盘点|《数据安全法》的62项配套「国家标准」（附下载）

2021年9月1日，《数据安全法》生效施行，并提出“国家推进数据安全标准体系建设，参与数据安全国际标准制定的要求”。

随着国家标准体系的逐步完善，企业或组织在数据安全工作中，可参照国标要求，应对数据安全挑战，让数据安全治理工作更规范、更容易落地。

本文梳理出为《数据安全法》落地实施提供支撑的62项国家标准，以供大家参考。

如需下载各项国家标准【PDF完整版】

关注“极盾科技”微信公众号

回复“配套国标”即可下载

1、《信息安全技术 重要数据处理安全要求》

下达日期：2023-08-06

计划号：20230792-T-469

概述/要求：本文件规定了数据处理者处理重要数据的安全要求。本文件适用于数据处理者对重要数据开展处理活动，也可供监管部门、评估机构或其他有关组织对重要数据处理活动实施安全监管、评估等活动时参考。

2、《信息安全技术 数据安全评估机构能力要求》

下达日期：2023-03-21

计划号：20230256-T-469

概述/要求：本文件规定了数据安全评估机构的能力要求。本文件适用于数据安全评估机构自身能力建设，也适用于主管监管部门对数据安全评估机构开展的评定活动，还可为数据处理者选择数据安全评估机构提供参考。

3、《信息安全技术 数据安全风险评估方法》

下达日期：2023-03-21

计划号：20230257-T-469

概述/要求：本文件给出了数据安全风险评估的基本概念、要素关系、分析原理、实施流程、评估内容、分析与评价方法等，明确了数据安全风险评估各阶段的实施要点和工作方法。本文件适用于指导数据处理者、第三方评估机构开展数据安全风险评估，也可供有关主管监管部门实施数据安全检查评估时参考。

4、《信息安全技术 重要数据识别指南》

下达日期：2021-04-30

计划号：20210995-T-469

概述/要求：本文件给出了识别重要数据的基本原则、考虑因素以及重要数据描述格式。本文件适用于数据处理者识别其掌握的重要数据，为重要数据安全保护工作提供支撑，也可供各地区、各部门制定本地区、本部门以及相关行业、领域的重要数据具体目录提供参考。

5、《信息安全技术 信息安全风险管理指导》

下达日期：2023-12-28

计划号：20231924-T-469

概述/要求：本文件提供了信息安全风险管理指导，以帮助组织：一是满足《信息技术 安全技术 信息安全管理体系要求》有关应对信息安全风险活动的要求；二是实施信息安全风险管理活动，特别是信息安全风险评估和处置。本文件适用于所有组织，无论其类型、规模。

6、《信息安全技术 信息安全管理体系要求》

下达日期：2023-12-28

计划号：20231925-T-469

概述/要求：本文件规定了在组织环境下建立、实现、维护和持续改进信息安全管理体系的要求。本文件还包括了根据组织需求所剪裁的信息安全风险评估和处置的要求。本文件规定的要求是通用的，适用于各种类型、规模或性质的组织。

7、《数据安全技术 数据分类分级规则》

发布时间：2024-03-15

标准编号：GB/T 43697-2024

发布单位：国家市场监督管理总局、国家标准化管理委员会

概述/要求：本文件规定了数据分类分级的原则、框架、方法和流程，给出了重要数据识别指南。本文件适用于行业领域主管（监管）部门参考制定本行业本领城的数据分类分级标准规范，也适用于各地区、各部门开展数据分类分级工作，同时为数据处理者进行数据分类分级提供参考。

8、《数据安全技术 数字水印技术实现指南》

发布时间：2024-04-03

发布单位：国家市场监督管理总局、国家标准化管理委员会

概述/要求：本文件提出了数字水印技术的实现框架、功能、流程、水印算法选择、水印服务封裝形式选择等方面的建议，并给出了常见数字水印算法、典型安全场景等相关信息。本文件适用于数字水印技术的设计、开发、应用和测试。

