全国信息安全标准化技术委员会关于国家标准《信息安全技术重要数据识别指南》征求意见稿征求意见的通知

《信息安全技术数据出境安全评估指南》编制说明一、任务来源《信息安全技术数据出境安全评估指南》是国家标准化管理委员会批准的信息安全国家标准制定项目，国标计划号为XXX。

本标准为自主制定标准，牵头单位为上海华东电信研究院，参与标准申请单位有工业和信息化部电信研究院、公安部第一研究所、阿里巴巴（北京）软件服务有限公司、北京大学互联网发展研究中心、中国电子技术标准化研究院、中国电子信息产业发展研究院、国家信息技术安全研究中心、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、蚂蚁金服、国信优易数据有限公司等11家单位，归口单位为全国信息安全标准化技术委员会（简称信安标委）。

二、项目的目的与意义数据出境安全评估指南是针对网络运营者开展个人信息和重要数据出境安全自评估，以及国家网信部门、行业主管部门组织开展的个人信息和重要数据出境安全评估的规范指引，指南旨在提供个人信息和重要数据出境的安全评估的流程、要点和方法，指导网络运营者开展数据出境安全评估工作，为国家相关政策法律的落地实施奠定基础，有助于促进数据出境安全评估有序开展，维护国家安全、经济发展，保障社会公共利益、个人隐私安全。

数据出境安全评估指南可以帮助数据出境各方参与主体：●明确数据出境安全评估管理流程●建立数据出境安全风险评估模型●衡量数据出境活动风险程度●判定网络运营者是否可以开展数据出境活动三、主要工作过程《数据出境安全评估指南》国家标准制定项目：（一）立项准备阶段1、2017年1月19日，标准牵头单位组织召开第一次研讨会，明确标准基本定位，研讨完善标准框架；2、2017年2月21日，标准牵头单位组织召开第二次研讨会，明确标准主要研究内容及要求；3、2017年3月，标准牵头单位组织召开第三次研讨会，进一步明确企业需求，深入了解典型企业数据出境场景；4、2017年4月，立项在大数据安全特别工作组获得通过；（二）编制起草阶段1、2017年5月10日，标准编制组召开第一次封闭研讨会，并对标准草案进行修改完善；2、2017年5月25日、26日，标准编制组召开第二次封闭研讨会，并对标准草案进行修改完善；3、2017年6月19日、20日，标准编制组召开第三次封闭研讨会，并对标准草案进行修改完善；4、2017年6月27日，召开专家评审会，收集到对标准草案的修改完善的意见；5、2017年6月28日，召开大数据安全特别工作组会议，同意根据会议意见，对标准文稿修改后，作为征求意见稿提交；6、2017年7月3日、4日，标准编制组召开第四次封闭研讨会，并对标准草案进行修改完善，形成了《信息安全技术数据出境安全评估指南》的征求意见稿。

注释、数字、页面以及第三方应用协作和管理共享内容。

当用户通过消息发送协作邀请时，线程中的每个人都会自动添加到文档、表格或项目中。

当有人对共享文件进行更改时，每个人都可以在消息线程的顶部看到更新。

而且，当用户正在进行协作项目时，他们可以跳转到相关的消息对话中，或者轻触与合作者开始FaceTime 通话———说的通俗点，就是一边干活一边商量，看起来是疫情催生的新方式。

苹果未来还将在iPadOS 16上推出一款新的Freeform 。

它就像一个数字白板，苹果说它是头脑风暴会议的完美选择，让用户能够在一个地方看到、共享和协作，并支持Apple Pencil 。

用户可以在添加内容或实时编辑时查看其他人的贡献。

Freeform 还允许协作者从FaceTime 在消息线程中查看其他人的更新。

其他如邮件，搜索改进，新的iCloud 共享照片库等也在iOS 等系统有所体现。

刚才提到Mac 上才有的Stage Manager 多任务窗口，也可以在通过M1芯片的iPad Pro 和iPad Air 上体验到（估计只有它们性能够），用户可以在上使用多达4个应用，以及外部显示屏上的4个应用。

