范，涵蓋了14個(gè)信息安全領(lǐng)域。

ISO/IEC 27003主要提供有關(guān)信息安全管理體系實(shí)施的指南。它與ISO/IEC 27001和ISO/IEC 27002密切相關(guān)，旨在幫助組織有效地建立、實(shí)施、維護(hù)和持續(xù)改進(jìn)信息安全管理體系。

ISO/IEC 27004是一項(xiàng)衡量標(biāo)準(zhǔn)，旨在指導(dǎo)如何衡量和評估基于ISO/IEC 27001的信息安全管理系統(tǒng)的性能和有效性，涵蓋了衡量框架、衡量屬性、衡量方法、衡量結(jié)果分析和報(bào)告等內(nèi)容。

ISO/IEC 27005為組織提供了一個(gè)框架，以識別、評估和管理信息安全風(fēng)險(xiǎn)，從而保護(hù)信息資產(chǎn)的機(jī)密性、完整性和可用性。

ISO/IEC 27032重點(diǎn)關(guān)注互聯(lián)網(wǎng)背景下的信息保護(hù)，旨在加強(qiáng)網(wǎng)絡(luò)共享信息的安全性。

ISO/IEC 27017為我們在云端保護(hù)個(gè)人數(shù)據(jù)提供了指導(dǎo)。

ISO/IEC 27018旨在制定控制目標(biāo)、控制措施和指導(dǎo)原則，以便在云環(huán)境中根據(jù)隱私原則保護(hù)個(gè)人可識別信息（PII）。

ISO/IEC 27031為制定、實(shí)施信息和通信技術(shù)（Information and Communication Technology，ICT）系統(tǒng)災(zāi)難恢復(fù)計(jì)劃提供指導(dǎo)。

ISO/IEC 27037提供了在網(wǎng)絡(luò)事件中收集和保護(hù)數(shù)字證據(jù)的指南。

ISO/IEC 27040提供了保護(hù)存儲數(shù)據(jù)（包括存儲在云端的數(shù)據(jù)）的指南。

ISO/IEC 27799提供了受保護(hù)個(gè)人健康信息（Protected Health Information，PHI）的指南。

上面介紹的ISO標(biāo)準(zhǔn)屬于廣泛的國際標(biāo)準(zhǔn)，側(cè)重于信息安全管理的全局框架，強(qiáng)調(diào)管理過程和國際認(rèn)證。NIST標(biāo)準(zhǔn)則更加具有技術(shù)導(dǎo)向作用，尤其適用于美國政府機(jī)構(gòu)及與其有業(yè)務(wù)往來的組織，旨在提供更為詳細(xì)的技術(shù)控制和安全要求。

NIST是一家美國政府機(jī)構(gòu)，旨在為包括信息安全在內(nèi)的各行各業(yè)制定標(biāo)準(zhǔn)和指南。由NIST制定的準(zhǔn)則和框架為不同行業(yè)和機(jī)構(gòu)提供了具體的實(shí)施步驟和最佳實(shí)踐。

在網(wǎng)絡(luò)安全領(lǐng)域，NIST提供了網(wǎng)絡(luò)安全的宏觀框架CSF（Cyber Security Framework）。如圖2-2所示，NIST CSF 2.0提供了管理網(wǎng)絡(luò)安全風(fēng)險(xiǎn)的通用語言和指南，旨在識別、保護(hù)、檢測、響應(yīng)和恢復(fù)網(wǎng)絡(luò)安全事件。該框架設(shè)計(jì)靈活，可滿足不同組織的需要。

圖2-2　NIST CSF 2.0框架

NIST SP 800系列標(biāo)準(zhǔn)則提供了詳細(xì)的技術(shù)和操作指南，涵蓋信息安全的各個(gè)方面，包括風(fēng)險(xiǎn)管理、事件響應(yīng)和供應(yīng)鏈安全。雖然這些指南主要是為美國聯(lián)邦機(jī)構(gòu)設(shè)計(jì)的，但它們也被私營企業(yè)廣泛采用，是管理信息系統(tǒng)和數(shù)據(jù)安全的重要指南。該系列標(biāo)準(zhǔn)包括如下具體的數(shù)據(jù)安全標(biāo)準(zhǔn)。