9、《网络安全技术 生成式人工智能数据标注安全规范》

发布时间：2024-04-03

发布单位：国家市场监督管理总局、国家标准化管理委员会

概述/要求：本标准规定了生成式人工智能训练的数据标注基础安全要求、数据标注规则安全要求、标注人员要求、数据标注核验要求和标注安全测试方法。本标准适用于生成式人工智能数据标注方开展训练数据标生成式人工智能数据需求方对于数据标注进行检查、验收或第三方机构对数据标注进行共参考。

10、《网络安全技术 生成式人工智能预训练和优化训练数据安全规范》

发布时间：2024-04-03

发布单位：国家市场监督管理总局、国家标准化管理委员会

概述/要求：本文件规定了生成式人工智能预训练和优化训练数据及其处理活动的安全要求，描述了对应的评价方法。本文件适用于指导生成式人工智能服务提供者开展预训练和优化训练数据处理活动以及开展与训练预训练和优化训练数据安全自评价，也可为监管评估提供参考。

11、《信息技术 安全技术 信息安全管理体系指南》

发布日期：2023-05-23

标准编号：GB/T 31496-2023

概述/要求：本文件是通用的，旨在适用于所有组织,无论其类型、规模或性质。

12、《信息安全技术 信息安全控制评估指南》

发布日期：2023-09-07

标准编号：GB/T 32916-2023

概述/要求：本文件为评审和评估信息安全控制措施的实施与运行提供指南，包括对信息系统控制的技术性评估，该评审和评估基于组织所建立的信息安全要求及技术性评估准则。

13、《信息安全技术 大数据服务安全能力要求》

发布日期：2023-08-06

标准编号：GB/T 35274-2023

概述/要求：本文件规定了大数据服务提供者的大数据服务安全能力要求，包括大数据组织管理安全能力、大数据处理安全能力和大数据服务安全风险管理能力的要求。本文件适用于指导大数据服务提供者的大数据服务安全能力建设，也适用于第三方机构对大数据服务提供者的大数据服务安全能力进行评估。

14、《信息安全技术 信息安全风险评估方法》

发布日期：2022-04-15

标准编号：GB/T 20984-2022

概述/要求：本文件描述了信息安全风险评估的基本概念、风险要素关系、风险分析原理、风险评估实施流程和评估方法，以及风险评估在信息系统生命周期不同阶段的实施要点和工作形式。本文件适用于各类组织开展信息安全风险评估工作。

15、《信息安全技术 网络数据处理安全要求》

发布日期：2022-04-15

标准编号：GB/T 41479-2022

概述/要求：本文件规定了网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等数据处理的安全技术与管理要求。本文件适用于网络运营者规范网络数据处理，以及监管部门、第三方评估机构对网络数据处理进行监督管理和评估。

16、《信息安全技术 信息安全服务分类与代码》

发布日期：2022-04-15

标准编号：GB/T 30283-2022

概述/要求：本文件描述了信息安全服务的分类与代码，主要包括信息安全咨询类、信息安全设计与开发类、信息安全集成类、信息安全运营类、信息的安全处理和存储类、信息安全测评与认证类及其他类七个方面。本文件适用于信息安全服务提供方和信息安全服务需求方使用，也可供其他相关方参考。

17、《信息技术 大数据数据分类指南》

发布日期：2020-04-28

标准编号：GB∕T38667-2020

概述/要求：本标准提供了大数据分类过程及其分类视角、分类维度和分类方法等方面的建议和指导。本标准适用于指导大数据分类。

18、《信息安全事件管理第2部分：事件响应规划和准备指南》

发布日期：2020-12-14

标准编号：GB/T 20985.2-2020

概述/要求：本部分给出的原理是通用的,适用于任何类型、规模或性质的组织。组织可根据其业务的类型、规模和性质，关联信息安全风险状况，调整本部分给出的指南。本部分也适用于提供信息安全事件管理服务的外部组织。

19、《信息安全技术 数据交易服务安全要求》

发布日期：2019-08-30

标准编号：GB/T 37932-2019

概述/要求：本标准规定了数据交易服务涉及的交易参与方、交易对象和交易过程的安全要求。本标准适用于提供数据交易服务的组织进行安全自评估，也适用于第三方机构对数据交易服务组织进行安全测评。

