1、工业领域数据安全标准体系建设指南（2023 版）（征求意见稿）2023 年 5 月目 录一、总体要求.-1-（一）基本原则.-1-（二）建设目标.-2-二、主要内容.-2-（一）体系框架.-2-（二）重点领域.-5-三、组织实施.-13-1-一、总体要求以习近平新时代中国特色社会主义思想为指导，全面贯彻党的二十大精神，深入落实 中华人民共和国数据安全法中华人民共和国网络安全法等法律法规要求，建立健全工业领域数据安全标准体系，加快弥补关键基础标准短板，强化重点急需标准供给，着力推动标准应用实施和国际标准化工作，有效支撑工业领域数字化转型，护航数字经济高质量发展。（一）（一）基本原则基本原则统筹规

2、划，全面布局。统筹标准化工作资源，结合工业领域技术和产业发展现状及特点，以满足工业领域数据安全保障需求为目标，坚持政府引导和市场驱动相结合，建立健全工业领域数据安全标准体系。需求引导，多层构建。结合不同行业工业数据安全标准化需求，在体现工业领域数据安全共性的基础上，突出工业领域和各垂直行业所具有的个性，形成以国家标准为基础、行业标准为主体、团体标准为补充的标准化工作格局，推动构建各类标准衔接有序、融合发展的多层次标准架构。基础先立，急用先行。围绕工业领域数据安全工作重点和难点，加快数据分类分级、重要数据识别、分级防护基础共性标准的制定发布。综合考虑工业领域数据安全现状及面临的风险挑战，加快推进

3、重点急需标准的研究制定。-2-注重实效，开放合作。加强标准与法规政策的配套承接，组织开展标准宣贯培训、对标达标和实施监督，提升标准应用实践成效。积极开展国际交流合作，加大国际标准化工作参与力度，建立适用度高、开放性强的工业领域数据安全标准体系。（二）（二）建设目标建设目标到 2024 年，初步建立工业领域数据安全标准体系，有效落实数据安全管理要求，基本满足工业领域数据安全需要，推进标准在重点行业、重点企业中的应用，研制数据安全国家、行业或团体标准 30 项以上。到 2026 年，形成较为完备的工业领域数据安全标准体系，全面落实数据安全相关法律法规和政策制度要求，标准的技术水平、应用效果和国际化

4、程度显著提高，基础性、规范性、引领性作用凸显，贯标工作全面开展，有力支撑工业领域数据安全重点工作，研制数据安全国家、行业或团体标准 100 项以上。二、主要内容（一）（一）体系框架体系框架工业领域数据安全标准体系由基础共性、安全管理、技术产品、安全评估与产业评价、新兴融合领域、垂直行业六大类标准组成。其中，基础共性标准用于明确工业数据安全术语，包括术语定义、分类分级规则、识别认定、分级防护-3-标准，为各类标准研制提供基础支撑。安全管理标准用于开展数据安全风险监测与应急处置、数据处理安全和组织人员管理。技术产品标准包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准。安全评

5、估与产业评价标准用于支撑工业数据安全评估及数据安全产业评价工作。新兴融合领域标准包括智能制造、工业互联网领域数据安全标准。垂直行业标准面向重点工业行业、领域的数据特点和安全需求，制定行业数据安全管理和技术标准规范。工业领域数据安全标准体系框架如图 1 所示。-4-工业领域数据安全标准体系CB 数据安全防护技术产品CA 数据分类分级技术产品CC 数据行为防控技术产品CD 数据共享安全技术产品BB 数据处理安全BA 风险监测与应急处置BC 组织人员管理AA术语定义AB分类分级规则AC 识别认定AD 分级防护FB 装备工业FC 消费品工业FA 原材料工业FD 电子信息制造业FE 安全生产FF 节能与

