三项工业互联网企业网络安全国家标准发布
近日,国家市场监督管理总局(国家标准化管理委员会)发布2024年第22号中国国家标准公告,批准由全国通信标准化技术委员会归口的《工业互联网企业网络安全 第1部分:应用工业互联网的工业企业防护要求》(GB/T 44462.1-2024)、《工业互联网企业网络安全 第2部分:平台企业防护要求》(GB/T 44462.2-2024)、《工业互联网企业网络安全 第3部分:标识解析企业防护要求》(GB/T 44462.3-2024)三项工业互联网企业网络安全国家标准发布。 序号 编号编号 标准名称 代替标准号 实施日期 284 GB/T 44462.1-2024 工业互联网企业网络安全第1部分:应用工业互联网的工业企业防护要求 2025-1-1 285 GB/T 44462.2-2024 工业互联网企业网络安全第2部分:平台企业防护要求 2025-1-1 286 GB/T 44462.3-2024 工业互联网企业网络安全第3部分:标识解析企业防护要求 2025-1-1 附:下载链接
工业互联网企业网络安全分类分级评估方法团体标准发布
近日,中国通信标准化协会发布《工业互联网企业网络安全分类分级评估方法》团体标准。 标准名称及编号如下: 《工业互联网企业网络安全分类分级评估方法》,编号为: T/CCSA 527-2024 附:发布团体标准编号、名称、主要内容等一览表: 序号 标准编号 标准名称 制修订 标准主要内容 实施日期 说明 1 T/CCSA 527-2024 工业互联网企业网络安全分类分级评估方法 制定 本文件规定了工业互联网企业网络安全分类分级评估的工作流程、实施要求、分析评价以及结果输出等。本文件适用于指导开展工业互联网企业网络安全分类分级评估工作,为评估实施、分析评价和结果输出等各环节提供工作指引。 2024年4月10日 附:下载链接
工业互联网企业网络安全定级方法团体标准发布
近日,中国通信标准化协会发布《工业互联网企业网络安全定级方法 第1部分:应用工业互联网的工业企业》等3项团体标准。标准名称及编号如下: 1、《工业互联网企业网络安全定级方法 第1部分:应用工业互联网的工业企业》,编号为:T/CCSA 483.1-2024 2、《工业互联网企业网络安全定级方法 第2部分:平台企业》,编号为: T/CCSA 483.2-2024 3、《工业互联网企业网络安全定级方法 第3部分:标识解析企业》,编号为: T/CCSA 483.3-2024 附:发布团体标准编号、名称、主要内容等一览表: 序号 标准编号 标准名称 标准主要内容 制修订 实施日期 说明 1 T/CCSA 483.1-2024 工业互联网企业网络安全定级方法 第1部分:应用工业互联网的工业企业 本文件规定了应用工业互联网的工业企业(以下简称联网工业企业)的定级方法,针对联网工业企业给出定级要素及说明、评分规则等。本文件主要适用于工业互联网企业网络安全分类分级管理工作,用于联网工业企业开展自主定级。 制定 2024年6月1日 2 T/CCSA 483.2-2024 工业互联网企业网络安全定级方法 第2部分:平台企业 本文件规定了工业互联网平台企业网络安全的定级方法,针对工业互联网平台企业给出定级要素及说明、评分规则等。本文件主要适用于工业互联网企业网络安全分类分级管理工作,用于工业互联网平台企业开展自主定级。 制定 2024年6月1日 3 T/CCSA 483.3-2024 工业互联网企业网络安全定级方法 第3部分:标识解析企业 本文件规定了工业互联网标识解析企业网络安全定级的基本原则和定级方法,并针对工业互联网标识解析企业给出定级要素及说明、评分规则等。本文件主要适用于工业互联网企业网络安全分类分级管理工作,用于工业互联网标识解析企业开展自主定级。 制定 2024年6月1日 附:下载链接
工业互联网安全标准体系(2021年)