20、《信息安全技术 数据安全能力成熟度模型》

发布日期：2019-08-30

标准编号：GB/T 37988-2019

概述/要求：本标准给出了组织数据安全能力的成熟度模型架构，规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。本标准适用于对组织数据安全能力进行评估，也可作为组织开展数据安全能力建设时的依据。

21、《信息安全技术 大数据安全管理指南》

发布日期：2019-08-30

标准编号：GB/T 37973-2019

概述/要求：本标准提出了大数据安全管理基本原则，规定了大数据安全需求、数据分类分级、大数据活动的安全要求、评估大数据安全风险。本标准适用于各类组织进行数据安全管理,也可供第三方评估机构参考。

22、《网络安全标准实践指南——网络数据安全风险评估实施指南》

发布日期：2023-04-18

标准编号：TC260-PG-20231A

概述/要求：本指南给出了网络数据安全风险评估思路、工作流程和评估内容，提出从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面评估安全风险。本指南适用于指导数据处理者、第三方机构开展风险评佔，也可为有关主管监管部门组织开展数据安全检查评估提供参考。

23、《网络安全标准实践指南——网络数据分类分级指引》

发布日期：2021-12-31

标准编号：TC260-PG-20212A

概述/要求：本实践指南给出了网络数据分类分级的原则、框架和方法。本实践指南适用于指导数据处理者开展数据分类分级工作，也可为主管监管部门进行数据分类分级管理提供参考。

24、《数据安全工程技术人员国家职业标准》

发布日期：2023-03-20

职业编码：2-02-38-12

概述/要求：数据安全工程技术人员国家职业标准

25、《科学数据安全分类分级指南》

下达日期：2022-12-13

计划号：20221063-T-306

概述/要求：本文件提出了科学数据安全分类分级的原则、要素、方法和程序。本文件适用于对科学数据进行安全分类分级，也可为各行业科学数据安全分类分级提供指导。

26、《科学数据安全审计要求》

下达日期：2022-12-13

计划号：20221227-T-306

概述/要求：本文件规定了科学数据安全的通用要求，包括总则、科学数据安全基本框架、科学数据生命周期安全要求、科学数据实体安全要求和科学数据安全管理要求。本文件适用于科学数据的采集加工、存储备份、传输交换、开放共享、使用服务、安全处置等科学数据全生命周期中的数据安全。

27、《科学数据安全要求通则》

下达日期：2022-12-13

计划号：20221067-T-306

概述/要求：本文件规定了科学数据安全审计的相关要求，包括总体要求、一般审计要求、专项审计要求。本文件适用于对科学数据相关处理活动中所涉及的安全问题进行审计。

28、《金融数据跨境安全要求》

下达日期：2019-07-12

计划号：20192292-T-320

概述/要求：本文件规定了金融数据跨境的模式、相关方、基本原则、基本流程，以及跨境过程中相关方的行为准则与信息安全保障措施。本文件适用于开展金融数据跨境活动的相关机构参考使用，并为金融数据跨境活动的相关机构信息安全控制措施的部署提供指导。

29、《增材制造 云服务平台产品数据保护技术要求》

下达日期：2022-04-22

计划号：20220074-T-604

概述/要求：本文件规定了增材制造云服务平台产品数据信息分类，产品数据信息保护级别、保护要求以及不同主体职责义务和权利。本文件适用于增材制造云服务平台的产品数据保护。

30、《智能网联 汽车数据通用要求》

下达日期：2021-08-24

计划号：20213606-T-339

概述/要求：本文件规定了智能网联汽车数据的一般要求、个人信息保护要求、重要数据保护要求、审核评估要求等。本文件适用于智能网联汽车及其数据处理者。

31、《工业互联网企业网络安全 第4部分：数据防护要求》

下达日期：2021-12-31

计划号：20214469-T-339

概述/要求：本文件规定了不同级别工业互联网数据的安全防护流程、防护要求和安全管理要求。本文件适用于应用工业互联网的工业企业、工业互联网平台企业、工业互联网标识解析企业开展数据防护，也可供第三方评估机构等主体开展数据安全评估时参考。

