2.1 数据安全标准体系

数据安全产业的发展需要以数据安全标准的制定为先导，数据安全产业链上的各方也应达成共识。实施数据分类分级、数据安全风险评估等相关标准，有助于在事前梳理机构的敏感数据，降低整体安全风险。本节将分别介绍国际和国内的数据安全和隐私保护方面的标准体系。

2.1.1　国际数据安全标准体系

数据安全的目的之一是保护敏感信息受黑客攻击后不会遭到泄露、篡改或破坏，数据安全相关法规和标准旨在共同帮助实现这一目标。数据安全标准提出了安全基线或最佳实践，有助于防止他人未经授权地访问、使用、披露、破坏、修改或销毁数据，为数据安全产业落地提供技术和管理上的指导，数据安全法律法规则确保机构在数据安全规划、设计和实施阶段遵循和执行相关标准。

数据安全标准是组织在保护敏感、机密信息时可以遵循的一套标准。不同的标准由不同的组织和机构制定，如国际标准化组织（International Organization for Standardization，ISO）和美国国家标准与技术研究院（National Institute of Standards and Technology，NIST）。ISO是一个独立的、非政府的国际组织，旨在通过全球共识来制定国际标准。ISO 标准为确保质量、安全性和效率提供了一致的指南和要求，在全球范围内得到了广泛应用。

图2-1展示了ISO/IEC 2700x系列标准，该系列标准涵盖广泛的信息安全主题，包括风险管理、安全控制和信息安全管理系统（Information Security Management System，ISMS）。如下是该系列中的一些具体标准。

图2-1　ISO/IEC 2700x系列标准

ISO/IEC 27000定义了ISO/IEC 2700x系列标准中使用的术语和概念。

ISO/IEC 27001是最著名且使用最广泛的标准，规定了建立、实施、维护和改进信息安全管理系统的要求。

ISO/IEC 27701是专用于个人身份信息收集和处理的全球性隐私权标准，包括组织应如何管理个人信息，并协助证明遵守了世界各地的隐私法规。

ISO/IEC 27002指导如何实施ISO/IEC 27001中规定的控制措施的实践标准规范，涵盖了14个信息安全领域。

ISO/IEC 27003主要提供有关信息安全管理体系实施的指南。它与ISO/IEC 27001和ISO/IEC 27002密切相关，旨在帮助组织有效地建立、实施、维护和持续改进信息安全管理体系。

ISO/IEC 27004是一项衡量标准，旨在指导如何衡量和评估基于ISO/IEC 27001的信息安全管理系统的性能和有效性，涵盖了衡量框架、衡量属性、衡量方法、衡量结果分析和报告等内容。

ISO/IEC 27005为组织提供了一个框架，以识别、评估和管理信息安全风险，从而保护信息资产的机密性、完整性和可用性。

ISO/IEC 27032重点关注互联网背景下的信息保护，旨在加强网络共享信息的安全性。

ISO/IEC 27017为我们在云端保护个人数据提供了指导。

ISO/IEC 27018旨在制定控制目标、控制措施和指导原则，以便在云环境中根据隐私原则保护个人可识别信息（PII）。

ISO/IEC 27031为制定、实施信息和通信技术（Information and Communication Technology，ICT）系统灾难恢复计划提供指导。

ISO/IEC 27037提供了在网络事件中收集和保护数字证据的指南。

ISO/IEC 27040提供了保护存储数据（包括存储在云端的数据）的指南。

ISO/IEC 27799提供了受保护个人健康信息（Protected Health Information，PHI）的指南。

上面介绍的ISO标准属于广泛的国际标准，侧重于信息安全管理的全局框架，强调管理过程和国际认证。NIST标准则更加具有技术导向作用，尤其适用于美国政府机构及与其有业务往来的组织，旨在提供更为详细的技术控制和安全要求。

NIST是一家美国政府机构，旨在为包括信息安全在内的各行各业制定标准和指南。由NIST制定的准则和框架为不同行业和机构提供了具体的实施步骤和最佳实践。

在网络安全领域，NIST提供了网络安全的宏观框架CSF（Cyber Security Framework）。如图2-2所示，NIST CSF 2.0提供了管理网络安全风险的通用语言和指南，旨在识别、保护、检测、响应和恢复网络安全事件。该框架设计灵活，可满足不同组织的需要。

图2-2　NIST CSF 2.0框架

NIST SP 800系列标准则提供了详细的技术和操作指南，涵盖信息安全的各个方面，包括风险管理、事件响应和供应链安全。虽然这些指南主要是为美国联邦机构设计的，但它们也被私营企业广泛采用，是管理信息系统和数据安全的重要指南。该系列标准包括如下具体的数据安全标准。

NIST SP 800-53为美国联邦信息系统安全控制的选择和实施提供指导。

NIST SP 800-171为保护非美国联邦系统和组织中的受控非机密信息提供指导。

上面介绍的这些数据安全相关标准尽管对企业并非都是强制性的，但许多企业会遵循NIST标准作为最佳实践，以提高网络安全水平，并减小潜在的风险。遵循这些标准可以帮助企业识别、保护、检测、响应和恢复各种网络安全威胁，从而降低数据泄露和产生其他安全事件的风险。

除此之外，一些法律直接或间接地引用了NIST的相关标准，例如美国的《联邦信息安全管理法案》（Federal Information Security Management Act，FISMA）。FISMA要求美国联邦机构遵守NIST发布的标准和指南，以确保联邦信息系统的安全性。NIST SP 800系列文档（包括NIST SP 800-53和NIST SP 800-171）是关键参考文件。通过遵循这些标准，企业能够更好地满足法律法规的要求，降低风险，并提高其在市场上的信誉度。

2.1.2　国内数据安全标准体系

在国内数据安全相关标准的建设上，如图2-3所示，多部标准已经发布或者处于征求意见稿阶段，国内数据安全标准体系逐步趋于完善。2019年8月30日，我国发布GB/T 37964—2019《信息安全技术　个人信息去标识化指南》、GB/T 37973—2019《信息安全技术　大数据安全管理指南》和GB/T 37988—2019《信息安全技术　数据安全能力成熟度模型》三部数据安全相关标准。在个人信息保护相关标准的制定时间上，国内标准与国际标准逐渐趋于同步，表2-1给出了部分国际标准和国内标准的对应关系。

图2-3　国内数据安全标准体系

表2-1　国内标准与国际标准的对应关系

此外，我国还发布了一系列其他数据安全国家标准，如《信息安全技术 数据安全能力成熟度模型》、GB/T 43697—2024《数据安全技术 数据分类分级规则》等。其他数据安全相关的标准在此不一一列举，感兴趣的读者可在相关标准网站上查询。

数据安全标准有自愿性标准和强制性标准之分，但数据安全相关法律具有强制性，所有相关主体必须遵守，否则将面临法律责任。法律法规常常会引用和支持某些标准，这使得这些标准具有了法律效力。例如，FISMA要求美国联邦机构必须遵守NIST发布的标准和指南，以确保联邦信息系统的安全性。