2021年12月9日,在工业和信息化部网络安全管理局指导下,工业互联网产业联盟、工业信息安全产业发展联盟、工业和信息化部商用密码应用推进标准工作组共同发布《工业互联网安全标准体系(2021年)》。 为深入贯彻落实《国务院深化“互联网+先进制造业”发展工业互联网的指导意见》《加强工业互联网安全工作的指导意见》《工业互联网创新发展行动计划(2021-2023年)等文件要求,系统推进工业互联网安全标准体系研究,加快基础共性、关键技术、典型应用等产业亟需标准制定,编制形成《工业互联网安全标准体系(2021年)》。工业互联网安全标准体系包括分类分级安全防护、安全管理、安全应用服务等3个类别、16个细分领域以及76个具体方向,为切实发挥标准规范引领作用,加快建立网络安全分类分级管理制度,强化工业互联网企业安全防护能力,推动网络安全产业高质量发展具有重要支撑作用。 附件 工业互联网安全标准体系(2021年) 一、工业互联网安全标准总体框架 二、工业互联网安全标准建设方向 总序号 分序号 标准名称 标准内容 EA分类分级安全防护 EAA分类分级定级指南 1 1) 应用工业互联网的工业企业网络安全定级方法 规范应用工业互联网的工业企业网络安全分类分级依据、企业定级流程以及安全定级要求 2 2) 工业互联网平台企业网络安全定级方法 规范工业互联网平台企业网络安全分类分级依据、企业定级流程以及安全定级要求 3 3) 工业互联网标识解析企业网络安全定级方法 规范工业互联网标识解析企业网络安全分类分级依据、企业定级流程以及安全定级要求 EAB应用工业互联网的工业企业网络安全 4 1) 应用工业互联网的工业企业网络安全防护要求 规范应用工业互联网的工业企业的不同级别的安全防护基本要求 细分垂直行业领域 5 2) 钢铁行业工业互联网企业网络安全分类分级防护要求 规范钢铁行业联网工业企业设备、控制、网络等安全防护技术要求及其他要求 6 3) 石化化工行业工业互联网企业网络安全分类分级防护要求 规范石油化工行业联网工业企业设备、控制、网络等安全防护技术要求及其他要求 7 4) 电子行业工业互联网企业网络安全分类分级防护要求 规范电子行业联网工业企业设备、控制、网络等安全防护技术要求及其他要求 8 5) 机械行业工业互联网企业网络安全分类分级防护要求 规范机械行业联网工业企业设备、控制、网络等安全防护技术要求及其他要求 9 6) 船舶行业工业互联网企业网络安全分类分级防护要求 规范船舶行业联网工业企业设备、控制、网络等安全防护技术要求及其他要求 10 7) 民航制造行业工业互联网企业网络安全分类分级防护要求 规范民用行业联网工业企业设备、控制、网络等安全防护技术要求及其他要求 11 8) 建材行业工业互联网企业网络安全分类分级防护要求 规范建材行业联网工业企业设备、控制、网络等安全防护技术要求及其他要求 EAC工业互联网平台企业网络安全 12 1) 工业互联网平台企业网络安全防护要求 主要规范工业互联网平台企业不同级别的安全防护技术要求及其他要求 EAD工业互联网标识解析企业网络安全 13 1) 工业互联网标识解析企业网络安全防护要求 规范工业互联网标识解析企业不同级别的安全防护技术要求及其他要求 EAE工业互联网企业数据安全 14 1) 工业互联网企业数据安全防护要求 规范工业互联网企业在工业互联网这一新模式新业态下产生或使用的数据的安全防护技术要求及其他要求 EAF工业互联网关键要素安全 总体类 15 1) 工业互联网安全体系架构 面向工业互联网企业,规范工业互联网安全体系架构,包括防护对象、防护措施落实、安全建设管理等方面。 16 2) 工业互联网智能化安全防护参考架构 规范工业互联网安全智能化安全防护参考架构 17 3) 工业互联网零信任体系框架 规范工业互联网使用零信任技术的安全体系框架 18 4) 工业互联网安全接入技术要求 规范工业互联网安全接入防护技术及相关要求。 设备和控制 19 5) 工业互联网数据采集终端(终端采集设备)安全基本要求 规范工业传感器、数据采集探针等终端采集设备进行数据采集的可读存储介质、终端等安全防护基本要求 20 6) 工业互联网 联网PLC安全技术要求 规范联网PLC安全基本要求 21 7) 工业互联网智能终端安全技术要求 规范工业机器人、AGV小车、工业摄像头、智能仪表等与互联网智能终端的安全防护要求 22 8) 工业互联网数控系统安全技术要求 规范工业互联网数控系统包含的相关设备、协议等安全防护技术要求 平台和应用 23 9) 工业APP安全防护通用要求 规范工业APP安全防护技术及相关要求,从应用开发者的角度,针对工业互联网平台APP、计算机应用软件、移动应用软件三种场景提出具体的安全防护要求。。 