数据安全国家标准体系(2025版)
(征求意见稿) 全国网络安全标准化技术委员会秘书处2025年8月 前言 根据中央网信办、原国家质检总局、国家标准委联合印发的《关于加强国家网络安全标准化工作的若干意见》(中网办发文〔2016〕5号)(简称《若干意见》)规定,经中央网络安全和信息化领导小组同意,建立统一权威的网络安全国家标准工作机制,全国信息安全标准化技术委员会(简称“信安标委”或“TC260”)在国家标准委的领导下,在中央网信办的统筹协调和有关网络安全主管部门的支持下,对网络安全国家标准进行统一技术归口,统一组织申报、送审和报批。《若干意见》同时指出,信安标委要持续完善网络安全标准体系,加快开展关键信息基础设施保护、数据安全、个人信息保护、关键信息技术产品等领域的标准研究和制定工作。2024年,为贯彻落实中央网络安全和信息化工作会议关于构建大网络安全工作格局的要求,在信安标委基础上组建全国网络安全标准化技术委员会(简称“网安标委”),网络安全国家标准化工作统筹协调机制进一步加强。 近年来,随着《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》等法律法规相继出台,我国数据安全政策法规体系日趋完善,对数据安全标准化工作提出更高要求。《数据安全法》明确提出“国家推进数据开发利用技术和数据安全标准体系建设”,体现了开展数据安全标准体系建设工作的重要性。数据安全作为《若干意见》的重点任务方向,网安标委一直高度重视数据安全标准研究和制定工作。2016年,为支撑国家大数据发展行动纲 要等国家战略需求,网安标委成立“大数据安全标准特别工作组”(SWG-BDS),开始研制数据安全和个人信息保护国家标准。2024年,该工作组更名为“数据安全标准工作组”(WG8),并报国标委同意,新增“数据安全技术”开头的标准名称,用于标识数据安全、个人信息保护国家标准。截至2025年7月,网安标委在数据安全和个人信息保护领域已制定发布42项国家标准,正在制修订2项强制性国家标准和18项推荐性国家标准,同时配套研制发布3项委员会技术文件和21项网络安全标准实践指南,初步构建了数据安全和个人信息保护标准体系,为支撑数据安全政策法规落地实施、护航产业数字化转型提供了安全规范。 为积极适应新形势新要求,更好发挥数据安全标准化工作的基础性、规范性、引领性作用,网安标委秘书处在梳理数据安全国家标准研制现状、分析数据安全标准需求的基础上,遵循标准体系建设客观规律,按照国家标准GB/T 13016-2018《标准体系构建原则和要求》,组织编制了《数据安全国家标准体系(2025版)》《个人信息保护国家标准(2025版)》,以更好指导下一步数据安全和个人信息保护国家标准研制,为有效保障数据安全、促进数字经济高质量发展提供安全标准依据。 目录 前言......................................................I一、标准体系编制原则.....................................1二、标准体系思路和框架...................................2三、标准体系主要内容.....................................5(一)基础共性标准......................................5(二)数据安全技术和产品标准............................6(三)数据安全管理标准..................................7(四)数据安全测评和认证标准............................9(五)产品和服务数据安全标准...........................10(六)行业与应用数据安全标准...........................11四、下一步标准化工作建议................................12附件1现有数据安全标准文件..............................14 一、标准体系编制原则 以习近平新时代中国特色社会主义思想为指导,全面贯彻落实党的二十大和二十届二中、三中全会精神,坚持总体国家安全观,深入落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《网络数据安全管理条例》等法律法规和政策文件要求,建立健全数据安全国家标准体系,加快弥补关键基础标准短板,强化重点急需标准供给,着力推动标准应用实施和国际标准化工作,有效保障数据安全,护航数字经济高质量发展。 (一)统筹规划,全面布局。统筹高质量发展和高水平安全,全面梳理政策法规、产业发展、安全风险等方面的标准需求,以标准“快、优、强”为导向,以满足数据安全治理需求、提升数据安全能力、促进数据合理有效利用为目标,实施数据安全标准分类分级管理,建立健全与数据安全政策法规相配套、可规范引导产业高质量发展的数据安全国家标准体系。 (二)基础先立,急用先行。围绕数据安全重点工作和技术产业发展需要,加快数据分类分级保护、数据安全技术、数据安全管理、数据安全评估等基础通用标准的制定发布;同时,重点考虑亟待解决的产业高质量发展难题和数据安全风险隐患,结合不同行业领域和新技术新应用的数据安全标准需求,加强数据安全标准供给,推进重点急需标准研制。 (三)注重实效,开放合作。健全完善标准制修订、标准试点验证、宣贯培训、应用推广、实施评价等标准化工作机制,持续强化标准影响力、不断提升标准应用效果;坚持标准高水 平开放发展,积极开展国际交流合作,加大数据安全国际标准化工作参与力度,主动对接国际高标准经贸规则,推动具有我国先进技术成果的标准“走出去”,并促进实施应用效果好的国际标准在我国落地应用。 