全球数字契约建议书（英文版）

Overview 数字化发展是全球趋势。随着数字技术的迅速发展和普及，人们的生活和工作越来越依赖于数字技术。数字安全作为数字化发展的重要组成部分，极大地保证了数字环境的安全性和稳定性。全球数字合同是一个框架，为所有国际合作提供开放，自由和安全的数字未来的共同原则。数字安全是全球数字合同的重要组成部分，其目的是确保数字环境的安全，保护隐私和数字技术的可持续发展。 CSAGCR提出了数字安全框架，并发布了全球数字安全报告，报告从标准、合作、权益、应用四个方向提出了建议。CSAGCR建议建立全球统一的数字安全标准，完善全球认可数据全流程合规监管规则体系，加强各国合作，共同应对人为数字风险。同时，有必要建立一个保护数据所有者权益的系统，以合法，合规的方式在全球范围内使用数据，并促进数字技术的安全应用。 目录 Overview 第1章|全球数字安全框架-顶级架构 1.1|数字安全的定义 1.2|REE数字安全框架 第2章|数字安全和数据保护领域-核心原则和关键行动 2.1全球统一的数字安全标准，保持数字安全的一致性、互补性和互操作性 2.2|加强国际合作应对共同数字风险 2.3|建立基本的数据保护体系，保护数据所有者的权益，实现全球数据的合法使用 2.4|建立安全，可控和弹性的数据治理系统，以安全地促进数字技术的应用 第3章|云安全联盟大中华区简介 3.1|CSA发布标准 3.2|CSA发布课程 第1章|全球数字安全框架-顶级架构 1.1|数字安全的定义 数字安全是指数字时代与数字化有关的所有安全要素、行为和状态的集合，不仅包括数字经济的安全，还包括数字技术在安全领域的运用。数字安全以数字身份为核心，以原生安全为基础，涵盖信息安全、网络安全、数据安全、隐私保护等领域或场景，并可扩展（如Metaverse安全）。此外，数字安全还包括使用数字技术来确保数字基础设施的物理安全 。虽然数字安全更注重数字经济和数字技术,但也类似于网络安全在法律、标准和技术上强调国家网络主权。数字安全的定义如图1所示：。 零信任原则：零信任是数字安全的最高策略，通过数字安全技术栈用来保护数字世界中数据的安全。 网络安全：确保网络系统的软硬件安全，负责CSO、CTO等. 信息安全：确保所有有价值信息的安全，负责CISO、CIO等。 数据安全：确保数据在整个生命周期的安全性和合规性，负责CDO、CIO、CISO、CSO等。 隐私保护：保护用户的隐私和个人信息，负责CPO，DPO等。 Metaverse安全性:确保以数字形式承载的虚实相生、交融的平行宇宙的安全,也是未来数字安全的主要拓展领域。 数字身份作为连接安全和业务的基础,为所有人员、数字人员、对象、设备等提供数字识别、认证和访问生命周期管理。 本机安全性:原生安全包括云计算、大数据、AI、5G/6G、物联网、区块链、量子计算等新兴技术涉及的系统的原生安全,是数字安全的基础,需要硬件信任根的支持。 1.2|REE数字安全框架 REE数字安全框架 调节层：规则层是数字安全框架的战略指导，主要包括数字安全法、数字安全治理、数字安全标准等。这一层需要解决数字安全法律、法规、规则、政策、监管和标准等问题,为组织的数字安全建设和合规治理提供战略指导。 执行层：实施层涵盖规则层落地所需的所有资源/工具,以及使用这些资源/工具的具 体行动,包括数字安全技术、数字安全解决方案/产品、数字安全服务、数字安全教育等的实施。这一层需要解决的问题，如数字安全技术的研究和进步，开发和应用。 数字安全解决方案/产品、数字安全服务的开发（如安全咨询、安全运营等）、数字安全人才的培养等，是组织实现其数字安全目标的核心。 评估层:评估层对组织的数字安全成熟度进行评估、验证和审核,包括数字安全奖项、数字安全排名、数字安全认证、数字安全案例等。这一层需要通过安全认证/审核/ 评估来持续评估组织的数字安全能力，从而促进持续改进和完善，实现从规则、执行 、评估到改进的安全闭环。此外,通过数字安全奖项、数字安全排行榜/象限、数字安全优秀案例分享等方式进行相关市场推广和引导,推动数字安全产业发展。 第2章|数字安全和数据保护领域-核心原则和关键行动 2.1全球统一的数字安全标准，保持数字安全的一致性、互补性和互操作性 行动建议： 各国政府应在国家一级采用一个全面的框架来管理各种国家一级的数字安全风险，并以有管理的方式共同加强这些风险。框架和实施政策应该是透明的，CSAGCR提供的数字安全框架将是制定综合框架的可靠参考。一个完善和透明的政府数字安全框架应该由国内外任何授权的利益相关者定期审查，可以根据经验和最佳做法进行改进，并可以通过一个国际标准进行基准和衡量。 在此基础上，联合国应提供一个平台，以显示不同国家的数字安全风险评估的状况 ，并确保在不同的竞争政策目标之间取得良好的平衡。 数据流、数据安全、认证、评估和数字货币方面的国际规则和数字技术标准应根据全球数字契约制定或修订 2.2|加强国际合作应对共同数字风险 行动建议： 如果各国需要为执法提供跨境数据取证服务，则应通过国际司法援助渠道或其他相关多边和双边协定加以解决。 