24 10) 工业微服务安全防护要求 规范工业互联网平台中微服务架构、组件及开发等安全防护技术要求 25 11) 工业互联网边缘计算平台安全技术要求 面向工业互联网企业,规范工业互联网边缘计算平台相关网络、节点、计算资源、容器及微服务以及边云协同等安全技术要求 网络和标识 26 12) 工业互联网 网络隔离与安全传输技术要求 规范工业互联网企业内部网络隔离与数据传输的安全技术要求。 27 13) 工业互联网标识解析安全认证技术要求 规范工业互联网标识解析节点接入认证技术要求及其它要求 28 14) 工业互联网标识解析系统异构互通安全技术要求 规范工业互联网标识解析系统异构互通的安全要求及其他要求 29 15) 工业互联网标识解析数据安全互操作要求 规范工业互联网标识解析数据安全共享、隐私保护等技术要求及其它要求 数据 30 16) 工业互联网重要数据识别指南 规范工业互联网工业控制数据、工艺模型数据、工业网络配置数据等重要数据识别操作指南 31 17) 工业互联网数据跨境安全防护要求 规范工业互联网数据跨境传输、存储等安全技术要求和其他要求 EB安全管理 EBA安全监测 32 1) 工业互联网安全态势感知系统技术要求 规范工业互联网安全态势感知技术要求及其它要求 33 2) 联网工业企业安全态势感知平台技术要求 规范工业企业侧态势感知平台的技术要求 34 3) 联网工业企业安全态势感知平台接口规范 规范工业企业侧态势感知平台的接口规范 35 4) 工业互联网平台企业安全态势感知平台技术要求 规范平台企业侧态势感知平台的技术要求 36 5) 工业互联网平台企业安全态势感知平台接口规范 规范平台企业侧态势感知平台的接口规范 37 6) 工业互联网标识解析企业安全态势感知平台技术要求 规范标识企业侧态势感知平台的技术要求 38 7) 工业互联网标识解析企业安全态势感知平台接口规范 规范标识企业侧态势感知平台的接口规范 EBB安全应急响应 39 1) 工业互联网安全事件应急响应实施规范 规范工业互联网安全事件应急响应实施与操作要求 EBC安全运维 40 1) 工业互联网安全运维管理要求 规范工业互联网安全运维管理要求 EBD安全评估 41 1) 应用工业互联网的工业企业安全评估规范 规范应用工业互联网的工业企业安全评估框架、流程、实施等要求 42 2) 工业互联网平台企业安全评估规范 规范工业互联网平台企业安全评估框架、流程、实施等要求 43 3) 工业互联网标识解析企业安全评估规范 规范工业互联网标识解析企业安全评估框架、流程、实施等要求 44 4) 工业互联网企业数据安全评估规范 规范工业互联网企业数据安全评估要求 45 5) 工业互联网控制系统安全评估规范 规范工业互联网控制系统的安全评估要求 46 6) 工业互联网设备安全评估规范 规范工业互联网设备的安全评估要求 47 7) 工业APP安全测试评估规范 规范工业app安全防护要求对应测试评估要求 48 8) 工业机器人安全测试评估规范 规范工业机器人接入、控制等方面安全防护要求对应测试评估要求 EBE安全能力评价 企业层面 49 1) 应用工业互联网工业企业企业安全能力评价要求 规范应用工业互联网工业企业在落实《应用工业互联网的工业企业网络安全防护要求》后在管理、技术能力等方面的安全能力评价要求规范 50 2) 工业互联网平台企业安全能力评价要求 规范工业互联网平台企业在落实《工业互联网平台企业网络安全防护要求》后在管理、技术能力等方面的安全能力评价要求规范 51 3) 工业互联网标识解析系统服务安全能力评价要求 规范工业互联网标识解析企业在落实《工业互联网标识解析企业网络安全防护要求》后在管理、技术能力等方面的安全能力评价要求规范 产业层面 52 4) 工业互联网企业数据安全防护能力评价 规范工业互联网企业在落实《工业互联网企业数据安全防护要求》后在管理、技术能力等方面的安全能力评价要求规范规范工业互联网数据安全保护能力评价 53 5) 工业互联网 漏洞检测产品安全能力评价要求 规范工业互联网漏洞检测相关产品的安全能力评价要求 54 6) 工业互联网防火墙安全能力评价要求 