二、标准体系思路和框架 依据《网络安全法》《数据安全法》《网络数据安全管理条例》等数据安全政策法规,综合考虑国家数据安全管理、企业数据安全能力提升、数据安全技术产业发展、数据安全问题风险防范、数据安全国际标准转化等标准化需求,建立健全数据安全国家标准体系。该体系以数据为核心,以数据分类分级保护为基础,覆盖数据收集、存储、使用、加工、传输、提供、公开、删除等全流程数据处理活动,标准化对象涉及与数据紧密相关的组织、产品、服务、系统、技术、管理、活动等。 数据安全国家标准体系由基础共性、数据安全技术和产品、数据安全管理、数据安全测评和认证、产品和服务数据安全、行业与应用数据安全六大类标准组成,如图1所示。其中,基础共性标准作为数据安全标准体系的基础,用于明确数据安全的术语、数据分类分级保护等基础通用规则;数据安全技术和产品标准用于明确数据安全技术及产品的框架、规范和指南;数据安全管理标准用于明确数据处理活动安全、数据安全管理和安全运营的要求、方法和指南;数据安全测评和认证标准用于规范数据安全检测评估、监督检查、安全认证工作;产品和服务数据安全标准在基础共性、数据安全技术和产品、数据安全管理标准之上,聚焦特定系统平台和产品服务的数据安全风险,明确典型平台、系统、产品、服务的数据安全要求和指南; 行业与应用数据安全标准位于数据安全国家标准体系最上层,是在其他数据安全标准的基础上,面向重点行业领域和新技术新应用开展数据安全标准研制。 三、标准体系主要内容 (一)基础共性标准 基础共性标准为数据分类分级保护制度、标准体系中其他部分标准制定提供基础支撑,包括术语、数据分类分级、数据安全保护三个子类标准。如图2所示。 1.术语 主要规范数据安全相关概念和术语定义,标准的术语定义应与数据安全政策法规的概念描述保持一致。 2.数据分类分级 主要规定数据分类分级规则,给出重要数据识别的指南、目录、细则等。一方面,该类标准需明确数据分类分级的原则、框架、方法和流程,给出通用的重要数据识别指南,用于指导各行业领域、各地区、各部门、各单位开展数据分类分级工作;另一方面,该类标准可结合不同行业领域重要数 据相关标准需求,明确特定行业领域的重要数据识别的指南、目录、细则等相关内容。 3.数据安全保护 在数据分类分级标准的基础上,明确数据安全保护的原则、目标和框架,规定一般数据、重要数据、核心数据的安全保护要求,建立与通用保护要求配套的具体措施标准规范。 (二)数据安全技术和产品标准 主要明确数据安全技术及产品的框架、规范和指南,包括数据分类分级技术和产品、数据安全防护技术和产品、数据共享安全技术和产品、备份恢复销毁技术和产品、其他等五个子类标准。如图3所示。 1.数据分类分级技术和产品 主要针对数据识别和分类分级相关的技术、产品和工具,明确敏感数据识别、自动分类分级、数据标签标识、数据资 产管理等方面的技术指南、产品规范、测评方法等。 2.数据安全防护技术和产品 主要针对数据安全防护相关的技术、产品和工具,明确数据加密、数据脱敏、数据防泄漏、数据访问控制、数据行为防控、水印溯源等方面的防护技术指南、产品规范、测评方法等。同时,由于数据安全防护技术与网络安全防护技术存在交叉重合,标准制定时要充分考虑现有网络安全防护技术标准是否可满足相应标准需求。 3.数据共享安全技术和产品 主要针对数据跨部门、跨组织共享安全的技术、产品和工具,明确机密计算、可信执行环境、多方安全计算、联邦学习、数据沙箱、区块链和智能合约、数据空间等共享安全的技术指南、产品规范、测评方法等。 4.备份恢复删除技术和产品 主要围绕数据备份、恢复、删除等技术、产品和工具,明确相关技术指南、产品规范、测评方法等。 5.其他 主要明确数据安全产品分类,及其他数据安全技术和产品相关技术指南、产品规范、测评方法等。 (三)数据安全管理标准 数据安全管理标准主要用于明确数据处理活动安全、数据安全管理和运营的要求、方法和指南,包括数据处理活动安全、数据出境安全、数据安全运营、数据安全组织和人员等四个子类,如图4所示。 1.数据处理活动安全 主要针对数据收集、存储、使用、加工、传输、提供、公开、删除等全流程数据处理活动,明确数据处理活动安全的要求和指南。 2.数据出境安全 主要围绕数据出境的安全合规需求,明确相关方在数据出境和安全管理方面的要求和指南,也可结合各行业领域数据出境特定需求,明确行业领域数据出境安全保护细则。 3.数据安全运营 主要围绕数据安全运营相关的识别、防护、监测、响应等活动,明确数据安全的监测预警、应急处置、容灾备份、溯源取证等方面的技术指南、安全要求。同时,由于部分网络安全标准涉及数据安全运营内容,该类标准制定时要充分考虑与现有网络安全标准的关系。 4.数据安全组织和人员 主要围绕数据安全组织和人员的管理需求,明确数据安全的组织、负责人、从业人员等方面的管理要求、责任划分和能力建设指南。 (四)数据安全测评和认证标准 数据安全测评和认证标准主要聚焦数据安全检测评估、监督检查、安全认证工作的标准化需求,明确数据安全评估方法、认证依据和评估机构管理等方面内容,包括数据安全风险评估、数据安全能力评价、数据安全管理认证、数据安全评估机构等四个子类,如图5所示。 1.数据安全风险评估 主要围绕数据安全风险评估,明确评估的方法、流程、内容和要求等。 2.数据安全能力评价 主要围绕数据安全能力建设和评价需求,明确数据安全能力模型、治理体系、评价指标和方法等。 3.数据安全管理认证 主要针对数据安全管理认证的工作需求,明确认证的依据标准和评价指标。 4.数据安全评估机构 主要结合数据安全评估机构和人员的管理需求,规范数据安全评估机构和评估人员能力等方面内容。 (五)产品和服务数据安全标准 产品和服务数据安全标准在基础共性、数据安全技术和产品、数据安全管理三类标准之上,聚焦特定系统平台和产品服务的数据安全风险,明确典型系统、平台、产品、服务的数据安全要求和指南。该类标准包括数据服务安全、数据系统组件安全、电子产品数据安全、网络平台服务数据安全
