随着数字经济迈入深水区,数据安全成为高质量发展的核心命题。2025年8月15日,全国网络安全标准化技术委员会发布《数据安全国家标准体系(2025版)》(征求意见稿),首次系统性构建覆盖全产业链的数据安全标准框架。标志着我国数据安全治理从基础建设阶段迈向精准化、动态化的新阶段。这份历经数年打磨的标准体系,不仅是对《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等上位法的细化落实,更构建了覆盖数据全生命周期的安全防护网,将深刻影响每个企业的数据治理实践和每个人的信息安全保障。
本文将通过解读新规核心内容,揭示企业应如何借助这一标准体系,破解转型中的安全难题,释放数据要素的真正价值。
一、标准体系的发展史:从无到有,从有到优
我国数据安全标准化工作自 2016 年启动以来,已形成从无到有、从有到优的发展脉络,实现三大跨越:
从政策背景看,随着《网络数据安全管理条例》的正式施行,标准体系需要更紧密地衔接法律法规要求。截至2025年7月,全国网络安全标准化技术委员会已制定发布42项国家标准,正在制修订2项强制性国家标准和18项推荐性国家标准,同时配套研制发布3项委员会技术文件和21项网络安全标准实践指南,形成了“法律—行政法规—标准”的三级治理体系。这种制度设计既保证了政策的刚性约束,又通过标准提供了可操作的实施路径。
从治理理念看,随着《网络数据安全管理条例》2025年1月1日正式施行,我国数据安全治理已从合规导向迈入风险驱动的精细化阶段。旨在为数据安全保障和数字经济发展提供统一规范依据,落实《中华人民共和国网络安全法》《网络数据安全管理条例》等法律法规的关键举措。正如 GB/T 45577《数据安全技术 数据安全风险评估方法》所强调的,数据安全防护不再是简单的勾选清单,而是需要建立“识别—评估—处置—监控”的动态管理机制。这种转变呼应了数字经济时代数据流动加速带来的新型安全挑战。
从覆盖范围看,标准体系已从通用领域延伸到细分场景。特别强化了对人工智能、物联网等新技术应用的覆盖,同时针对政务、金融、能源等关键行业制定了差异化要求,形成“通用标准+行业细则”的立体化架构。
二、编制三大核心原则
统筹规划、全面布局:按“快、优、强”导向管理,平衡安全与发展。
基础先立、急用先行:优先制定通用标准,强化重点领域标准供给。
注重实效、开放合作:完善实施机制,推动国际标准互认与交流。
三、六大核心板块:解码标准体系的金字塔结构
2025 版标准体系构建了层次分明的金字塔结构,从基础共性到行业应用层层递进,形成完整的标准化治理链条。该体系以数据为核心,以数据分类分级保护为基础,覆盖数据收集、存储、使用、加工、传输、提供、公开、删除等全流程数据处理活动,标准化对象涉及与数据紧密相关的组织、产品、服务、系统、技术、管理、活动等。
数据安全国家标准体系由基础共性、数据安全技术和产品、数据安全管理、数据安全测评和认证、产品和服务数据安全、行业与应用数据安全六大类标准组成。如下图所示:
图:数据安全国家标准体系框架
(一)基础共性标准
基础共性标准是整个体系的基石,包括数据安全术语、分类分级和通用保护要求三大子类。其中,数据分类分级标准堪称重中之重,不仅明确了通用的分类原则和流程,还针对不同行业制定了重要数据识别指南。比如,2024 年发布的国家标准《数据安全技术 数据分类分级规则》(GB/T 43697 - 2024)就为企业提供了清晰的、基础的标准操作指引。
图:基础共性标准
(二)数据安全技术和产品标准
数据安全技术和产品标准构成了防护盾牌。2025 版国标体系围绕数据全生命周期防护,涵盖分类分级技术、安全防护技术、共享安全技术等五大类,主要明确数据安全技术及产品的框架、规范和指南。
值得关注的是,机密计算、数据脱敏、水印溯源等新兴技术被正式纳入标准体系,GB/T 45230-2025《数据安全技术 机密计算通用框架》已于 2025 年 8 月 1 日率先实施,为数据可用不可见提供了技术规范。
图:数据安全技术和产品标准
(三)数据安全管理标准
数据安全管理并非冰冷的条文堆砌,而是构建企业数据安全免疫系统的核心框架,从实践来看,企业常因忽视“制度-流程-人员”三维度的某个因素而踩坑,这些看似弹性的管理规范,实则暗藏刚性约束。而数据安全管理标准提供了制度保障,强调数据处理全流程的安全管控,关注“组织怎么管、流程怎么控”等实践内容,规范企业的数据安全管理行为。针对数据全流程处理,明确每个环节的安全要求。针对数据出境场景,制定安全管理指南。在运营层面,明确数据安全监测预警、应急处置、溯源取证的流程。
图:数据安全管理标准
(四)测评和认证标准
