Logo

菜单

易君召
易君召
发布于 2026-05-18 / 23 阅读
0
0

《数据基础设施 安全能力通用要求》TC609-6-2025-13 标准深度解读

一、标准基本概况

《数据基础设施 安全能力通用要求》(TC609-6-2025-13) 是全国数据标准化技术委员会 (SAC/TC609) 于2025 年 8 月 29 日发布并同步实施的技术文件,由西北大学、中国电子技术标准化研究院等 50 余家单位联合起草,旨在为我国数据基础设施建设提供系统化的安全能力框架与通用要求。

该标准定位为数据基础设施安全领域的基础性、通用性规范,适用于数据基础设施的规划、建设、运营和评估全流程,同时为数据安全产品研发与检测提供依据。作为全国数据标准化技术委员会 (TC609) 发布的系列技术文件之一,与《数据基础设施参考架构》《互联互通基本要求》等形成配套体系,共同支撑我国数据要素市场建设与数据流通安全保障。

二、核心框架与主要内容

1. 核心框架设计

标准构建了四维一体安全能力框架,涵盖组织建设、制度流程、技术工具、人员能力四大维度,遵循四大安全原则:整体性与动态性、全生命周期覆盖、内生安全、体系化与协同防护,实现从静态防御向动态保护、从外部附加向内生安全的转变。

2. 关键能力要求详解

(1)组织建设能力要求

组织建设是数据基础设施安全的基础保障,核心要求包括:

核心要素

关键要求

实施要点

责任体系

明确数据安全第一责任人,设立分管负责人

主要负责人承担最终责任,领导层指定专人分管安全工作

机构设置

设立数据安全管理职能部门

负责落实防护措施、权限分配、安全评估、应急处置等核心工作

岗位配置

数据安全管理专职岗位、审计管理员岗位

专职岗位负责制度制定、数据分类分级、隐私政策管理;审计岗位负责审计策略与监督

人员配备

系统管理员、审计管理员、安全管理员专职配置

安全管理员不可兼任,确保权责分离与相互监督

(2)制度流程能力要求

制度流程是安全能力落地的关键载体,要求建立三层级制度体系和全生命周期流程管控:

  • 三层级制度体系:战略级 (安全方针、战略规划)、管理级 (访问控制、应急响应)、操作级 (数据采集、存储、传输等操作规程)

  • 核心制度要求

    • 运行维护组织与责任制度,明确全域功能节点、区域 / 行业功能节点等运维责任

    • 应急预案与演练机制,覆盖故障恢复、数据泄露、非法接入等场景

    • 基于岗位的责任管理制度,关键岗位签署保密协议与岗位责任书

    • 外部人员访问控制制度,规范物理访问与网络访问流程

  • 全生命周期流程管控:数据分类分级、数据源鉴别、传输加密、存储安全、敏感数据脱敏、数据处理环境安全、数据共享评估、接口安全、安全销毁等

  • 持续改进机制:每年至少一次制度流程全面评审,建立监督与考核机制,通过内部审计验证流程有效性

(3)技术工具能力要求(核心技术规范)

技术工具是安全能力实现的物质基础,覆盖数据基础设施全栈组件:

技术组件

安全要求

实施要点

目录安全

构建数据目录责任制度,规范操作与安全准则

明确数据安全责任主体,实现数据资产可管可控

身份安全

统一身份管理,多因素认证,权限最小化

遵循《数据基础设施用户身份管理和接入规范》,实现跨域身份互通与可信认证

标识安全

统一数据标识体系,确保标识唯一性与安全性

符合《数据基础设施标识要求》,支撑数据溯源与访问控制

功能节点安全

全域、区域 / 行业功能节点安全防护

建立节点访问控制、安全审计、异常监测机制,保障节点间数据流转安全

业务节点安全

数据处理、存储、计算节点安全加固

实现节点隔离、数据加密、访问控制与安全审计

接入连接器安全

接入认证、传输加密、数据过滤

遵循《数据基础设施连接器技术要求》,保障跨系统数据安全交换

网络和算力安全

网络隔离、传输加密、算力资源安全调度

建立网络冗余与故障恢复机制,保障算力资源安全共享与高效利用

特别强调隐私保护计算区块链技术应用规范,在数据共享、流通、交易环节明确技术选型、实施与审计要求,实现数据 "可用不可见" 与全流程可追溯。

(4)人员能力要求

人员是安全能力的核心执行者,要求包括:

  • 能力符合性:关键岗位人员需具备相应专业资质与技能,定期考核

  • 安全意识教育和培训:建立常态化培训机制,覆盖全员,定期开展安全意识考核

三、应用领域与适用场景

1. 核心应用领域

应用领域

适用场景

核心价值

政务数据基础设施

政务数据共享交换平台、政务云、城市数据大脑

保障政务数据安全流通,支撑 "一网通办"" 一网统管 " 等数字化转型

行业数据基础设施

金融、能源、医疗、工业等行业数据平台

满足行业数据安全监管要求,促进跨机构数据协同创新

公共数据基础设施

数据交易场所、数据共享交换中心、数据服务平台

建立数据流通安全基线,保障数据要素市场化配置安全高效

企业数据基础设施

企业数据湖、数据中台、业务系统数据模块

提升企业数据安全治理能力,支撑数据驱动业务创新

新型算力基础设施

全国一体化算力网、数据中心集群、边缘计算节点

构建算力与数据协同安全防护体系,保障算力网络安全稳定运行

2. 典型使用场景

(1)数据基础设施规划阶段

  • 场景:政府部门 / 企业规划建设数据共享平台、数据交易中心等新型基础设施

  • 应用:依据标准制定安全规划方案,明确组织架构、制度流程、技术选型与人员配置要求,确保安全与建设同步规划

(2)数据基础设施建设阶段

  • 场景:数据中心建设、数据平台开发、数据连接器部署等实施过程

  • 应用:对照标准要求进行安全设计与开发,确保目录安全、身份安全、标识安全等技术组件符合规范,实现安全能力内生集成而非外部附加

(3)数据基础设施运营阶段

  • 场景:数据平台日常运维、数据流通服务提供、安全事件应急处置

  • 应用:按照标准建立运维组织与责任制度,实施数据全生命周期安全管控,定期开展应急演练,保障数据基础设施持续安全稳定运行

(4)数据基础设施评估阶段

  • 场景:第三方安全评估、内部合规审计、等级保护测评

  • 应用:以标准为评估依据,全面检查组织建设、制度流程、技术工具、人员能力等维度的安全合规性,识别风险并提出改进建议

(5)数据安全产品研发与检测

  • 场景:数据安全厂商开发目录服务、身份管理、隐私计算等产品

  • 应用:遵循标准技术要求进行产品设计,第三方检测机构依据标准开展产品安全能力检测,确保产品符合数据基础设施安全需求

四、标准价值与实施意义

1. 核心价值

  1. 填补标准空白:作为国内首个数据基础设施安全能力通用规范,为数据基础设施安全建设提供统一标准与技术指引

  2. 构建安全体系:建立 "组织 - 制度 - 技术 - 人员" 四维一体安全能力框架,实现数据基础设施全生命周期、全方位安全防护

  3. 支撑数据流通:平衡数据安全与利用,通过隐私保护计算、区块链等技术规范,保障数据 "可用不可见" 与全流程可追溯,促进数据要素市场化配置

  4. 推动合规建设:对接《数据安全法》《个人信息保护法》等法律法规要求,为数据处理者提供合规建设路径

2. 实施建议

  1. 分阶段推进:优先建立组织架构与制度流程,同步开展技术工具升级与人员能力建设

  2. 结合行业特点:在通用要求基础上,结合行业特性制定差异化安全实施细则

  3. 技术创新应用:积极采用隐私保护计算、区块链等新兴技术,提升数据安全防护水平与数据流通效率

  4. 持续能力建设:建立安全能力持续改进机制,定期开展安全评估与演练,适应业务发展与安全威胁变化

五、总结

《数据基础设施 安全能力通用要求》(TC609-6-2025-13) 作为我国数据基础设施安全领域的基础性标准,构建了系统化、可操作的安全能力框架,为数据基础设施规划、建设、运营和评估提供了全面指导。该标准的实施将有效提升我国数据基础设施整体安全水平,为数据要素安全高效流通提供重要保障,助力数字经济高质量发展。

原文链接 https://www.yijunzhao.cn/archives/shu-ju-ji-chu-she-shi-an-quan-neng-li-tong-yong-yao-qiu-tc609-6-2025-13-biao-zhun-shen-du-jie-du

欢迎访问 小易撩挨踢

https://www.yijunzhao.cn/

AI Agents & 开源 LL...
Hermes Desktop 深度...

评论