生态有了关联也要更紧密了这是近年内容最多的一次发布会，尤其iOS 16和macOSVentura ，大量细节塞满了整场发布会，甚至都没给tvOS 露脸机会。

相对iOS 14~15，iOS 16的新功能要多很多，其他系统也存在类似的情况。

只是正因为细节太多，而且很多功能之间有关联。

一般用户不太容易把控这么快节奏的发布会。

以往苹果在一上午清楚讲完五大系统的情况可能不会存在，这场发布会是一个明显的展现———产品和软件生态的交集越来越多，也越来越复杂，所以很多新功能需要多个产品之间相互演示验证。

之前主题演讲中，苹果全家桶内五大系统各谈各的，将变为互相关联的化学反应。

这件事已经发生，未来会更加明显、更加强烈。

■谢珊2022年4月26日《数据防泄露技术指南》发布会顺利召开。

文│ 中国电子技术标准化研究院 徐羽佳 胡影 上官晓丽数据安全国家标准是开展数据安全监管，规范行业数据安全要求，指导网络运营者提升数据安全能力的重要抓手，对促进数据应用规范化、提升数据活动安全性有着重要意义。

本文介绍了我国数据安全标准化现状，梳理了现有及在研的数据安全国家标准，并介绍了数据安全国家标准的验证试点及推广应用工作。

一、标准化组织——全国信息安全标准化技术委员会概述全国信息安全标准化技术委员会（SAC/TC260，简称“信安标委”）是在信息安全技术专业领域内，从事信息安全标准化工作的技术工作组织。

信安标委于2002年由国家标准化管理委员会（简称“国标委”）批复成立，业务上受中央网信办指导，主要工作范围包括安全技术、安全机制、安全服务、安全管理、安全评估等领域的标准化技术工作。

TC260下设7个工作组，其中，大数据安全标准特别工作组（SWG-BDS）负责大数据和云计算相关的安全标准研制工作，具体职责包括调研急需标准化需求，研究提出标准研制路线图，明确年度标准研制方向，组织开展关键标准研制工作。

SWG-BDS于2016年成立，截至目前，SWG-BDS成员单位已达227家。

二、我国数据安全标准化情况为落实《网络安全法》中“国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放”及“国家建立和完善网络安全标准体系”等要求，响应《大数据发展行动纲要》中“健全大数据安全保障体系，强化安全支撑；完善法规制度和标准体系，科学规范利用大数据，切实保障数据安全”的主要任务，2016年，TC260成立大数据安全标准化特别工作组，成功启动了第一批大数据安全标准编制和预研工作。

目前，TC260已开展9项数据安全标准研制项目，其中，已发布标准4项，在研标准5项。

安全要求类标准包括GB/T 35274-2017《信息安全技术 大数据服务安全能力要求》、GB/T 37932-2019《信息安全技术 数据交易服务安全要求》及《信息安全技术 政务信息共享 数据安全技术要求》，分别针对大数据服务、数据交易及政务信息共享的情景提出了安全要求。

征求意见稿还提出，应设置监看人员，及时根据国家政策以及第三方投诉情况提高生成内容质量，监看人员数量应与服务规模相匹配。

对于安全评估的方法，征求意见稿针对语料安全、生成内容安全、问题拒答评估提出了详细的要求。

例如，“采用人工抽检，从测试题库随机抽取不少于1000条测试题，模型生成内容的抽样合格率不应低于90%。

”目前，全球多国都在努力为生成式人工智能设置护栏，以应对这一新兴技术迅速发展带来的安全风险。

今年7月，国家网信办联合国家发展改革委、教育部、科技部、工业和信息化部、公安部、广电总局公布《生成式人工■上海洋山港个人信息的条件；应使用包含人脸等生物特征信息的语料时，获得对应个人信息主体的书面授权同意，或满足其他合法使用该生物特征信息的条件。

