1 范圍

      本標(biāo)準(zhǔn)提出了大數(shù)據(jù)安全管理基本原則，規(guī)定了大數(shù)據(jù)安全需求、數(shù)據(jù)分類分級、大數(shù)據(jù)活動的安全要求、評估大數(shù)據(jù)安全風(fēng)險(xiǎn)。

      本標(biāo)準(zhǔn)適用于各類組織進(jìn)行數(shù)據(jù)安全管理，也可供第三方評估機(jī)構(gòu)參考。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 7027-2002 信息分類和編碼的基本原則與方法

      GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 31167-2014 信息安全技術(shù) 云計(jì)算服務(wù)安全指南

      GB/T 35274-2017 信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求

3 術(shù)語和定義

      GB/T 25069-2010、GB/T 20984-2007和GB/T 35274-2017 界定的以及下列術(shù)語和定義適用于本文件。

3.1

      大數(shù)據(jù) big data

      具有數(shù)量巨大、種類多樣、流動速度快、特征多變等特性，并且難以用傳統(tǒng)數(shù)據(jù)體系結(jié)構(gòu)和數(shù)據(jù)處理技術(shù)進(jìn)行有效組織、存儲、計(jì)算、分析和管理的數(shù)據(jù)集。

3.2

      組織 organization

      由作用不同的個(gè)體為實(shí)施共同的業(yè)務(wù)目標(biāo)而建立的結(jié)構(gòu)。

      注：組織可以是一個(gè)企業(yè)、事業(yè)單位、政府部門等。

3.3

      大數(shù)據(jù)平臺 big data platform

      采用分布式存儲和計(jì)算技術(shù)，提供大數(shù)據(jù)的訪問和處理，支持大數(shù)據(jù)應(yīng)用安全高效運(yùn)行的軟硬件集合。

3.4

      大數(shù)據(jù)環(huán)境 big data environment

      開展大數(shù)據(jù)活動所涉及的數(shù)據(jù)、平臺、規(guī)程及人員等的要素集合。

3.5

      大數(shù)據(jù)活動 big data activity

      組織針對大數(shù)據(jù)開展的一組特定任務(wù)的集合。

      注：大數(shù)據(jù)活動主要包括采集、存儲、處理、分發(fā)、刪除等活動。

4 大數(shù)據(jù)安全管理概述

4.1 大數(shù)據(jù)安全管理目標(biāo)

      組織實(shí)現(xiàn)大數(shù)據(jù)價(jià)值的同時(shí)，確保數(shù)據(jù)安全。組織應(yīng)：

      a）滿足個(gè)人信息保護(hù)和數(shù)據(jù)保護(hù)的法律法規(guī)、標(biāo)準(zhǔn)等要求；

      b）滿足大數(shù)據(jù)相關(guān)方的數(shù)據(jù)保護(hù)要求；

      c）通過技術(shù)和管理手段，保證自身控制和管理的數(shù)據(jù)安全風(fēng)險(xiǎn)可控。

4.2 大數(shù)據(jù)安全管理的主要內(nèi)容

      大數(shù)據(jù)安全管理主要包含以下內(nèi)容：

      a）明確數(shù)據(jù)安全需求。組織應(yīng)分析大數(shù)據(jù)環(huán)境下數(shù)據(jù)的保密性、完整性和可用性所面臨的新問題，分析大數(shù)據(jù)活動可能對國家安全、社會影響、公共利益、個(gè)人的生命財(cái)產(chǎn)安全等造成的影響，并明確解決這些問題和影響的數(shù)據(jù)安全需求。

      b）數(shù)據(jù)分類分級。組織應(yīng)先對數(shù)據(jù)進(jìn)行分類分級，根據(jù)不同的數(shù)據(jù)分級選擇適當(dāng)?shù)陌踩胧?/p>

      c）明確大數(shù)據(jù)活動安全要求。組織應(yīng)理解主要大數(shù)據(jù)活動的特點(diǎn)，可能涉及的數(shù)據(jù)操作，并明確各大數(shù)據(jù)活動的安全要求。

      d）評估大數(shù)據(jù)安全風(fēng)險(xiǎn)。組織除開展信息系統(tǒng)安全風(fēng)險(xiǎn)評估外，還應(yīng)從大數(shù)據(jù)環(huán)境潛在的系統(tǒng)的脆弱點(diǎn)、惡意利用、后果等不利因素，以及應(yīng)對措施等評估大數(shù)據(jù)安全風(fēng)險(xiǎn)。

4.3 大數(shù)據(jù)安全管理角色及責(zé)任

4.3.1 概述

      組織應(yīng)建立大數(shù)據(jù)安全管理組織架構(gòu)，根據(jù)組織的規(guī)模、大數(shù)據(jù)平臺的數(shù)據(jù)量、業(yè)務(wù)發(fā)展及規(guī)劃等明確不同角色及其職責(zé)，至少包含以下角色：

      a）大數(shù)據(jù)安全管理者：對組織大數(shù)據(jù)安全負(fù)責(zé)的個(gè)人或團(tuán)隊(duì)。大數(shù)據(jù)安全管理者負(fù)責(zé)數(shù)據(jù)安全相關(guān)領(lǐng)域和環(huán)節(jié)的決策，制定并審議數(shù)據(jù)安全相關(guān)制度，監(jiān)督執(zhí)行和組織落實(shí)業(yè)務(wù)部門數(shù)據(jù)安全相關(guān)工作。

      b）大數(shù)據(jù)安全執(zhí)行者：是執(zhí)行組織數(shù)據(jù)安全相關(guān)工作的個(gè)人或團(tuán)隊(duì)。大數(shù)據(jù)安全執(zhí)行者負(fù)責(zé)數(shù)據(jù)安全相關(guān)領(lǐng)域和環(huán)節(jié)工作的執(zhí)行，制定數(shù)據(jù)安全相關(guān)細(xì)則，落實(shí)各項(xiàng)安全措施，配合大數(shù)據(jù)安全管理者開展各項(xiàng)工作。

      c）大數(shù)據(jù)安全審計(jì)者：負(fù)責(zé)大數(shù)據(jù)審計(jì)相關(guān)工作的個(gè)人或團(tuán)隊(duì)。大數(shù)據(jù)安全審計(jì)者對安全策略的適當(dāng)性進(jìn)行評價(jià)，幫助檢測安全違規(guī)，并生成安全審計(jì)報(bào)告。