6、综合利用FG 软件和信息技术服务业?DA 安全评估DB 产业评价EA 智能制造数据安全EB 工业互联网数据安全F 垂直行业A 基础共性C 技术产品B 安全管理D 安全评估与产业评价E 新兴融合领域图 1 工业领域数据安全标准体系框架-5-（二）（二）重点领域重点领域1.基础共性标准基础共性标准基础共性标准是数据安全保护的基础性、通用性、指导性标准，包括术语定义、分类分级规则、识别认定、分级防护标准。基础共性标准子体系如图 2 所示。A 基础共性AA术语定义AB分类分级规则AC 识别认定AD 分级防护图 2 基础共性标准子体系1.1 术语定义术语定义用于规范工业数据安全相关概念，为其他标准的制定

7、提供支撑，包括技术、规范、应用领域的相关术语、概念定义、相近概念之间的关系。1.2 分类分级规则分类分级规则标准用于指导工业数据处理者开展工业数据分类分级工作。1.3 识别认定-6-识别认定标准用于指导工业数据处理者开展重要数据识别和认定工作。1.4 分级防护分级防护标准用于指导工业数据处理者根据工业数据分类分级和识别认定结果，采取有针对性地防护措施。2.安全管理安全管理标准标准安全管理标准从数据安全框架的管理视角出发，指导工业数据处理者落实法律法规以及行业主管部门的管理要求，包括风险监测与应急处置、数据处理安全、组织人员管理标准。安全管理标准子体系如图 3 所示。B 安全管理BAA 监测预警

8、BAB 应急处置BAC 信息上报和共享BAD 数据容灾备份BCA 组织机构管理BCB 人员管理BBA 数据使用安全BBB 数据共享安全BBC 数据出境安全BB 数据处理安全BA 风险监测与应急处置BC 组织人员管理图 3 安全管理标准子体系-7-2.1 风险监测与应急处置风险监测与应急处置标准用于规范工业数据安全风险监测与应急处置，主要包括工业数据安全风险监测预警、监测接口、事件管理、事件分类分级、应急预案与处置、信息上报与共享、数据容灾备份标准。2.2 数据处理安全数据处理安全标准用于规范工业数据使用、共享、出境处理活动安全要求，其中数据使用包括数据收集、存储、使用加工方面安全要求，数据共享

9、包括提供、公开、转移、委托处理方面安全要求。2.3 组织人员管理组织人员管理标准用于加强工业数据处理者组织机构建设，规范工业数据处理岗位和人员安全管理，推动组织和人员数据安全意识与能力提升，主要包括组织机构管理、关键岗位人员管理、数据安全从业人员能力要求标准。3.技术产品技术产品标准标准技术产品标准对数据安全关键技术和产品及其检测要求进行规范，包括数据分类分级、数据安全防护、数据行为防控、数据共享安全技术、产品标准。技术产品标准子体系如图 4 所示。-8-C 技术产品CBA 数据防篡改CBG 可信执行环境CBB 数据加密CBC 数据脱敏CBD 数据防泄漏CBE 数据销毁CBF 数据恢复CDA

10、数据溯源CDB 多方安全计算CDC 联邦学习CCA 用户行为分析CCB 数据流转监测CCC 数据安全态势感知CCD 安全审计CAB 数据血缘分析CAC 数据质量管理CAA 数据分类分级CB 数据安全防护技术产品CA 数据分类分级技术产品CC 数据行为防控技术产品CD 数据共享安全技术产品图 4 技术产品标准子体系3.1 数据分类分级技术产品数据分类分级技术产品标准用规范数据资产盘点、标识、分析方面技术产品要求，主要包括数据分类分级、数据血缘分析、数据质量管理标准。3.2 数据安全防护技术产品数据安全防护技术产品标准用于规范数据收集、存储、使用、加工、传输方面技术产品要求，主要包括数据防篡改、数