”征求意见稿还就如何避免侵犯知识产权制定了详细的指导方针。

例如，“提供者不应使用有侵权问题的语料进行训练：训练语料包含文学、艺术、科学作品的，应重点识别训练语料以及生成内容中的著作权侵权问题；对训练语料中的商业语料以及使用者输入信息，应重点识别侵犯商业秘密的问题；训练语料中涉及商标以及专利的，应重点识别是否符合商标权、专利权有关法律法规的规定。

”在语料标注安全要求方面，征求意见稿提出，“应为标注人员执行每项标注任务预留充足、合理的标注时间”。

对于模型安全要求，征求意见稿提出，“提供者如使用基础模型进行研发，不应使用未经主管部门备案的基础模型。

”“在训练过程中，应将生成内容安全性作为评价生成结果优劣的主要考虑指标之一。

”征求意见稿对模型适用人群、场合、用途方面提出了安全措施要求。

例如，“服务用于关键信息基础设施、自动控制、医疗信息服务、心理咨询等重要场合的， 应具备与风险程度以及场景相适应的保护措施。

”文件对适用未成年人的服务也提出了相关要求。

术、科学作品的，应重点识别训练语料以及生成内容中的著作权侵权问题；——对训练语料中的商业语料以及使用者输入信息，应重点识别侵犯商业秘密的问题；——训练语料中涉及商标以及专利的，应重点识别是否符合商标权、专利权有关法律法规的规定。

企业数据出境安全评估规则依据与申报指引数据出境不仅关乎国家安全，对于企业服从部门监管、预判经营风险、建立内部合规也至关重要。

自2016年《网络安全法》颁布，国家首次提出数据出境安全评估，将数据出境安全监管工作提上计划和日程，至2022年9月《数据出境安全评估办法》颁布，国家互联网信息办公室发布第一版《数据出境安全评估申报指南》，犹如靴子落地，标志着我国数据出境安全制度初步形成，企业数据出境正式被纳入统一管理范畴，依托企业自主申报数据出境安全评估的方式，国家互联网信息办公室将协同各行业主管部门审查与监管企业数据出境业务，维护数据安全与数据利用的平衡。

《数据出境安全评估申报指南》的出台意味着企业在进行数据运营和数据出境活动时必须考虑在什么情况下会触发出境安全评估机制，在预判可能或必然触发出境安全评估时，企业应当如何开展准备工作、对其数据业务进行合规化管理是十分有必要的。

应对和顺利通过安全评估才能维护其数据出境业务的正常进行。

本文基于相关法律法规，重点结合《数据出境安全评估申报指南》的实务要求，针对企业开展数据安全评估申报关键问题展开逐一梳理，为企业准备数据出境安全评估工作提供一些参考。

一、数据出境企业合规的法律依据《网络安全法》《个人信息保护法》《数据安全法》三部法律奠定了数据出境的法律框架和基础，从法律层面规范了数据出境的合规机制。

《中华人民共和国网络安全法》（“《网络安全法》”）最早提出了对于“关键信息基础设施运营者”（“CIIO”）的数据（无论是个人信息还是重要数据）均有本地化存储和必要情况下跨境传输时的评估义务要求，并授权国家网信部门会同国务院有关部门制定安全评估办法。

随后《数据安全法》和《个人信息保护法》也依次出台并生效，进一步完善了数据出境安全评估的上位法依据，拓展了申报数据出境安全评估的主体范围，即在CIIO基础上加入“处理个人信息达到国家网信部门规定数量的个人信息处理者”。

这两部法律从不同层面和角度规范了数据出境的合规机制，并通过《数据出境安全评估办法》最终落实了需要申报数据出境安全评估的规制对象即“个人信息及重要数据”和适用情形，根据不同情形参考不同上位法。