4.3.2 大數(shù)據(jù)安全管理者的職責(zé)

      大數(shù)據(jù)安全管理者的具體職責(zé)有：

      a）確定數(shù)據(jù)的分類分級初始值，制定數(shù)據(jù)分類分級指南。與提供大數(shù)據(jù)的業(yè)務(wù)部門合作，確定數(shù)據(jù)的安全級別。

      b）綜合考慮法律法規(guī)、政策、標(biāo)準(zhǔn)、大數(shù)據(jù)分析技術(shù)水平、組織所處行業(yè)特殊性等因素，評估數(shù)據(jù)安全風(fēng)險(xiǎn)，制定數(shù)據(jù)安全基本要求。

      c）對數(shù)據(jù)訪問進(jìn)行授權(quán)，包括授權(quán)給組織內(nèi)部的業(yè)務(wù)部門、外部組織等。

      d）建立相應(yīng)的數(shù)據(jù)安全管理監(jiān)督機(jī)制，監(jiān)視數(shù)據(jù)安全管理機(jī)制的有效性。

      e）負(fù)責(zé)組織的大數(shù)據(jù)安全管理過程，并對外部相關(guān)方（如：數(shù)據(jù)安全的主管部門、數(shù)據(jù)主體等）

負(fù)責(zé)。

4.3.3 大數(shù)據(jù)安全執(zhí)行者的職責(zé)

      大數(shù)據(jù)安全執(zhí)行者的主要職責(zé)有：

      a）根據(jù)大數(shù)據(jù)安全管理者的要求實(shí)施安全措施；

      b）為大數(shù)據(jù)安全管理者授權(quán)的相關(guān)方分配數(shù)據(jù)訪問權(quán)限和機(jī)制；

      c）配合大數(shù)據(jù)安全管理者處置安全事件；

      d）記錄數(shù)據(jù)活動的相關(guān)日志。

4.3.4 大數(shù)據(jù)安全審計(jì)者的職責(zé)

      大數(shù)據(jù)安全審計(jì)者的主要職責(zé)有：

      a）審核數(shù)據(jù)活動的主體、操作及對象等數(shù)據(jù)相關(guān)屬性，確保數(shù)據(jù)活動的過程和相關(guān)操作符合安全要求；

      b）定期審核數(shù)據(jù)的使用情況。

5 大數(shù)據(jù)安全管理基本原則

5.1 職責(zé)明確

      組織應(yīng)明確不同角色和其大數(shù)據(jù)活動的安全責(zé)任。組織應(yīng)：

      a）設(shè)立大數(shù)據(jù)安全管理者。根據(jù)組織使命、數(shù)據(jù)規(guī)模與價(jià)值、組織業(yè)務(wù)等因素，組織應(yīng)明確擔(dān)任大數(shù)據(jù)安全管理者角色的人員或部門，可由業(yè)務(wù)負(fù)責(zé)人、法律法規(guī)專家、IT安全專家、數(shù)據(jù)安全專家組成，為組織的數(shù)據(jù)及其應(yīng)用安全負(fù)責(zé)。

      b）明確角色的安全職責(zé)。組織應(yīng)明確大數(shù)據(jù)安全管理者，大數(shù)據(jù)安全執(zhí)行者，大數(shù)據(jù)安全審計(jì)者，以及數(shù)據(jù)安全相關(guān)的其他角色的安全職責(zé)。

      c）明確主要活動的實(shí)施主體。組織應(yīng)明確大數(shù)據(jù)主要活動的實(shí)施主體及安全責(zé)任。

5.2 安全合規(guī)

      組織應(yīng)制定策略和規(guī)程確保數(shù)據(jù)的各項(xiàng)活動滿足合規(guī)要求。組織應(yīng)：

      a）理解并遵從數(shù)據(jù)安全相關(guān)的法律法規(guī)、合同、標(biāo)準(zhǔn)等；

      b）正確處理個(gè)人信息、重要數(shù)據(jù)；

      c）實(shí)施了合理的跨組織數(shù)據(jù)保護(hù)的策略和實(shí)踐。

5.3 質(zhì)量保障

      組織在采集和處理數(shù)據(jù)的過程中應(yīng)確保數(shù)據(jù)質(zhì)量。組織應(yīng)：

      a）采取適當(dāng)?shù)拇胧┐_保數(shù)據(jù)的準(zhǔn)確性、可用性、完整性和時(shí)效性；

      b）建立數(shù)據(jù)糾錯(cuò)機(jī)制；

      c）建立定期檢查數(shù)據(jù)質(zhì)量的機(jī)制。

5.4 數(shù)據(jù)最小化

      組織應(yīng)保證只采集和處理滿足目的所需的最小數(shù)據(jù)。組織應(yīng)：

      a）在采集數(shù)據(jù)前，明確數(shù)據(jù)的使用目的及所需數(shù)據(jù)范圍。

      b）提供適當(dāng)?shù)墓芾砗图夹g(shù)措施保證只采集和處理與目的相關(guān)的數(shù)據(jù)項(xiàng)和數(shù)據(jù)量。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。