11、据加密、数据脱敏、数据防泄漏、数据销毁、数据恢复、可信执行环境标准。3.3 数据行为防控技术产品数据行为防控标准用于规范数据处理异常行为识别、监-9-测、态势感知、安全审计方面技术产品要求，主要包括用户行为分析、数据流转监测、数据安全态势感知、安全审计标准。3.4 数据共享安全技术产品数据共享安全技术产品标准用于规范数据提供、公开方面技术产品要求，主要包括数据溯源、多方安全计算、联邦学习标准。4.安全评估与产业评价标准安全评估与产业评价标准安全评估与产业评价标准用于支撑工业数据安全评估及产业评价，包括安全评估、产业评价标准。安全评估与产业评价标准子体系如图 5 所示。D 安全评估与产业评价DA

12、 安全评估DB 产业评价DAA 风险评估DAB 能力评估DAC 出境评估DBA 产业评价指标DBB 服务能力评价DBC 产业竞争力评价-10-图 5 安全评估与产业评价标准子体系4.1 安全评估安全评估标准用于指导评估机构开展数据安全风险评估能力评估、出境安全评估工作，主要包括工业数据安全风险评估、数据安全能力评估、数据出境安全评估标准。4.2 产业评价产业评价标准用于数据安全产业、数据安全服务能力及产业竞争力评价，包括数据安全产业评价指标、数据安全服务机构能力评价、数据安全服务能力要求、数据安全产业竞争力评价标准。5.新兴融合领域标准新兴融合领域标准主要用于规范工业相关新兴融合领域的数据安全

13、要求，包括智能制造、工业互联网领域数据安全标准。新兴融合领域标准子体系如图 6 所示。-11-E 新兴融合领域EAD 智能赋能技术数据安全EAA 智能装备数据安全 EAB 智能工厂数据安全 EAC 智能服务数据安全 EAE 智慧供应链数据安全 EBD 边缘计算数据安全EBE 平台数据安全EBB 终端与网络数据安全EBC 标识解析数据安全EBF 典型应用数据安全EBA 企业数据安全EA 智能制造数据安全EB 工业互联网数据安全图 6 新兴融合领域标准子体系5.1 智能制造数据安全标准智能制造数据安全标准用于规范智能制造场景下的数据安全，包括智能装备、智能工厂、智能服务、智能赋能技术、智慧供应链数

14、据安全标准。5.2 工业互联网数据安全标准工业互联网数据安全标准用于规范工业互联网场景下的数据安全，包括工业互联网企业、工业互联网终端和网络、工业互联网标识解析、工业互联网边缘计算、工业互联网平台、工业互联网典型应用数据安全标准。6.垂直行业垂直行业标准标准-12-根据基础共性、安全管理、技术产品、安全评估与产业评价标准，结合原材料、装备、消费品、电子信息制造、安全生产、节能与综合利用、软件和信息技术服务重点工业行业、领域数据特点和安全需求，制定垂直行业数据安全标准。垂直行业标准子体系如图 7 所示。F 垂直行业FCA 轻工行业数据安全FCB 纺织行业数据安全?FAC 稀土行业数据安全?FAA

15、 钢铁行业数据安全FAB 有色行业数据安全FAD 石化化工行业数据安全FAE 建材行业数据安全FBA 汽车行业数据安全FBB 民用飞机行业数据安全FBC 民用船舶行业数据安全?FB 装备工业FC 消费品工业FA 原材料工业FF 节能与综合利用FG 软件和信息技术服务业FE 安全生产FD 电子信息制造业?图 7 垂直行业标准子体系6.1 原材料工业针对原材料工业中钢铁、有色、稀土、石化化工、建材行业的数据安全特点、场景，提出原材料工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。6.2 装备工业针对装备工业中汽车、民用飞机、民用船舶行业的数据安全特点、场景，提出装备工业各行业数据分类分