全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知文章属性•【制定机关】全国信息安全标准化技术委员会•【公布日期】2007.06.27•【文号】信安字[2007]12号•【施行日期】2007.06.27•【效力等级】部门规范性文件•【时效性】现行有效•【主题分类】标准化正文全国信息安全标准化技术委员会关于印发《信息安全技术信息系统安全等级保护基本要求》国家标准报批稿的通知（信安字〔2007〕12号）各有关单位：《信息安全技术信息系统安全等级保护基本要求》国家标准基本成熟，通过了全国信息安全标准化技术委员会的审查，已形成国家标准报批稿，正在报批过程中。

为推动正在进行的全国信息系统安全等级保护工作，经信安标委主任办公会议同意，现将该国家标准报批稿先印发给你们，供在工作中参考。

特此通知。

全国信息安全标准化技术委员会二00七年六月二十七日附件：《信息安全技术信息系统安全等级保护基本要求》信息安全技术信息系统安全等级保护基本要求GB/T 0000-0000Information security technology-Baseline for classified protection of information system前言本标准的附录A和附录B是规范性附录。

本标准由公安部和全国信息安全标准化技术委员会提出。

本标准由全国信息安全标准化技术委员会归口。

本标准起草单位：公安部信息安全等级保护评估中心。

本标准主要起草人：马力、任卫红、李明、袁静、谢朝海、曲洁、李升、陈雪秀、朱建平、黄洪、刘静、罗峥、毕马宁。

引言依据《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《信息安全等级保护管理办法》（公通字[2007]43号），制定本标准。

信息安全技术重要数据识别指南一、引言信息安全在当今社会已经成为了一项不可或缺的重要工作。

随着互联网的快速发展和普及，人们的信息已经越来越容易被获取和利用。

对于重要数据的识别和保护显得尤为重要。

本文将针对信息安全技术中的重要数据识别问题进行深入探讨，旨在帮助读者更好地了解和应对这一问题。

二、重要数据的定义和分类1. 重要数据的定义重要数据指的是在商业和社会活动中具有重要意义的数据，包括但不限于个人隐私数据、财务数据、商业机密和国家安全相关数据等。

2. 重要数据的分类按照数据类型和敏感程度，重要数据可以分为个人数据、财务数据、商业数据和政府数据等。

不同类型的数据需要采用不同的技术手段进行识别和保护。

三、重要数据识别技术及方法1. 数据分类和标记技术数据分类和标记技术是识别重要数据的基础。

通过对数据进行分类和标记，可以更好地识别出重要数据并进行专门的保护。

常用的技术包括数据标签、元数据管理和数据加密等。

2. 数据审计和监控技术数据审计和监控技术可以帮助组织对重要数据的使用情况进行监控和分析，及时发现异常行为和信息泄露风险。

这些技术包括日志审计、网络流量监控和行为分析等。

3. 数据遗漏和泄露防范技术数据遗漏和泄露是信息安全中常见的问题，针对这一问题，可以采用数据遗漏预防技术和数据泄露检测技术来加强对重要数据的保护。

采用数据遗漏预警系统和数据泄露监测系统。

四、个人观点和理解在当前信息化时代，重要数据的安全问题日益突出，各种信息安全技术的不断发展和创新对于重要数据的识别和保护提供了有力支持。

然而，仅仅依靠技术手段是远远不够的，用户教育和管理措施同样重要。

只有通过技术手段和管理手段的有机结合，才能更好地保护重要数据的安全。

五、总结与展望本文围绕信息安全技术中的重要数据识别进行了深入探讨，介绍了重要数据的定义和分类，并提出了识别技术及方法。

同时还共享了个人观点和理解。

信息安全技术的发展是一个不断更新迭代的过程，我们期待未来能够有更多更先进的技术手段出现，为重要数据的识别和保护提供更好的支持。