规范工业互联网防火墙安全能力评价要求 55 7) 工业互联网安全监测与审计设备安全能力评价要求 规范工业互联网安全监测与审计产品安全能力评价要求 56 8) 工业互联网安全隔离与信息交换系统安全能力评价要求 规范工业网络安全隔离与信息交换系统安全能力评价要求 EC安全应用与服务 ECA工业企业安全上云 57 1) 工业互联网设备上云安全技术要求 规范工业互联网设备接入云平台的安全技术要求及其它要求 58 2) 工业互联网业务上云安全技术要求 规范工业业务上云与云化服务的安全技术要求及其他安全要求 ECB安全公共服务 59 1) 工业互联网 安全服务机构能力认定准则 规范工业互联网安全服务机构能力认定的要求 60 2) 工业互联网网络安全公共服务平台技术要求 规范工业互联网网络安全公共服务技术要求及其它要求 ECC“5G+工业互联网”安全 61 1) 面向钢铁的5G+工业互联网应用安全技术要求 规范钢铁行业的“5G+工业互联网”安全技术要求及其它要求 62 2) 面向矿山的5G+工业互联网应用安全技术要求 规范矿山行业的“5G+工业互联网”安全技术要求及其它要求 63 3) 面向航空航天装备制造的5G+工业互联网应用安全技术要求 规范航天航空装备制造的“5G+工业互联网”安全技术要求及其它要求 64 4) 面向船舶的5G+工业互联网应用安全技术要求 规范船舶行业的“5G+工业互联网”安全技术要求及其它要求 ECD密码应用 65 1) 工业互联网密码应用基本要求 规范工业互联网密码应用基本要求 66 2) 工业互联网身份鉴别密码应用指南 规范工业互联网用户和设备等身份鉴别相关密码应用要求 67 3) 工业控制系统轻量级密码应用技术要求 规范工控系统轻量级密码技术要求及其它要求 68 4) 风力发电工控系统密码应用技术规范 规范风力发电工业控制系统密码应用要求 69 5) 数控系统商用密码应用技术要求 规范数控系统商用密码应用技术要求 70 6) 工业互联网标识解析密码应用技术要求 规范工业互联网标识解析应用密码过程中的技术要求及其它要求 71 7) 工业互联网平台密码应用技术要求 规范工业互联网平台应用密码过程中的技术要求及其它要求 ECE安全技术及产品应用 72 1) 工业互联网内生安全智能设备技术要求 规范工业互联网内生安全智能设备技术要求 73 2) 工业互联网入侵诱捕技术要求 规范工业互联网蜜罐、蜜网及入侵行为分析的技术要求 74 3) 工业互联网资产识别技术要求 规范工业互联网软硬件资产识别设备的技术要求 75 4) 工业互联网 安全编排、自动化和响应技术要求 规范工业互联网安全分析、威胁情报处置、安全编排与自动化响应的技术要求 76 5) 工业互联网流量采集与安全分析技术要求 规范工业互联网流量采集与安全分析技术要求
工业领域数据安全标准体系建设指南(2023版)
工业和信息化部 国家标准化管理委员会关于印发《工业领域数据安全标准体系建设指南(2023版)》的通知 工信部联科〔2023〕250号 各省、自治区、直辖市及计划单列市、新疆生产建设兵团工业和信息化主管部门、通信管理局、市场监管局(厅、委),有关行业协会、中央企业、标准化技术组织、标准化专业机构: 为切实发挥标准对推动工业领域数据安全的技术引领和规范指导,工业和信息化部、国家标准化管理委员会依据《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规和政策文件要求,组织编制了《工业领域数据安全标准体系建设指南(2023版)》。现印发给你们,请结合本地区、本行业、本领域实际,在标准化工作中贯彻执行。 附件: 工业领域数据安全标准体系 建设指南(2023版) 2023年12月 目录 一、总体要求 1 (一)基本原则 1 (二)建设目标 2 二、主要内容 2 (一)体系框架 2 (二)重点领域 5 1.基础共性标准 5 2.安全管理标准 6 3.技术和产品标准 7 4.安全评估与产业评价标准 9 5.新兴融合领域标准 10 6.