16、级、重要-13-数据识别、数据安全防护重点标准。6.3 消费品工业针对消费品工业中轻工、纺织行业的数据安全特点、场景，提出消费品工业各行业数据分类分级、重要数据识别、数据安全防护重点标准。6.4 电子信息制造业针对电子信息制造业的数据安全特点、场景，提出电子信息制造业数据分类分级、重要数据识别、数据安全防护重点标准。6.5 安全生产针对民爆工业领域安全生产相关行业的数据安全特点、场景，提出民爆行业数据分类分级、重要数据识别、数据安全防护重点标准。6.6 节能与综合利用针对工业领域节能与综合利用相关行业的数据安全特点、场景，提出节能与综合利用数据分类分级、重要数据识别、数据安全防护重点标准。6.

17、7 软件和信息技术服务业针对软件和信息技术服务业的数据安全特点、场景，提出软件和信息技术服务业数据分类分级、重要数据识别、数据安全防护重点标准。三、组织实施-14-一是加强统筹协调一是加强统筹协调。工业和信息化部统筹推进工业领域数据安全标准体系建设，组织开展国家标准和行业标准制修订工作，鼓励支持企业、研究机构、高院校、行业协会和联盟不同主体开展团体标准、企业标准的制定、应用和转化。加强各标准组织的协作配合，以及各行业、各领域之间的协同推进。二是加快任务落实。二是加快任务落实。汇聚工业领域产学研用各方力量，大力推进重点急需标准研制。注重工业领域数据安全标准化工作与新技术新应用及行业优秀实践的有机

18、融合，建立完善标准试验验证平台与环境，提升标准的实用性。紧密围绕技术和产业发展趋势，适时修订标准体系和相关标准。三是强化宣贯实施三是强化宣贯实施。鼓励各地主管部门、有关行业协会、联盟、标准化技术组织、专业机构通过多种渠道宣传工业领域数据安全标准化成果，有针对性地开展专题培训，引导企业开展贯标达标工作，推动标准落地实施和应用推广。四是加强国际合作四是加强国际合作。积极与国外数据安全、工业互联网、智能制造相关组织开展标准化交流与合作，支持企事业单位参与国际电信联盟（ITU）、国际标准化组织（ISO）、国际电工技术委员会（IEC）国际标准化活动，推动相关国际标准的制定。附件：1.工业领域数据安全已发

19、布和制定中标准明细2.工业领域数据安全拟研制标准重点方向-1-附件 1工业领域数据安全已发布和制定中标准明细总序号总序号分序号分序号标准名称标准名称标准号标准号/计划号计划号状态状态A 基础共性基础共性AB 分类分级规则分类分级规则1.1)信息安全技术 数据分类分级规则20220787-T-469制定中AC 识别认定识别认定2.1)信息安全技术 重要数据识别指南20210995-T-469制定中C 技术产品技术产品CA 数据分类分级技术产品数据分类分级技术产品CAC 数据质量管理数据质量管理3.1)工业数据质量 通用技术规范GB/T 39400-2020已发布D 安全评估与产业评价安全评估与产

20、业评价DA 安全评估安全评估DAA 风险评估风险评估4.1)信息安全技术 数据安全风险评估方法20230257-T-469制定中DAB 能力评估能力评估5.1)信息安全技术 数据安全能力成熟度模型GB/T 37988-2019已发布E 新兴融合领域新兴融合领域EB 工业互联网数据安全工业互联网数据安全EBA 企业数据安全企业数据安全6.1)工业互联网数据安全保护要求YD/T 3865-2021已发布7.2)工业互联网企业网络安全 第 4 部分：数据防护要求20214469-T-339制定中F 垂直行业垂直行业-2-总序号总序号分序号分序号标准名称标准名称标准号标准号/计划号计划号状态状态FB

