信息安全技術 即時通信服務數(shù)據(jù)安全指南-編制說明

PAGEPAGE1國家標準《信息安全技術即時通信服務數(shù)據(jù)安全指南》（征求意見稿）編制說明任務來源在2020年信安標委第一次會議周大數(shù)據(jù)安全特別工作組會議上，同意編制《信息安全技術即時通信服務數(shù)據(jù)安全指南》國家標準，歸口單位為全國信息安全標準化技術委員會（簡稱信安標委）。2020年11月，信安標委2020年第二次會議周大數(shù)據(jù)安全特別工作組會議上，建議修改完善后轉(zhuǎn)為征求意見稿。2020年12月，國家標準化管理委員會正式下達國家標準計劃號20205162-T-469。本標準由深圳市騰訊計算機系統(tǒng)有限公司牽頭，中國電子技術標準化研究院、中電長城網(wǎng)際安全技術研究院（北京）有限公司、浙江翼信科技有限公司、探探文化發(fā)展（北京）有限公司、藍信移動（北京）科技有限公司、中國信息通信研究院、國家計算機網(wǎng)絡應急技術處理協(xié)調(diào)中心、中國移動通信集團公司、阿里巴巴（北京）軟件服務有限公司、北京奇虎科技有限公司、上海觀安信息技術股份有限公司、北京天融信網(wǎng)絡安全技術有限公司、華為技術有限公司、北京字節(jié)跳動科技有限公司、國家工業(yè)信息安全發(fā)展研究中心、恒安嘉新（北京）科技股份公司、蘇寧易購集團股份有限公司、北京陌陌科技有限公司、、國家信息技術安全研究中心、中國汽車工程研究院股份有限公司、中國電子科技網(wǎng)絡信息安全有限公司、北京三星通信技術研究有限公司、OPPO廣東移動通信有限公司、鄭州信大捷安信息技術股份有限公司、格爾軟件股份有限公司參與，組成編制工作組開展該標準的編寫工作。主要起草人包括武楊、陳舒、郭曉雷、潘慧煒、王維、邱勤、舒敏、陳湉、倪平、徐永太、周晨煒、胡影、吳華強、裴利杰、張屹、俞克群、胡紹勇、朱錦濤、田申、荊偉、吳春雨、江為強、王小璞、劉為華、周開宇、代威、朱震宇、楊廠普、黃超、劉洋、孫巖、孟娟。編制原則和主要解決的問題《信息安全技術即時通信服務數(shù)據(jù)安全指南》是《個人信息安全規(guī)范》、《大數(shù)據(jù)安全管理指南》等數(shù)據(jù)安全重點標準在單項網(wǎng)絡服務中的配套，同時也配合《網(wǎng)絡安全法》、《民法典》、《數(shù)據(jù)安全法（草案）》、《個人信息保護法（草案）》等國家相關法律法規(guī)的落地實施。本項目將從即時通信服務的業(yè)務實踐出發(fā)，給出業(yè)務服務平臺收集、使用、交易等情形下的數(shù)據(jù)安全保護實施指南。本標準主要解決三方面的問題：1) 梳理即時通信服務的業(yè)務，界定即時通信服務數(shù)據(jù)安全的范圍；2) 銜接數(shù)據(jù)安全國家標準，給出即時通信服務數(shù)據(jù)安全保護要求；3) 根據(jù)即時通信服務數(shù)據(jù)安全的最佳實踐，給出服務具體可執(zhí)行的安全工作指南。主要工作過程標準修訂的主要工作過程如下：2020年3-4月，開展前期研究工作；2020年5月，標準申請進行答辯，同意制定該標準；2020年7月，召開標準啟動會，討論數(shù)據(jù)流圖；2020年8月，討論總結(jié)特色問題；2020年9月，征集參編單位，組建標準編制組；召開兩次編制組會議，樹立特色問題，調(diào)整標準邏輯，形成標準草案；2020年10月，召開一次編制組會議，針對特殊場景完善文本；2020年11月3-4日，逐條對草案進行了梳理，修改文本，增強文本的可讀性、科學性和合理性。2020年11月12日，信安標委2020年第二次會議周上會匯報，會議結(jié)論是修改完善后轉(zhuǎn)為征求意見稿。2020年12月28日，國家標準化管理委員會正式下達國家標準計劃號20205162-T-469。標準的主要內(nèi)容及修訂的內(nèi)容本標準給出了即時通信服務運營者開展服務時收集、存儲、使用、共享、公開披露、委托、刪除的數(shù)據(jù)種類、范圍、方式和條件等，提出了數(shù)據(jù)安全管理要求。本標準適用于即時通信服務運營者規(guī)范數(shù)據(jù)處理活動，提高數(shù)據(jù)安全管理和個人信息保護水平，也適用于開展即時通信服務的數(shù)據(jù)安全監(jiān)督管理、評估等工作。本標準分析即時通信服務數(shù)據(jù)安全風險，匯集總結(jié)即時通信服務數(shù)據(jù)安全管理的最佳實踐，為國內(nèi)即時通信服務數(shù)據(jù)安全提供具體的指導。具體包括即時通信服務可以收集、使用、交易、出境的數(shù)據(jù)種類、范圍、方式、條件等，以及數(shù)據(jù)安全保護要求。1.梳理即時通信服務的類型、場景、數(shù)據(jù)流程以及特色風險點；2.銜接數(shù)據(jù)安全國家標準，針對風險點提出數(shù)據(jù)安全保護要求；3.明確服務中的個人信息保護措施；4.明確服務中的數(shù)據(jù)安全防護技術和管理手段。主要試驗（或驗證）的分析、綜述報告、技術經(jīng)濟論證、預期的經(jīng)濟效果無。采用國際標準和國外先進標準的程度、以及與國際、國外同類標準水平的對比情況、或與測試的國外樣品、樣機的有關數(shù)據(jù)對比情況暫無相關領域國際標準。與有關的現(xiàn)行法律、法規(guī)和國家標準的關系《網(wǎng)絡安全法》（全國人大常委會發(fā)布，2017年6月1日生效）第四章網(wǎng)絡信息安全涉及個人信息保護，原則性規(guī)定了網(wǎng)絡運營者需要以技術措施和其他必要措施確保收集的個人信息安全，以及網(wǎng)絡運營者違反相關規(guī)定的法律責任。圍繞數(shù)據(jù)安全，全國信息安全技術標準化委員會（簡稱信安標委）近幾年已經(jīng)陸續(xù)頒布了GB/T35273—2020《信息安全技術個人信息安全規(guī)范》、GB/T37988—2019《信息安全技術數(shù)據(jù)安全能力程度成熟度模型》、GB/T37973-2019《信息安全技術大數(shù)據(jù)安全管理指南》等數(shù)據(jù)安全標準。重大分歧意見