工业领域细分行业标准 12 三、组织实施 13 一、总体要求 以习近平新时代中国特色社会主义思想为指导,全面贯彻党的二十大精神,深入落实《中华人民共和国数据安全法》《工业和信息化领域数据安全管理办法(试行)》等法律法规和政策文件要求,建立健全工业领域数据安全标准体系,加快弥补关键基础标准短板,强化重点急需标准供给,着力推动标准应用实施和国际标准化工作,有效支撑工业领域数字化转型,护航数字经济高质量发展。 (一)基本原则 统筹规划,全面布局。统筹标准化工作资源,结合工业领域技术和产业发展现状及特点,以满足工业领域数据安全保障需求为目标,坚持政府引导和市场驱动相结合,建立健全工业领域数据安全标准体系。 需求引导,多层构建。结合不同行业工业领域数据安全标准化需求,在体现工业领域数据安全共性的基础上,突出工业领域和各工业领域细分行业所具有的个性,形成以国家标准为基础、行业标准为主体、团体标准为补充的标准化工作格局,推动构建各类标准衔接有序、融合发展的多层次标准架构。 基础先立,急用先行。围绕工业领域数据安全工作重点和难点,加快数据分类分级、重要数据识别、分级防护基础共性标准的制定发布。综合考虑工业领域数据安全现状及面临的风险挑战,加快推进重点急需标准的研究制定。 注重实效,开放合作。加强标准与法规政策的配套承接,组织开展标准宣贯培训、对标达标和实施监督,提升标准应用实践成效。积极开展国际交流合作,加大国际标准化工作参与力度,建立适用度高、开放性强的工业领域数据安全标准体系。 (二)建设目标 到2024年,初步建立工业领域数据安全标准体系,有效落实数据安全管理要求,基本满足工业领域数据安全需要,推进标准在重点行业、重点企业中的应用,研制数据安全国家、行业或团体标准30项以上。 到2026年,形成较为完备的工业领域数据安全标准体系,全面落实数据安全相关法律法规和政策制度要求,标准的技术水平、应用效果和国际化程度显著提高,基础性、规范性、引领性作用凸显,有力支撑工业领域数据安全重点工作,研制数据安全国家、行业或团体标准100项以上。 二、主要内容 (一)体系框架 工业领域数据安全标准体系明确了总体框架,以及基础共性、安全管理、技术和产品、安全评估与产业评价、新兴融合领域、工业细分行业六个子体系内容。基础共性、安全管理、技术和产品、安全评估与产业评价子体系聚焦工业领域具有共性的数据安全标准,新兴融合领域、工业细分行业等两个子体系重点突出特定业务场景的数据安全标准。 其中,基础共性标准用于明确工业数据安全术语,包括术语定义、分类分级规则、识别认定、分级防护标准,为各类标准研制提供基础支撑。安全管理标准用于开展数据安全风险监测与应急处置、数据处理安全和组织人员管理,提供了覆盖数据全生命周期的安全管理措施保障。技术和产品标准包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准,建立了工业领域数据安全的技术支撑体系。安全评估与产业评价标准用于支撑工业数据安全评估及数据安全产业评价工作,为相关数据安全评估与产业评价提供了标准依据。新兴融合领域标准旨在解决重点领域的数据安全问题,包括智能制造、工业互联网领域数据安全标准。工业细分行业标准面向重点工业行业、领域的数据特点和安全需求,制定行业数据安全管理和技术标准规范。工业领域数据安全标准体系框架如图1所示。 图1工业领域数据安全标准体系框架 (二)重点领域 1.基础共性标准 基础共性标准是数据安全保护的基础性、通用性、指导性标准,包括术语定义、分类分级规则、识别认定、分级防护标准。基础共性标准子体系如图2所示。 图2基础共性标准子体系 1.1术语定义 术语定义用于规范工业领域数据安全相关概念,为其他标准的制定提供支撑,包括技术、规范、应用领域的相关术语、概念定义、相近概念之间的关系。 1.2分类分级规则 分类分级规则标准用于指导工业数据处理者开展工业数据分类分级工作。 1.3识别认定 识别认定标准用于指导工业数据处理者开展重要数据识别和认定工作。 1.4分级防护 分级防护标准用于指导工业数据处理者根据工业数据分类分级和识别认定结果,采取有针对性地防护措施。 2.安全管理标准 安全管理标准从数据安全框架的管理视角出发,指导工业数据处理者落实法律法规以及行业主管部门的管理要求,包括安全运营、数据处理安全、组织人员管理标准。安全管理标准子体系如图3所示。 