21、装备工业装备工业FBA 汽车行业数据安全汽车行业数据安全8.1)汽车整车信息安全技术要求20214422-Q-339制定中9.2)智能网联汽车 数据通用要求20213606-T-339制定中FBB 民用飞机行业数据安全民用飞机行业数据安全10.1)无人机云系统数据规范MH/T 2011-2019已发布FD 电子信息制造业电子信息制造业11.1)可穿戴产品数据规范GB/T 37037-2018已发布FG 软件和信息技术服务业软件和信息技术服务业12.1)信息技术服务 数据资产 管理要求GB/T 40685-2021已发布13.2)面向公有云服务的文件数据安全标记规范YD/T 3470-2019已

22、发布14.3)云服务用户数据保护能力评估方法 第 1 部分：公有云YD/T 3797.1-2021已发布15.4)云服务用户数据保护能力评估方法 第 2 部分：私有云YD/T 3797.2-2020已发布-1-附件 2工业领域数据安全拟研制标准重点方向A A 基础共性基础共性AAAA 术语定义术语定义工业数据安全术语ABAB 分类分级规则分类分级规则工业数据分类分级指南、标识规则ACAC 识别认定识别认定工业领域重要数据识别指南ADAD 分级防护分级防护工业企业数据安全防护要求B B 安全管理安全管理BABA 风险监测与应急处置风险监测与应急处置BAABAA 监测预警监测预警工业数据安全监测预

23、警实施指南、监测接口规范BABBAB 应急处置应急处置工业数据安全事件分类分级指南、事件管理指南、应急预案与处置要求BACBAC 信息上报和共享信息上报和共享工业数据安全风险信息上报和共享指南、风险信息上报和共享接口规范BADBAD 数据容灾备份数据容灾备份工业数据灾备管理要求BBBB 数据处理安全数据处理安全BBABBA 数据使用安全数据使用安全工业数据使用安全要求BBBBBB 数据共享安全数据共享安全工业数据共享安全要求、接口安全要求BBCBBC 数据出境安全数据出境安全工业数据出境安全要求BCBC 组织人员管理组织人员管理-2-BCABCA 组织机构管理组织机构管理工业数据安全组织机构建

24、设指南BCBBCB 人员管理人员管理工业数据处理关键岗位及人员安全管理要求、从业人员能力基本要求、管理人员能力要求、评估人员能力要求C C 技术产品技术产品CACA 数据分类分级技术产品数据分类分级技术产品CAACAA 数据分类分级数据分类分级数据分类分级产品技术要求和测试评价方法CABCAB 数据血缘分析数据血缘分析数据血缘分析技术要求CACCAC 数据质量管理数据质量管理数据清洗比对技术要求CBCB 数据安全防护技术产品数据安全防护技术产品CBACBA 数据防篡改数据防篡改数据防篡改产品技术要求和测试评价方法CBBCBB 数据加密数据加密数据加密产品技术要求和测试评价方法CBCCBC 数据

25、脱敏数据脱敏数据脱敏产品技术要求和测试评价方法CBDCBD 数据防泄漏数据防泄漏数据防泄漏产品技术要求和测试评价方法CBECBE 数据销毁数据销毁数据销毁产品技术要求和测试评价方法CBFCBF 数据恢复数据恢复数据恢复产品技术要求和测试评价方法CBGCBG 可信执行环境可信执行环境可信执行环境技术要求CCCC 数据行为防控技术产品数据行为防控技术产品CCACCA 用户行为分析用户行为分析-3-数据异常行为识别技术要求CCBCCB 数据流转监测数据流转监测数据安全监测技术要求CCCCCC 数据安全态势感知数据安全态势感知数据安全态势感知技术要求CCDCCD 安全审计安全审计数据安全审计产品技术要

26、求和测试评价方法CDCD 数据共享安全技术产品数据共享安全技术产品CDACDA 数据溯源数据溯源数据追踪溯源技术要求CDBCDB 多方安全计算多方安全计算多方安全计算技术要求CDCCDC 联邦学习联邦学习联邦学习技术要求D D 安全评估与产业评价安全评估与产业评价DADA 安全评估安全评估DAADAA 风险评估风险评估工业领域数据安全风险评估指南、工业数据安全评估指南DADAB B 能力评估能力评估工业企业数据安全能力评估指南DACDAC 出境评估出境评估工业数据出境安全评估指南DBDB 产业评价产业评价DBADBA 产业评价指标产业评价指标数据安全产业评价指标DBBDBB 服务能力评价服务能

