网络安全国家标准项目申请书.docx

《网络安全国家标准项目申请书.docx》由会员分享，可在线阅读，更多相关《网络安全国家标准项目申请书.docx（17页珍藏版）》请在第一文库网上搜索。

1、网络安全国家标准项目申请书项目名称：信息安全技术互联网平台数据分类分级项目类型：0标准制定口标准修订口标准研究所属工作组：SWG-BDS大数据安全特别工作组项目牵头单位：中国电子技术标准化研究院项目负责人：姚相振项目联系人：胡影联系人手机：电子邮件：全国信息安全标准化技术委员会秘书处二。二一年三月填写说明一、填写内容涉及到外文名称，首次出现时要写全称和缩写字母。二、本申请书需双面打印，用普通订书钉装订，勿用其他装订材料。本申请书的部分内容若在表格内填写不下，可另附页。三、除标注了制定、修订项目填写的内容，其他所有项目均为必填项。四、请严格按照规定字数进行填写。一、项目基本情况1项目牵头单位信息

2、单位名称：中国电子技术标准化研究院法定代表人：赵新华统一社会信用代码：02WR邮政编码：IOoOO7单位地址：号开户银行：工商银行北京北新桥支行银行帐号：_开户名：中国电子技术标准化研究院项目牵头单位的相关研究基础：（200字以内）中国电子技术标准化研究院是全国信息安全标准化技术委员会（TC260）挂靠单位，是IS0IECJTC1SC27国际标准化技术对口单位，拥有一支经验丰富的标准制定、检测和认证的专业队伍。长期从事数据安全、个人信息保护等领域标准的研究制定工作，具有较好的标准研制基础。牵头编制GB/T35273-2023信息安全技术个人信息安全规范、DB52/T1123-2016政府数据数

3、据分类分级指南，作为第二起草单位参编电信领域大数据安全防护实现指南以及网络预约汽车服务数据安全指南等6项网络服务数据安全标准，参与数据分类分级相关内容编制。2目应再推广本买单检宿意南忌修行顼目填写）单位名称：中国电子技术标准化研究院法定代表人：赵新华统一社会信用代码：02195R邮政编码：I（X）OO7单位地址：号项目应用推广牵头单位的相关研究基础：（200字以内）中国电子技术标准化研究院是全国信息安全标准化技术委员会（TC260）挂靠单位，是IS0IECJTC1SC27国际标准化技术对口单位，拥有支经验丰富的标准制定、检测和认证的专业队伍。长期从事数据安全、个人信息保护等领域标准的研究制定工

4、作，具有较好的标准研制基础。牵头编制GB/T35273-2023信息安全技术个人信息安全规范、DB52/T1123-2016政府数据数据分类分级指南，作为第二起草单位参编电信领域大数据安全防护实现指南以及网络预约汽车服务数据安全指南等6项网络服务数据安全标准，参与数据分类分级相关内容编制。3.项目负责人基本情况姓名：姚相振学历：博士职务/职称：高级工程师手机：办公电话：电子邮件：.承担过的重要项目和发表的重要学术论文：（200字以内）1参与了中华人民共和国网络安全法相关章节的起草工作。作为核心起草人负责关于加强国家网络安全标准化工作的若干意见及相关配套文件的编制工作。组织申报行军研项目、工业强

5、基项目、工业转型升级等工信部纵向科研项目、中央网信办纵向科研项目、发改委“互联网+重大工程”等重点项目10余项；2 .组织建设工控系统信息安全标准与测评工信部重点实验室；建设了以四套典型工控系统安全检测环境为核心，十余套检测验证平台、工具为支撑的工控安全实验室体系；3 .主持编制关键信息基础设施安全保护基本要求（拟立为强制性国家标准）、办公信息系统安全可靠基本技术要求、办公信息系统安全可靠测试规范、办公信息系统安全可靠实施指南、网站可信评估指标、网站可信标示规范、信息技术产品供应行为安全准则等7项国家标准及机动车射频识别RFID系统安全技术标准等多项地方标准：4 .先后担任面向智能制造的工业信