图3安全管理标准子体系 2.1安全运营 安全运营标准用于规范工业领域安全运营,主要包括工业领域数据安全风险监测预警、监测接口、事件管理、事件分类分级、应急演练、应急预案与处置、信息上报与共享、数据容灾备份管理等标准。 2.2数据处理安全 数据处理安全标准用于规范工业数据使用、共享、出境处理活动安全要求,其中数据使用包括数据收集、传输、存储、使用加工方面安全要求,数据共享包括提供、公开、转移、委托处理方面安全要求。 2.3组织人员管理 组织人员管理标准用于加强工业数据处理者组织机构建设,规范工业数据处理岗位和人员安全管理,推动组织和人员数据安全意识与能力提升,主要包括组织机构管理、关键岗位人员管理、数据安全从业人员能力要求标准。 3.技术和产品标准 技术和产品标准对数据安全关键技术和产品及其检测要求进行规范,包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准。技术和产品标准子体系如图4所示。 图4技术和产品标准子体系 3.1数据分类分级技术和产品 数据分类分级技术和产品标准用于规范数据资产发现、识别、标识、分析方面的技术、产品要求,主要包括数据分类分级、数据血缘分析、数据质量管理标准。 3.2数据安全防护技术和产品 数据安全防护技术和产品标准用于规范数据收集、存储、使用、加工、传输、销毁方面技术、产品要求,主要包括数据防篡改、数据加密、数据脱敏、数据防泄漏、数据销毁、数据恢复标准。 3.3数据行为防控技术和产品 数据行为防控标准用于规范数据处理异常行为识别、监测、态势感知、安全审计、数据访问控制方面的技术、产品要求,主要包括用户行为分析、数据流转监测、数据安全态势感知、安全审计、数据访问控制、可信执行环境标准。 3.4数据共享安全技术和产品 数据共享安全技术和产品标准用于规范数据提供、公开方面技术、产品要求,主要包括数据溯源、多方安全计算、联邦学习、同态加密标准。 4.安全评估与产业评价标准 安全评估与产业评价标准用于支撑工业领域数据安全评估及产业评价,包括安全评估、产业评价标准。安全评估与产业评价标准子体系如图5所示。 图5安全评估与产业评价标准子体系 4.1安全评估 安全评估标准用于指导评估机构开展数据安全风险评估、能力评估、出境安全评估工作,主要包括工业领域数据安全风险评估、数据安全能力评估、数据出境安全评估标准。 4.2产业评价 产业评价标准用于数据安全产业、数据安全服务能力及产业竞争力评价,包括数据安全产业评价指标、数据安全服务机构能力评价、数据安全产业竞争力评价标准。 5.新兴融合领域标准 新兴融合领域标准主要用于规范工业相关新兴融合领域的数据安全要求,包括智能制造、工业互联网领域数据安全标准。新兴融合领域标准子体系如图6所示。 图6新兴融合领域标准子体系 5.1智能制造数据安全标准 智能制造数据安全标准用于规范智能制造场景下的数据安全,包括智能装备、智能工厂、智能服务、智能赋能技术、智慧供应链数据安全标准。 5.2工业互联网数据安全标准 工业互联网数据安全标准用于规范工业互联网场景下的数据安全,包括工业互联网终端和网络、工业互联网标识解析、工业互联网边缘计算、工业互联网平台、工业互联网典型应用数据安全标准。 6.工业领域细分行业标准 根据基础共性、安全管理、技术和产品、安全评估与产业评价标准,结合原材料、装备、消费品、电子信息制造、民爆、节能与综合利用、软件和信息技术服务等重点工业行业、领域数据特点和安全需求,制定工业领域细分行业数据安全标准。工业领域细分行业标准子体系如图7所示。 图7工业领域细分行业标准子体系 6.1原材料工业 针对原材料工业中钢铁、有色、稀土、石化化工、建材等行业的数据安全特点、场景,提出原材料工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。 6.2装备工业 针对装备工业中汽车、民用飞机、民用船舶等行业的数据安全特点、场景,提出装备工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。 6.3消费品工业 针对消费品工业中轻工、纺织等行业的数据安全特点、场景,提出消费品工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。 