32、《智慧城市 智慧停车 第2部分：数据要求》

下达日期：2021-10-13

计划号：20214284-T-469

概述/要求：本文件规定了智慧城市场景下智慧停车的数据分类、数据元素、数据采集要求、数据传输要求、数据处理要求、数据存储要求、数据交换要求、数据管理要求。本文件适用于智慧城市场景下智慧停车数据的整体规划与开发利用，也适用于智慧停车相关项目或系统的规划、设计、建设与运维。

33、《证券期货业数据安全风险防控数据分类分级指引》

发布日期：2023-08-06

标准编号：GB/T 42775-2023

概述/要求：本文件提供了证券期货业数据分类分级的适用数据范围、保障措施、数据分类分级的原则和方法、数据分类分级中的关键问题处理的建议。本文件适用于证券期货业各类机构(简称为“行业机构”）在防控数据安全风险时，开展数据分类分级使用。其他相关机构可作为参考。本文件不适用于涉及国家秘密的数据。

34、《信息安全技术 电信领域数据安全指南》

发布日期：2023-03-17

标准编号：GB/T 42447-2023

概述/要求：本文件给出了开展电信领城数据处理活动的安全原则、通用安全措施，及在实施数据收集、存储、使用加工、传输、提供、公开、销毁等过程中宜采取的相应安全措施。本文件适用于指导电信数据处理者开展数据安全保护工作,也适用于指导第三方机构开展电信数据安全评估工作。

35、《信息安全技术 人脸识别数据安全要求》

发布日期：2022-10-12

标准编号：GB/T 41819-2022

概述/要求：本文件规定了人脸识别数据的安全通用要求以及收集、存储、使用、传输、提供、公开、删除等具体处理活动的安全要求。本文件适用手数据处理者安全开展人脸识别数据处理活动。

36、《信息安全技术 网络支付服务数据安全要求》

发布日期：2022-10-12

标准编号：GB/T 42015-2022

概述/要求：本文件规定了网络支付服务收集、存储、传输、使用、加工、提供、公开、刪除、出境等数据处理活动的安全要求。本文件适用于网络支付服务提供者规范数据处理活动，也可为监管部门、第三方评估机构对网络支付服务数据处理活动进行监督、管理、评估提供参考。

37、《信息安全技术 网上购物服务数据安全要求》

发布日期：2022-10-12

标准编号：GB/T 42014-2022

概述/要求：本文件规定了网上购物服务的收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。本文件适用于网上购物服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对网上购物服务数据处理活动进行监督、管理、评估提供参考。

38、《信息安全技术 即时通信服务数据安全要求》

发布日期：2022-10-12

标准编号：GB/T 42012-2022

概述/要求：本文件规定了即时通信服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。本文件适用于即时通信服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对即时通信服务数据处理活动进行监督、管理、评估提供参考。

39、《信息安全技术 网络预约汽车服务数据安全要求》

发布日期：2022-10-12

标准编号：GB/T 42017-2022

概述/要求：本文件规定了网络预约汽车服务的收集、存储、使用、加工、提供、公开、出境等数据处理活动的安全要求。本文件适用于网络预约汽车服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对网络预约汽车服务数据处理活动进行监督、管理、评估提供参考。

40、《信息安全技术 网络音视频服务数据安全要求》

发布日期：2022-10-12

标准编号：GB/T 42016-2022

概述/要求：本文件规定了网络音视频服务收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动的安全要求。本文件适用于网络音视频服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对网络音视频服务数据处理活动进行监督、管理、评估提供参考。

41、《信息安全技术 快递物流服务数据安全要求》

发布日期：2022-10-12

标准编号：GB/T 42013-2022

概述/要求：本文件规定了快递物流服务收集、存储、传输、使用、加工、提供、公开、删除、出境等数据处理活动的安全要求。本文件适用于快递物流服务提供者规范数据处理活动,也可为监管部门、第三方评估机构对快递物流服务数据处理活动进行监督、管理、评估提供参考。

