截至2025年8月,網安標委在數據安全和個人信息保護領域已制定發布44項國家標準,正在制修訂2項強制性國家標準和16項推薦性國家標準。
兩大標準體系不是零散標準的簡單集合,而是按照《標準體系構建原則和要求》構建的有機整體。其中,數據安全標準體系以《網絡安全法》《數據安全法》《網絡數據安全管理條例》等法律法規為基礎,覆蓋了數據安全保護的各個環節。
Part.1
關鍵標準解讀:企業合規必讀要點
數據安全風險評估方法(GB/T 45577-2025)
這項標準描述了數據安全風險評估的基本概念、要素關系、分析原理,給出了數據安全風險評估的實施流程、評估內容、分析評價方法等。它適用于指導數據處理者、第三方評估機構開展數據安全風險評估,也可供有關主管監管部門實施數據安全檢查評估時參考。
對于企業而言,這項標準的意義在于提供了統一的風險評估框架。這意味著企業可以按照標準化的方法識別自身數據處理活動中的安全風險,并采取有針對性的防護措施。
敏感個人信息處理安全要求(GB/T 45574-2025)
該標準確立了敏感個人信息識別和界定,規定了敏感個人信息處理通用安全要求和特殊安全要求。它是企業處理敏感個人信息的合規操作手冊。
標準適用于個人信息處理者開展敏感個人信息處理活動,也適用于監管部門和第三方評估機構對敏感個人信息處理活動進行監督、管理和評估。企業需特別注意,敏感個人信息處理要求比普通個人信息更為嚴格,涉及生物識別、醫療健康、金融賬戶等敏感信息時,需遵循更高標準的保護措施。
Part.2
生成式人工智能數據安全系列標準
隨著AI技術的快速發展,網安標委同步發布了三項生成式人工智能安全標準(GB/T 45652—2025、GB/T 45654—2025、GB/T 45674—2025),分別覆蓋預訓練和優化訓練數據安全、服務安全基本要求以及數據標注安全規范。
這些標準為從事AI開發和應用的企業提供了明確指引。例如,GB/T 45654—2025規定了生成式人工智能服務在訓練數據安全、模型安全、安全措施等方面的要求
Part.3
企業應對策略:從合規到競爭力
面對日益完善的數據安全標準體系,企業不應僅將合規視為負擔,而應將其轉化為持續發展的競爭力。以下是幾個關鍵應對策略:
丨建立數據安全治理體系
企業應首先構建數據安全治理體系,明確數據安全負責人和管理部門,可構建 “總體要求-數據運行安全-數據處理活動安全”三維管理框架;在組織保障上,一般數據需設立責任部門與相關崗位;重要數據則需明確法定代表人或主要負責人為第一責任人。制度管理方面,需要建立管理制度體系與文件管理流程,并定期評價。
丨實施數據分類分級管理
數據分類分級是數據安全保護的基礎。企業應識別數據資源,建立分類分級規則,形成數據清單并定期更新。對于重要數據,還需形成目錄并按程序報送備案。
丨強化全生命周期安全管理
企業需針對數據收集、存儲、使用、加工、傳輸、提供、公開、銷毀等全生命周期環節,制定相應安全策略。特別是在數據傳輸環節,跨域傳輸需采取隔離控制并加密;存儲環節要加密且重要數據需境內存儲;使用加工環節重要數據需去標識化;交換環節重要數據需嚴格審批并簽訂協議。
丨定期開展數據安全風險評估
根據要求,處理重要數據(含1000萬以上個人信息)的企業,應每年至少開展一次數據安全風險評估。企業可依據GB/T 45577-2025提供的評估方法,系統識別數據安全風險,及時采取適當措施消除或降低風險隱患。評估完成后,企業需按要求向主管部門報送數據安全風險評估報告。
數據安國家標準的密集發布,對于企業而言,這意味著數據安全合規工作不是一次性的項目,而需要建立常態化機制。企業應指定專門團隊負責跟蹤標準動態,及時調整內部數據安全策略。
數字化時代,數據安全是企業發展的基石。遵循國家標準,構建全面防護體系,企業不僅能夠規避監管風險,更能在數字經濟浪潮中贏得持久競爭力。
18120179909
關注敏捷小助手,了解更多