NIST SP 800-53為美國聯(lián)邦信息系統(tǒng)安全控制的選擇和實(shí)施提供指導(dǎo)。

NIST SP 800-171為保護(hù)非美國聯(lián)邦系統(tǒng)和組織中的受控非機(jī)密信息提供指導(dǎo)。

上面介紹的這些數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)盡管對企業(yè)并非都是強(qiáng)制性的，但許多企業(yè)會(huì)遵循NIST標(biāo)準(zhǔn)作為最佳實(shí)踐，以提高網(wǎng)絡(luò)安全水平，并減小潛在的風(fēng)險(xiǎn)。遵循這些標(biāo)準(zhǔn)可以幫助企業(yè)識別、保護(hù)、檢測、響應(yīng)和恢復(fù)各種網(wǎng)絡(luò)安全威脅，從而降低數(shù)據(jù)泄露和產(chǎn)生其他安全事件的風(fēng)險(xiǎn)。

除此之外，一些法律直接或間接地引用了NIST的相關(guān)標(biāo)準(zhǔn)，例如美國的《聯(lián)邦信息安全管理法案》（Federal Information Security Management Act，F(xiàn)ISMA）。FISMA要求美國聯(lián)邦機(jī)構(gòu)遵守NIST發(fā)布的標(biāo)準(zhǔn)和指南，以確保聯(lián)邦信息系統(tǒng)的安全性。NIST SP 800系列文檔（包括NIST SP 800-53和NIST SP 800-171）是關(guān)鍵參考文件。通過遵循這些標(biāo)準(zhǔn)，企業(yè)能夠更好地滿足法律法規(guī)的要求，降低風(fēng)險(xiǎn)，并提高其在市場上的信譽(yù)度。

2.1.2　國內(nèi)數(shù)據(jù)安全標(biāo)準(zhǔn)體系

在國內(nèi)數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)的建設(shè)上，如圖2-3所示，多部標(biāo)準(zhǔn)已經(jīng)發(fā)布或者處于征求意見稿階段，國內(nèi)數(shù)據(jù)安全標(biāo)準(zhǔn)體系逐步趨于完善。2019年8月30日，我國發(fā)布GB/T 37964—2019《信息安全技術(shù)　個(gè)人信息去標(biāo)識化指南》、GB/T 37973—2019《信息安全技術(shù)　大數(shù)據(jù)安全管理指南》和GB/T 37988—2019《信息安全技術(shù)　數(shù)據(jù)安全能力成熟度模型》三部數(shù)據(jù)安全相關(guān)標(biāo)準(zhǔn)。在個(gè)人信息保護(hù)相關(guān)標(biāo)準(zhǔn)的制定時(shí)間上，國內(nèi)標(biāo)準(zhǔn)與國際標(biāo)準(zhǔn)逐漸趨于同步，表2-1給出了部分國際標(biāo)準(zhǔn)和國內(nèi)標(biāo)準(zhǔn)的對應(yīng)關(guān)系。

圖2-3　國內(nèi)數(shù)據(jù)安全標(biāo)準(zhǔn)體系

表2-1　國內(nèi)標(biāo)準(zhǔn)與國際標(biāo)準(zhǔn)的對應(yīng)關(guān)系

此外，我國還發(fā)布了一系列其他數(shù)據(jù)安全國家標(biāo)準(zhǔn)，如《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》、GB/T 43697—2024《數(shù)據(jù)安全技術(shù) 數(shù)據(jù)分類分級規(guī)則》等。其他數(shù)據(jù)安全相關(guān)的標(biāo)準(zhǔn)在此不一一列舉，感興趣的讀者可在相關(guān)標(biāo)準(zhǔn)網(wǎng)站上查詢。

數(shù)據(jù)安全標(biāo)準(zhǔn)有自愿性標(biāo)準(zhǔn)和強(qiáng)制性標(biāo)準(zhǔn)之分，但數(shù)據(jù)安全相關(guān)法律具有強(qiáng)制性，所有相關(guān)主體必須遵守，否則將面臨法律責(zé)任。法律法規(guī)常常會(huì)引用和支持某些標(biāo)準(zhǔn)，這使得這些標(biāo)準(zhǔn)具有了法律效力。例如，F(xiàn)ISMA要求美國聯(lián)邦機(jī)構(gòu)必須遵守NIST發(fā)布的標(biāo)準(zhǔn)和指南，以確保聯(lián)邦信息系統(tǒng)的安全性。