42、《信息安全技术 基因识别数据安全要求》

发布日期：2022-10-12

标准编号：GB/T 41806-2022

概述/要求：本文件规定了基因识别数据及关联信息的收集、存储、使用、加工、传输、提供、公开、删除等数据处理活动的安全要求。本文件适用于基因识别数据及关联信息的处理者规范数据处理活动，也可为监管部门、第三方评估机构对基因识别数据处理活动进行监督、管理、评估提供参考。

43、《信息安全技术 声纹识别数据安全要求》

发布日期：2022-10-12

标准编号：GB/T 41807-2022

概述/要求：本文件规定了声纹识别数据的收集、存储、使用、传输、提供、公开、删除等活动中，对数据处理者的安全要求。本文件适用于规范数据处理者的声纹识别数据处理行为。

44、《信息安全技术 步态识别数据安全要求》

发布日期：2022-10-12

标准编号：GB/T 41773-2022

概述/要求：木文件规定了步态识别数据收集、存储、传输、使用、加工、提供、公开、删除等数据处理活动的安全要求。本文件适用于步态识别数据处理者规范数据处理活动,监管部门、第三方评估机构对步态识别数据处理活动进行监督、管理、评估参照使用。

45、《信息安全技术 汽车数据处理安全要求》

发布日期：2022-10-12

标准编号：GB/T 41871-2022

概述/要求：本文件规定了汽车数据处理者对汽车数据进行收集、传输等处理活动的通用安全要求、车外数据安全要求、座舱数据安全要求和管理安全要求。本文件适用于汽车数据处理者开展汽车数据处理活动,适用于汽车的设计、生产、销售、使用和运维,也适用于主管监管部门和第三方评估机构等对汽车数据处理活动进行监督、管理和评估。

46、《信息安全技术 健康医疗数据安全指南》

发布日期：2020-12-14

标准编号：GB/T 39725-2020

概述/要求：本标准给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施。本标准适用于指导健康医疗数据控制者对健康医疗数据进行安全保护,也可供健康医疗、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。

47、《信息安全技术 政务信息共享 数据安全技术要求》

发布日期：2020-11-19

标准编号：GB/T 39477-2020

概述/要求：本标准提出了政务信息共享数据安全要求技术框架,规定了政务信息共享过程中共享数据准备、共享数据交换、共享数据使用阶段的数据安全技术要求以及相关基础设施的安全技术要求。本标准适用于指导各级政务信息共享交换平台数据安全体系建设，规范各级政务部门使用政务信息共享交换平台交换非涉及国家秘密数据安全保障工作。

48、《信息安全技术 物联网数据传输安全技术要求》

发布日期：2018-12-28

标准编号：GB/T 37025-2018

概述/要求：本标准归纳了物联网数据传输面临的安全成胁，规定了物联网（工控终端除外）数据传输安全基本级和增强级技术要求。本标准适用于物联网规划、建设、运行、管理等相关方，对物联网数据传输安全的规划和落实，也可为物联网数据传输安全检查和测评等工作的开展提供依据。

49、《智能交通 数据安全服务》

发布日期：2019-05-10

标准编号：GB/T 37373-2019

概述/要求：本标准规定了智能运输系统安全支撑平台和数据安全服务内容。本标准适用于智能运输系统实现基于密码技术的数据安全服务。

50、《第三方电子合同服务平台信息安全技术要求》

发布日期：2023-09-07

标准编号：GB/T 42971-2023

概述/要求：本文件规定了第三方电子合同服务平台的基本要求、订立过程安全、存储与应用安全和安全运维等要求。本文件适用于第三方电子合同服务平台的设计、开发、运营和电子合同订立过程。

51、《电动汽车充电系统信息安全技术要求及试验方法》

发布日期：2022-07-11

标准编号：GB/T 41578-2022

概述/要求：本文件规定了电动汽车充电系统信息安全技术要求和试验方法。本文件适用于电动汽车充电系统信息安全技术的设计、开发与试验。

52、《信息安全技术 工业控制系统信息安全防护能力成熟度模型》

发布日期：2022-04-15

标准编号：GB/T 41400-2022

概述/要求：本文件给出了工业控制系统信息安全防护能力成熟度模型，规定了核心保护对象安全和通用安全的成熟度等级要求,提出了能力成熟度等级核验方法。本文件适用于工业控制系统设计、建设、运维等相关方进行工业控制系统信息安全防护能力建设，以及对组织工业控制系统信息安全防护能力成熟度等级进行核验。