27、力评价数据安全服务机构能力评价、数据安全服务能力要求DBCDBC 产业竞争力评价产业竞争力评价数据安全产业竞争力评价E E 新兴融合领域新兴融合领域-4-EAEA 智能制造数据安全智能制造数据安全EAAEAA 智能装备数据安全智能装备数据安全智能装备数据安全要求、工业控制系统数据安全要求EABEAB 智能工厂数据安全智能工厂数据安全智能工厂数据安全要求EACEAC 智能服务数据安全智能服务数据安全大规模个性化定制数据安全要求、网络协同制造数据安全要求EADEAD 智能赋能技术数据安全智能赋能技术数据安全工业+5G 应用数据安全要求、工业+人工智能应用数据安全要求、工业+区块链应用数据安全要求E

28、AEEAE 智慧供应链数据安全智慧供应链数据安全智慧供应链数据安全要求EBEB 工业互联网数据安全工业互联网数据安全EBBEBB 终端与网络数据安全终端与网络数据安全工业互联网数据采集设备安全技术要求EBCEBC 标识解析数据安全标识解析数据安全工业互联网标识解析数据安全要求EBDEBD 边缘计算数据安全边缘计算数据安全工业互联网边缘数据采集处理安全要求EBEEBE 平台数据安全平台数据安全工业微服务数据安全要求、工业互联网大数据中心数据安全监测技术要求EBFEBF 典型应用数据安全典型应用数据安全工业 App 数据安全要求F F 垂直行业垂直行业FAFA 原材料工业原材料工业FAAFAA 钢

29、铁行业数据安全钢铁行业数据安全钢铁行业重要数据识别、数据分类分级、数据安全防护实施指南FABFAB 有色行业数据安全有色行业数据安全-5-有色行业重要数据识别、数据分类分级、数据安全防护实施指南FACFAC 稀土行业数据安全稀土行业数据安全稀土行业重要数据识别、数据分类分级、数据安全防护实施指南FADFAD 石化化工行业数据安全石化化工行业数据安全石化化工行业重要数据识别、数据分类分级、数据安全防护实施指南FAEFAE 建材行业数据安全建材行业数据安全建材行业重要数据识别、数据分类分级、数据安全防护实施指南FBFB 装备工业装备工业FBAFBA 汽车行业数据安全汽车行业数据安全汽车行业重要数据

30、识别、数据分类分级、数据安全防护实施指南FBBFBB 民用飞机行业数据安全民用飞机行业数据安全民用飞机行业重要数据识别、数据分类分级、数据安全防护实施指南FBCFBC 民用船舶行业数据安全民用船舶行业数据安全民用船舶行业重要数据识别、数据分类分级、数据安全防护实施指南FCFC 消费品工业消费品工业FCAFCA 轻工行业数据安全轻工行业数据安全轻工行业重要数据识别、数据分类分级、数据安全防护实施指南FCBFCB 纺织行业数据安全纺织行业数据安全纺织行业重要数据识别、数据分类分级、数据安全防护实施指南FDFD 电子信息制造业电子信息制造业电子信息制造业重要数据识别、数据分类分级、数据安全防护实施指南FEFE 安全生产安全生产民爆行业重要数据识别、数据分类分级、数据安全防护实施指南FFFF 节能与综合利用节能与综合利用-6-节能与综合利用重要数据识别、数据分类分级、数据安全防护实施指南FGFG 软件和信息技术服务业软件和信息技术服务业软件和信息技术服务业重要数据识别、数据分类分级、数据安全防护实施指南