6.4电子信息制造业 针对电子信息制造业的数据安全特点、场景,提出电子信息制造业数据分类分级、重要数据识别、数据安全防护重点标准。 6.5民爆 针对民爆行业的数据安全特点、场景,提出民爆行业数据分类分级、重要数据识别、数据安全防护重点标准。 6.6节能与综合利用 针对工业领域节能与综合利用相关领域的数据安全特点、场景,提出节能与综合利用数据分类分级、重要数据识别、数据安全防护重点标准。 6.7软件和信息技术服务业 针对软件和信息技术服务业的数据安全特点、场景,提出软件和信息技术服务业数据分类分级、重要数据识别、数据安全防护重点标准。 三、组织实施 一是加强统筹协调。工业和信息化部统筹推进工业领域数据安全标准体系建设,组织开展国家标准和行业标准制修订工作,鼓励支持开展高质量团体标准、企业标准制定与实施。加强各标准组织的协作配合以及各行业、各领域之间的协同推进。 二是加快任务落实。汇聚工业领域产学研用各方力量,大力推进重点急需标准研制。注重工业领域数据安全标准化工作与新技术新应用及行业优秀实践的有机融合,建立完善标准试验验证平台与环境,提升标准的实用性。紧密围绕技术和产业发展趋势,适时修订标准体系和相关标准。 三是强化宣贯实施。鼓励各地主管部门、有关行业协会、联盟、标准化技术组织、专业机构通过多种渠道宣传工业领域数据安全标准化成果,有针对性地开展专题培训,引导企业开展贯标达标工作,推动标准落地实施和应用推广。 四是加强国际合作。积极与国外数据安全、工业互联网、智能制造相关组织开展标准化交流与合作,支持企事业单位参与国际电信联盟(ITU)、国际标准化组织(ISO)、国际电工委员会(IEC)国际标准化活动,推动相关国际标准制定。 附件:1.工业领域数据安全现行及在研标准明细表2.工业领域数据安全标准拟研制重点方向 附件1 工业领域数据安全现行及在研标准明细表 总序号 分序号 标准名称 标准号/计划号 状态 A基础共性 AB分类分级规则 1. 1) 信息安全技术数据分类分级规则 20220787-T-469 制定中 C技术和产品 CA数据分类分级技术和产品 CAC数据质量管理 2. 1) 工业数据质量通用技术规范 GB/T39400-2020 已发布 D安全评估与产业评价 DA安全评估 DAA风险评估 3. 1) 信息安全技术数据安全风险评估方法 20230257-T-469 制定中 DAB能力评估 4. 1) 信息安全技术数据安全能力成熟度模型 GB/T37988-2019 已发布 F工业领域细分行业 FB装备工业 FBA汽车行业数据安全 5. 1) 汽车整车信息安全技术要求 20214422-Q-339 制定中 6. 2) 智能网联汽车数据通用要求 20213606-T-339 制定中 FBB民用飞机行业数据安全 7. 1) 无人机云系统数据规范 MH/T2011-2019 已发布 FD电子信息制造业 总序号 分序号 标准名称 标准号/计划号 状态 8. 1) 可穿戴产品数据规范 GB/T37037-2018 已发布 FG软件和信息技术服务业 9. 1) 信息技术服务数据资产管理要求 GB/T40685-2021 已发布 10. 2) 面向公有云服务的文件数据安全标记规范 YD/T3470-2019 已发布 11. 3) 云服务用户数据保护能力评估方法第1部分:公有云 YD/T3797.1-2021 已发布 12. 4) 云服务用户数据保护能力评估方法第2部分:私有云 YD/T3797.2-2020 已发布 附件2 工业领域数据安全标准拟研制重点方向 A基础共性 AA术语定义 工业领域数据安全术语 AB分类分级规则 工业领域数据分类分级指南、标识规则 AC识别认定 工业领域重要数据识别指南 AD分级防护 工业企业数据安全防护要求 B安全管理 BA安全运营 BAA监测预警 工业领域数据安全监测预警实施指南、监测接口规范 BAB应急处置 工业领域数据安全事件分类分级指南、事件管理指南、应急演练指南、应急预案与处置要求 BAC信息上报和共享 工业领域数据安全风险信息上报和共享指南、风险信息上报和共享接口规范 BAD数据容灾备份管理 工业领域数据灾备管理要求 BB数据处理安全 BBA数据使用安全 工业领域数据使用安全要求 BBB数据共享安全 工业领域数据共享安全要求、接口安全要求 