6、息安全关键标准研制和验证平台建设、可编程逻辑控制器（P1C）仿真测试平台建设、信息安全标准化能力建设、分布式控制系统（DCS）安全仿真测试平台建设、信息安全标准综合验证与管理系统、工业互联网安全研发测试基础共性服务平台等9个重点项目的主要技术负责人；5 .发表论文15篇，其中SC11篇、EI13篇，国内核心期刊1篇，出版工控安全相关书籍2本，获得第一发明人授权专利2项。二、项目必要性（IoOO字以内）1 .简要概述国际国外相关政策、技术、标准情况国际方面，IS0/IEC27001:2013信息安全管理体系要求中明确信息分级的目标是确保信息按照其对组织的重要程度受到适当的保护，提出了应按照法律要

7、求、价值、重要性及其对未授权泄露或修改的敏感性对信息进行分级的要求。美国方面，NIST在2004年发布了FIPS199联邦信息和信息系统的安全分类标准，提出信息的分级方法性，规定了对信息分级的描述方式，从信息的机密性、完整性和可用性三个角度进行低、中、高三个等级的评定。2008年，NIST发布了SP800-60信息和信息系统类型与安全分级的映射指南，更加具体的指导了政府信息的安全分类，并且给出了现有联邦政府内的信息建议安全分类。根据FIP199和SP800-60标准，美国将政府信息进行安全分类后，制定了信息影响等级。当安全分类一致时，受控非密信息、涉密信息的数据内容范围根据行政令13526、行

8、政令13556确定。行政令13526于2009年颁布，描述了对国家安全信息的定密、防护和解密方法；行政令13556于2010年颁布，在13526号行政令的指导下，补充完善了受控非密信息。2015年，NIST发布了SP1500-2NIST大数据互操作性框架：第二卷，大数据分类法，提出了基于大数据参考架构（NBDRA）的角色样本分类体系，将每个元素分解成多个部分，提供了特定粒度数据对象的描述以及属性、特征和子特征。2 .分析国内相关技术、产业、应用发展现状与项目需求目前，我国部分行业领域和地区先行开展数据分类分级保护，国家数据分类分级保护规则和制度还未建立。金融、证券、电信、工业等行业领域和部分地

9、方政务开展了数据分类分级保护工作。从已开展的数据分类分级工作来看，数据分类分级保护仍存在许多难点问题，如缺乏统一的分类分级顶层规则、重要数据范围界定模糊、分类分级未与安全保护措施关联、分类分级可能随场景动态变化、无法穷举快速增长的海量数据、数据分类分级自动打标不成熟等。为解决这些难点问题，需要从国家标准层面明确数据分类分级的原则、方法，界定关键概念的范围，提出通用的数据分类分级保护要求。3 .阐述项目的适用对象、解决的具体问题本标准适用于互联网平台运营者开展数据分类分级保护工作，也适用于主管监管部门对互联网平台数据分类分级保护工作进行监督、管理。本标准主要解决以下问题：1）明确数据分类的规则和

10、方法，界定个人信息、重要数据、公共数据、组织数据的范围、分类和判定规则；2）明确数据分级的规则和方法，提出统一的数据级别；3）明确数据分类和分级的对应规则，给出分类分级清单示例；4）明确数据分类分级保护要求，基于不同类别级别数据在全流程数据活动提出相应的安全技术和管理要求。4,给出标准实施主体及实施建议（制定、修订项目填写）（描述标准应用场景、实施方案，以及预期作用和效益；标准实施是否有明确的行政管理部门、使用方以及技术支撑单位，如有请分别列出单位名称、标准实施中发挥的作用，以及是否与相关单位进行沟通；）建议国家监管、行业主管部门参照本标准推动互联网平台数据分类分级保护工作。建议互联网平台运营