测评认证标准充当“质量检验员”角色,通过统一评估方法确保防护措施的有效性,主要聚焦数据安全检测评估、监督检查、安全认证工作的标准化需求,明确数据安全评估方法、认证依据和评估机构管理等方面内容。
数据安全风险评估标准明确评估的方法、流程和内容,数据安全能力评价标准构建起能力模型,数据安全管理认证则为企业提供背书。
图:测评认证标准
(五)产品和服务数据安全标准
产品和服务数据安全标准聚焦具体应用场景适配,聚焦特定系统平台和产品服务的数据安全风险,明确典型系统、平台、产品、服务的数据安全要求和指南。如针对互联网平台、智能设备等典型场景制定专项要求,GB/T 44588-2024《数据安全技术 互联网平台及产品服务个人信息处理规则》明确禁止超范围收集数据,要求细化用户同意的边界,让个人信息保护有章可循;针对大数据服务、数据交易服务、金融信息服务,明确其数据安全要求;针对数据库、数据接口、大数据平台等系统组件,规范其安全防护措施。
图:产品和服务数据安全标准
(六)行业与应用数据安全标准
行业与应用数据安全标准位于数据安全标准体系的最顶层,是在其他标准的基础上,面向重点行业领域和新技术应用开展数据安全标准研制,实现精准施策,技术适配性更强。行业领域数据安全包括政务、卫生健康、电信、汽车等数据安全标准,新技术应用数据安全包括人工智能、无人机等数据安全标准。
如,在政务领域,标准规定了政务数据共享安全要求。在医疗健康领域,提供了医疗健康数据安全指南。在新技术应用领域,人工智能、无人机等领域也有针对性规范,生成式人工智能预训练数据安全标准,明确训练数据的来源合规性和安全处理要求,为AI发展划定安全边界。
图:行业与应用数据安全标准
四、企业如何适应数据安全新生态?
根据文件精神和相关工作部署,为让体系持续发挥作用,后续还将有一系列推进措施:
相关部门会继续完善体系,形成以国家标准为核心,技术文件、实践指南、应用案例为补充的多层级标准矩阵。
加快电子产品信息清除技术要求等强制性国标,以及数据安全保护要求、数据自动化工具收集规范等重点标准的研制,补齐短板。
聚焦数据安全标准供给需求,针对数据安全术语、汽车数据出境、数据接口安全等需求,推进相关标准和实践指南的制定,兼顾行业和地方特色。
通过贯标应用活动、标准实践案例库建设等方式,加强已发布标准的推广,提升数据安全标准应用效果,让更多企业懂标准、用标准,切实提升数据安全防护能力。
新标准体系的实施将重塑数据安全治理格局,对企业运营和个人信息保护产生深远影响,需要各方主体主动适应、积极应对:
1. 企业需要构建三位一体的合规体系
在技术层面,应优先部署数据分类分级、加密脱敏、安全审计等基础工具,关键行业需额外建立异地灾备架构,满足标准对数据备份恢复的严格要求;在管理层面,需明确数据安全负责人和管理机构,完善“评估—整改—培训”的闭环机制;在流程层面,要将数据安全要求嵌入业务流程,特别是在数据收集、共享、出境等关键环节建立审批机制,确保全生命周期合规。值得注意的是,标准对小型个人信息处理者制定了差异化原则,企业可结合自身规模选择适宜的合规路径。
2. 对标基础,锚定分类分级
参照《数据安全国家标准体系(2025 版)》附件《现有数据安全标准文件》中的基础标准,如数据分类分级GB/T 43697,完成核心数据资产定级。
3. 查漏补缺,强化技术防护
重点排查技术措施落实,如数据加密、脱敏措施是否达标,引入AI工具实现自动化分类与风险监测等技术能力。
4. 动态跟踪,布局行业规范
关注网安标委后续发布的行业标准,参与标准意见征集,主动参与标准制定。数据安全已从成本中心升级为价值引擎,唯有将合规要求转化为技术能力与管理优势,才能在数字经济竞争中占据先机。
五、结语
长扬科技标准化工作介绍
自成立以来,长扬科技积极参与工业互联网安全标准制定工作,有效推动行业发展,截至目前已牵头和参与制修订网络安全国家标准、行业标准及团体标准共计180余项,参与标准研究项目或技术白皮书共计20余项,覆盖网络安全专用产品、网络安全产品互联互通、网络安全管理体系、网络安全人才培养、信息技术应用创新、软件供应链安全、关键信息基础设施保护、工业互联网企业网络安全、数据安全等产业重点方向。
长扬科技深入电力、石油石化、轨道交通、城市市政、智能制造、钢铁冶金等重要行业,参与制定的标准紧密结合了这些行业的特定场景和需求。例如在数据安全领域,参与制定的系列标准《工业领域数据安全风险评估规范》《数据入湖安全技术要求》等,为工业企业数字化转型提供了重要标准支撑。
✦
•
✦
往期推荐
1. 世界标准日|长扬科技:以标准为引领,筑牢工业互联网安全防线
2. 长扬车载防火墙荣获多重权威认定—— 超500列车实战验证,厚积薄发价值突显
3. 长扬科技入选2025工业互联网百强 双项创新能力榜单彰显技术硬实力
4. 长扬科技护航2025锡林郭勒盟网络安全技能大赛,以工业靶场赋能实战人才培养