53、《数字化车间信息安全要求》

发布日期：2022-03-09

标准编号：GB/T 41260-2022

概述/要求：本文件规定了数字化车间信息安全总则、管理要求和技术要求等。本文件适用于针对数字化车间的工程设计、设备生产、系统集成、生产运维、安全评估等信息安全活动。

54、《汽车网关信息安全技术要求及试验方法》

发布日期：2021-10-11

标准编号：GB/T 40857-2021

概述/要求：本文件规定了汽车网关产品硬件、通信、固件、数据的信息安全技术要求及试验方法。本文件适用于汽车网关产品信息安全的设计与实现,也可用于产品测试、评估和管理。

55、《汽车信息安全通用技术要求》

发布日期：2021-10-11

标准编号：GB/T 40861-2021

概述/要求：本文件规定了汽车信息安全的保护对象和技术要求。本文件适用于 M类、N类汽车整车及其电子电气系统和组件。

56、《化学品管理信息化 第2部分：信息安全》

发布日期：2021-10-11

标准编号：GB/T 40640.2-2021

概述/要求：本文件规定了化学品管理信息化信息安全的基本要求和技术要求。本文件适用于化学品管理信息化的信息安全管理。

57、《信息技术服务外包第2部分：数据保护要求》

发布日期：2019-08-30

标准编号：GB/T 33770.2-2019

概述/要求：GB/T 33770 的本部分规定了信息技术外包服务中数据保护所涉及的数据生命周期、数据主体权利、数据管理者、数据管理、管理机制、数据获取、数据处理、安全管理、过程管理、应急管理等方面的基本规则和要求。本部分适用于选择和提供IT服务、评价和认定 IT服务提供能力的组织等。其他组织可参照执行。

58、《电子商务数据交易 第4部分：隐私保护规范》

发布日期：2021-05-21

标准编号：GB/T 40094.4-2021

概述/要求：GB/T 40094 的本部分规定了电子商务数据交易中隐私保护总则,数据提供方职责义务、数据需求方职责义务、交易平台运营商职责义务和信息主体权利的要求和证实方法。本部分适用于电子商务数据交易中的隐私保护。

59、《信息安全技术 生物特征识别信息保护基本要求》

发布日期：2021-10-11

标准编号：GB/T 40660-2021

概述/要求：本文件规定了各类生物特征识别信息控制者开展收集、存储、使用、委托处理共享、转让、公开披露、删除等生物特征识别信息处理活动应遵循的基本原则和安全要求。本文件适用于规范各类生物特征识别信息控制者开展生物特征识别信息处理活动，也适用于第三方机构对生物特征识别信息处理活动进行测评。

60、《工业产品数据字典通用要求》

发布日期：2022-03-09

标准编号：GB/T 41302-2022

概述/要求：本文件规定了工业产品数据字典的基本原则、构建过程、分类、描述和标识等通用技术要求。本文件适用于行业协会、企业、数据服务机构等开展产品数据字典的规划、设计、维护和管理。本标准中不适用于带模拟量或数字量输出的工业过程测量和控制设备的数据字典。

61、《智能制造 工业数据分类原则》

发布日期：2022-12-30

标准编号：GB/T42128-2022

概述/要求：本文件给出了智能制造工业数据的分类要求、分类依据以及分类维度。本文件适用于指导智能制造领域工业数据分类。

62、《智能制造 工业云服务 数据管理通用要求》

发布日期：2021-10-11

标准编号：GB/T 40693-2021

概述/要求：本标准根据工业云服务的数据管理环节要素，规定了工业云服务的数据定义、创建、存储、维护和访问的通用要求。本标准适用于工业云服务应用的数据设计、实现、部署和使用。