BBC数据出境安全 工业领域数据出境安全要求 BC组织人员管理 BCA组织机构管理 工业领域数据安全组织机构建设指南 BCB人员管理 工业领域数据处理关键岗位及人员安全管理要求、从业人员能力基本要求、管理人员能力要求、评估人员能力要求 C技术和产品 CA数据分类分级技术和产品 CAA数据分类分级 数据分类分级产品技术要求和测试评价方法 CAB数据血缘分析 数据血缘分析技术要求 CAC数据质量管理 数据清洗比对技术要求 CB数据安全防护技术和产品 CBA数据防篡改 数据防篡改产品技术要求和测试评价方法 CBB数据加密 数据加密产品技术要求和测试评价方法 CBC数据脱敏 数据脱敏产品技术要求和测试评价方法 CBD数据防泄漏 数据防泄漏产品技术要求和测试评价方法 CBE数据销毁 数据销毁产品技术要求和测试评价方法 CBF数据恢复 数据恢复产品技术要求和测试评价方法 CC数据行为防控技术和产品 CCA用户行为分析 数据异常行为识别技术要求 CCB数据流转监测 数据安全监测技术要求 CCC数据安全态势感知 数据安全态势感知技术要求 CCD安全审计 数据安全审计产品技术要求和测试评价方法 CCE数据访问控制 数据访问控制产品技术要求和测试评价方法 CCF可信执行环境 可信执行环境技术要求 CD数据共享安全技术和产品 CDA数据溯源 数据追踪溯源技术要求 CDB多方安全计算 多方安全计算技术要求 CDC联邦学习 联邦学习技术要求 CDD同态加密 同态加密技术要求 D安全评估与产业评价 DA安全评估 DAA风险评估 工业领域数据安全风险评估指南 DAB能力评估 工业企业数据安全能力评估指南 DAC出境评估 工业领域数据出境安全评估指南 DB产业评价 DBA产业评价指标 数据安全产业评价指标 DBB服务能力评价 数据安全服务机构能力评价、数据安全服务能力要求 DBC产业竞争力评价 数据安全产业竞争力评价 E新兴融合领域 EA智能制造数据安全 EAA智能装备数据安全 智能装备数据安全要求、工业控制系统数据安全要求 EAB智能工厂数据安全 智能工厂数据安全要求 EAC智能服务数据安全 大规模个性化定制数据安全要求、网络协同制造数据安全要求 EAD智能赋能技术数据安全 工业+5G应用数据安全要求、工业+人工智能应用数据安全要求、工业+区块链应用数据安全要求 EAE智慧供应链数据安全 智慧供应链数据安全要求 EB工业互联网数据安全 EBA终端与网络数据安全 工业互联网数据采集设备安全技术要求 EBB标识解析数据安全 工业互联网标识解析数据安全要求 EBC边缘计算数据安全 工业互联网边缘数据采集处理安全要求 EBD平台数据安全 工业微服务数据安全要求、工业互联网大数据中心数据安全监测技术要求 EBE典型应用数据安全 工业App数据安全要求 F工业领域细分行业 FA原材料工业 FAA钢铁行业数据安全 钢铁行业重要数据识别、数据分类分级、数据安全防护实施指南 FAB有色行业数据安全 有色行业重要数据识别、数据分类分级、数据安全防护实施指南 FAC稀土行业数据安全 稀土行业重要数据识别、数据分类分级、数据安全防护实施指南 FAD石化化工行业数据安全 石化化工行业重要数据识别、数据分类分级、数据安全防护实施指南 FAE建材行业数据安全 建材行业重要数据识别、数据分类分级、数据安全防护实施指南 FB装备工业 FBA汽车行业数据安全 汽车行业重要数据识别、数据分类分级、数据安全防护实施指南 FBB民用飞机行业数据安全 民用飞机行业重要数据识别、数据分类分级、数据安全防护实施指南 FBC民用船舶行业数据安全 民用船舶行业重要数据识别、数据分类分级、数据安全防护实施指南 FC消费品工业 FCA轻工行业数据安全 轻工行业重要数据识别、数据分类分级、数据安全防护实施指南 FCB纺织行业数据安全 纺织行业重要数据识别、数据分类分级、数据安全防护实施指南 FD电子信息制造业 电子信息制造业重要数据识别、数据分类分级、数据安全防护实施指南 FE民爆 民爆行业重要数据识别、数据分类分级、数据安全防护实施指南 FF节能与综合利用 节能与综合利用重要数据识别、数据分类分级、数据安全防护实施指南 FG软件和信息技术服务业 软件和信息技术服务业重要数据识别、数据分类分级、数据安全防护实施指南