各国之间缔结跨境数据收集双边协定不得侵犯任何第三国的司法主权和数据安全。 在管理全球信息安全和数据安全的挑战和威胁方面采取协调与合作。 采取措施，在国家、区域和全球各级防止和管理使用信息技术进行网络犯罪和恐怖活动 2.3|建立基本的数据保护体系，保护数据所有者的权益，实现全球数据的合法使用 行动建议： 建议联合国带头建立一个安全和管理良好的跨界数据传输机制。联合国应努力改善全球一致的授权机制，以保护公共数据，企业数据和个人信息数据的权利。联合国应该注意到数据作为一种新的生产要素可能在未来被转移，甚至在全球范围内进行贸易的趋势，但这一领域的国际规范很少。未来，联合国应在数据交互、业务互通、监管互认、服务共享等方面开展国际交流与合作，推动跨境数字贸易基础设施建设等方面发挥核心作用。 各国应尊重其他国家的主权、管辖权和数据安全管理，未经其他国家法律许可，不得从企业或个人直接访问位于其他国家的数据。 不允许滥用信息技术破坏关键基础设施或窃取其他国家的重要数据，以及利用信息技术从事危害其他国家国家安全和公共利益的行为。 各国承诺采取措施,防止和制止利用互联网侵犯个人信息的行为,反对滥用信息技术对其他国家进行大规模监视和非法收集其他国家公民个人信息的行为。 2.4|建立安全，可控和弹性的数据治理系统，以安全地促进数字技术的应用 行动建议： 改善整个数据生命周期流程在全球范围内得到认可的合规性和监管体系。 信息技术产品和服务提供者不得在产品和服务中存在后门，非法获取用户数据，控制或操纵用户系统和设备。 信息技术企业不应利用用户对产品的忠诚度来谋取不当利益，强迫用户进行系统升级或更换。产品供应商承诺将产品的安全缺陷或漏洞及时告知合作伙伴和用户，并提出补救措施。 供应链安全是全球数字网络稳定运行的基础和关键设施，对促进网络互联互通和效益具有决定性意义。网络安全漏洞是供应链安全的重要风险，一般和基础网络应用的漏洞管理应被视为全球公共产品，应通过协调的方式降低安全漏洞的网络风险，整体而不是局部，普遍而不是不同。 第3章|云安全联盟大中华区简介 云安全联盟(CSA)是网络安全领域的国际技术标准组织,于2009年正式成立,致力于定义和提升业界对云计算和下一代数字技术安全最佳实践的理解,推动数字技术和安全产业的发展。 国际云安全联盟大中华区（CSAGCR）作为CSA的四个全球区域之一（其他区域为美洲、亚太和欧洲-非洲地区），于2016年在香港正式注册，并于2021年在工业部和 中国信息化、公安部、互联网信息化办公室,是我国第一个也是唯一一个在网络安全领域注册、注册的国际性非政府组织。 CSA研究所是CSA保持领先和权威地位的核心竞争力，其研究的敏捷性、专业性和诚信度得到了业界的认可。研究院下设83个研究工作组,开展云计算和下一代数字技术安全的综合研究。研究所输出500多项研究成果,6万多名注册专家和13万名社区专业人员。 CSAGCR共12个研究工作组，在云安全、物联网安全、数据安全、零信任、隐私技术,以及国内1000多名注册专家,包括院士、教授、事业单位专家、科研人员、企业技术高管、安全专家等工作10年以上的专家。 CSASECsember是最大的国际云安全会议。CSAGCR大会，EMEA大会和APAC大会是所有地区的重要会议。 3.1|CSA发布标准 编号标准名称标准类型 1云控制矩阵(CCM)国际标准 云安全能力成熟度模型 3 集成评估指南（CS-CMMI） 行业标准 4软件定义周界(SDP)规范国际标准 云应用安全技术 5 (CAST) 规范 云计算安全技术 2 要求(CSTR) 行业标准行业标准 7物联网(IOT)安全规范行业标准 8信息安全基本测试基准of行业标准 云Native安全技术 6 (CNST)规范 行业标准 移动应用程序 9智能合约安全技术规范行业标准 10零信任成熟度模型行业标准 3.2|CSA发布课程 云安全知识证书(CCSK) 高级云安全专家(ACSE) 认证云渗透测试专业人员(CCPTP) 高级云安全从业者(ACSP) 云审计知识证书(CCAK) 认证云安全管理专业人员(CCSMP) 认证零信任专业人员(CZTP) 认证区块链专业人员(CBP) 认证数据安全专业人员(CDSP) 认证数据保护官(CDPO) GDPR首席审计员 Acknowledgement 联合国副秘书长兼秘书长科学和技术特使AmadeepSighGill支持并指导加委GCR参与这项工作。科学和技术促进发展委员会主席、联合国数字安全联盟名誉主席彼得·梅杰支持并指导CSAGCR开展数字安全工作。市政协社会和法制委员会副主任、中国交友协会会长陈志敏支持和指导CSAGCR开展数据安全研究。网信办、工业和信息化部、公安部及相关部门领导支持和指导GCR的发展,联盟成员单位和专家积极参与并大力支持GCR的研究工作。 全球数字契约提案编委会成员：李宇航、吕丽晓、贾良玉、郭鹏程、徐木弟、陈本峰、张苗、袁浩、顾伟、欧建军、史宇航、王雨蒙、叶晓倩、张文娟