11、者等组织机构依据本标准给出的原则、方法，以及安全保护要求，对数据进行分类分级保护。三、项目主要内容（IoOO字以内）1项目主要内容（制修订项目需明确标准性质、是否采用国际标准、采标程度、采标号及名称；修订项目还应说明修订标准号及名称，拟修订的主要内容和理由，以及原标准实施效果，）本标准的主要内容包括：（1）给出互联网平台数据分类分级的原则、方法；（2）围绕数据收集、存储、使用、传输等全流程数据活动，明确不同类别级别的数据安全保护要求：（3）给出典型互联网行业数据分类分级示例。本标准建议制定为推荐性国家标准：本标准未采用国际标准。2 .项目技术方案采用文献资料法，从国内外数据分类分级相关的国家或

12、行业标准内梳理共同关注点、求同存异抽取共性概念，对本项目工作提供借鉴。采用理论与实际相结合的方式，通过对代表性机构开展调研，调研数据范围、梳理关键特征，总结相关机构在数据安全分类分级保护方面的最佳实践，再结合国内实际需要，对比分析和归纳总结，形成标准框架及关键点。采用加强组内交流、分阶段推进的策略，定期组织编制组内交流与讨论，推进标准化工作；同时根据标准研制内容的阶段特点，组织数据安全专家、标准化专家进行评审，确保标准研制工作高效、有序推进。3 .项目协调配套情况（与现行法律法规、政策文件、强制性国家标准及相关标准协调配套情况；是否有行业标准、团体标准基础；与现有国家标准之间的衔接关系。）法律

13、法规、政策文件方面，本标准旨在支撑网络安全法数据安全法（草案）个人信息保护法（草案）中关于数据分类分级的规定，落实给出互联网平台数据分类分级的原则、方法，以及安全保护要求。国家标准方面，GB/T35273-2023信息安全技术个人信息安全规范给出了个人信息和个人敏感信息的类别及示例，GB/T38667-2023信息技术大数据数据分类指南提供了大数据分类过程及其分类视角、分类维度和分类方法等方面的建议和指导，GB/T37973-2019信息安全技术大数据安全管理指南提出了大数据安全管理基本原则以及大数据分类分级的流程。行业标准方面，JR/T0197-2023个人金融信息保护技术规范、JRT019

14、7-2023金融数据安全数据安全分级指南、JR/T0158-2018证券期货业数据分类分级指引给出了金融行业相关的数据分类分级指南，YD/T3813-2023基础电信企业数据分类分级方法给出了基础电信企业数据的分类分级方法。地方标准方面，DB52/T1123-2016政府数据数据分类分级指南给出了贵州政府数据的分类分级指南。本标准将充分借鉴和参考上述标准，针对互联网平台数据，给出数据分类分级原则和方法、以及安全保护要求，同时细化个人信息的分类分级管理和保护等，与GB/T35273-2023信息安全技术个人信息安全规范等相关国家标准属于协调配套关系。4 .国际标准一致性（是否有相应的国际标准：与

15、国际标准的一致性程度，以及提升为国际标准的可行性）目前尚未有专门针对数据分类分级方面的国际标准，通过本项目研究有可能为我国提供国际标准贡献输入。5 .是否同步制定国家标准外文版及原因（制定、修订项目填写）（如同步制定还需一并提交国家标准外文版翻译项目建议书）本标准为推荐性国家标准，其技术规范内容目前主要针对于国内互联网平台数据安全管理，不适合同步制定外文版。四、专利情况说明（200字以内）（如项目内容涉及专利，应给出专利号、名称、申请人、实施许可声明方式等信息。如不涉及,写“无”。）无。五、牵头单位、参与单位及主要研究人员注：主要研究人员包括牵头单位和参与单位的人员。项目牵头单位：中国电子技术标准化研究院项目应用推广牵头单位：中国电子技术标准化研究院项目参与单位：中国移动通信集团有限公司、北京信息安全测评中心、中国网络安全审查技术与认证中心、公安部第一研究所、阿里巴巴（北京）软件服务有限公司、蚂蚁科技集团股份有限公司、北京爱奇艺科技有限公司、顺丰速运有限公司、深圳市腾讯计算机系统有限公司、北京小桔科技有限公司、成都卫士通信息产业股份有限公司、杭州安恒信息技术股份有限公司、北京百度网讯科技有限公司、北京奇虎科技有限公司、北京明朝万达科技股份有限公司、北京字节跳动科技有限公