《信息安全技术大数据安全管理指南》.doc

发布时间：2022-06-06 发布人：admin 分类：说明书资料大小：0.92M 资料格式：doc 举报版权申诉

qq_30607279-12250797-4744300845373802266.doc.pdf-第1页.png

第1页 / 共20页

qq_30607279-12250797-4744300845373802266.doc.pdf-第2页.png

第2页 / 共20页

qq_30607279-12250797-4744300845373802266.doc.pdf-第3页.png

第3页 / 共20页

qq_30607279-12250797-4744300845373802266.doc.pdf-第4页.png

第4页 / 共20页

qq_30607279-12250797-4744300845373802266.doc.pdf-第5页.png

第5页 / 共20页

qq_30607279-12250797-4744300845373802266.doc.pdf-第6页.png

第6页 / 共20页

qq_30607279-12250797-4744300845373802266.doc.pdf-第7页.png

第7页 / 共20页

qq_30607279-12250797-4744300845373802266.doc.pdf-第8页.png

第8页 / 共20页

前　　言

引　　言

信息安全技术大数据安全管理指南

1　范围

2　规范性引用文件

3　术语和定义

3.1　大数据 big data

3.2　组织 organization

3.3　大数据平台　big data platform

3.4　大数据环境 big data environment

3.5　大数据活动 big data activity

4　大数据安全管理概述

4.1　大数据安全管理目标

4.2　大数据安全管理的主要内容

4.3　大数据安全管理角色及责任

5　大数据安全管理基本原则

5.1　职责明确

5.2　安全合规

5.3　质量保障

5.4　数据最小化

5.5　责任不随数据转移

5.6　最小授权

5.7　确保安全

5.8　可审计

6　大数据安全需求

6.1　保密性

6.2　完整性

6.3　可用性

6.4　其他需求

7　数据分类分级

7.1　数据分类分级原则

7.2　数据分类分级流程

7.3　数据分类方法

7.4　数据分级方法

8　大数据活动及安全要求

8.1　大数据的主要活动

8.2　数据采集

8.3　数据存储

8.4　数据处理

8.5　数据分发

8.6　数据删除

9　评估大数据安全风险

9.1　概述

9.2　资产识别

9.3　威胁识别

9.4　脆弱性识别

9.5　已有安全措施确认

9.6　风险分析

附　录　A（资料性附录）

A.1　数据分类

A.2　数据分级

附　录　B（资料性附录）

附　录　C（资料性附录）

参考文献

ICS 点击此处添加 ICS 号点击此处添加中国标准文献分类号中华人民共和国国家标准 GB/T XXXXX—XXXX 信息安全技术大数据安全管理指南 Information Security Technology —— Big Data Security Management Guide 点击此处添加与国际标准一致性程度的标识（报批稿）（本稿完成日期：2018 年 2 月 20 日） XXXX - XX - XX 发布 XXXX - XX - 实施

GB/T XXXXX—XXXX 目次前引言 ............................................................................ III 言 ............................................................................. IV 1 范围 ................................................................................ 1 2 规范性引用文件 ...................................................................... 1 3 术语和定义 .......................................................................... 1 4 大数据安全管理概述 .................................................................. 2 4.1 大数据安全管理目标 .............................................................. 2 4.2 大数据安全管理的主要内容 ........................................................ 2 4.3 大数据安全管理角色及责任 ........................................................ 2 5 大数据安全管理基本原则 .............................................................. 3 5.1 职责明确 ........................................................................ 3 5.2 安全合规 ........................................................................ 3 5.3 质量保障 ........................................................................ 3 5.4 数据最小化 ...................................................................... 4 5.5 责任不随数据转移 ................................................................ 4 5.6 最小授权 ........................................................................ 4 5.7 确保安全 ........................................................................ 4 5.8 可审计 .......................................................................... 4 6 大数据安全需求 ...................................................................... 4 6.1 保密性 .......................................................................... 4 6.2 完整性 .......................................................................... 5 6.3 可用性 .......................................................................... 5 6.4 其他需求 ........................................................................ 5 7 数据分类分级 ........................................................................ 5 7.1 数据分类分级原则 ................................................................ 5 7.2 数据分类分级流程 ................................................................ 5 7.3 数据分类方法 .................................................................... 6 7.4 数据分级方法 .................................................................... 6 8 大数据活动及安全要求 ................................................................ 6 8.1 大数据的主要活动 ................................................................ 6 8.2 数据采集 ........................................................................ 7 8.3 数据存储 ........................................................................ 7 8.4 数据处理 ........................................................................ 8 8.5 数据分发 ........................................................................ 8 8.6 数据删除 ........................................................................ 9 9 评估大数据安全风险 .................................................................. 9 9.1 概述 ............................................................................ 9 I

GB/T XXXXX—XXXX 9.2 资产识别 ........................................................................ 9 9.3 威胁识别 ....................................................................... 10 9.4 脆弱性识别 ..................................................................... 10 9.5 已有安全措施确认 ............................................................... 10 9.6 风险分析 ....................................................................... 10 附录 A （资料性附录）电信行业数据分类分级示例 ..................................... 11 附录 B （资料性附录）生命科学大数据风险分析示例 ................................... 13 附录 C （资料性附录）大数据安全风险 ............................................... 14 参考文献 ............................................................................. 15 II

GB/T XXXXX—XXXX 前言本标准按照 GB/T 1.1—2009《标准化工作导则第 1 部分：标准的结构和编写》给出的规则起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：四川大学、中国电子技术标准化研究院、清华大学、中国移动有限公司、深圳市腾讯计算机系统有限公司、阿里云计算有限公司、广州赛宝认证中心服务有限公司、中电长城网际系统应用有限公司、腾讯云计算（北京）有限责任公司、华为技术有限公司、成都超级计算中心有限公司、陕西省信息化工程研究院、北京奇虎科技有限公司、北京奇安信科技有限公司、银联智慧信息服务（上海）有限公司、北京华宇软件股份有限公司、中国电子科技网络信息安全有限公司等单位。本标准主要起草人：陈兴蜀、罗永刚、叶晓俊、上官晓丽、叶润国、杨露、金涛、闵京华、常玲、陈雪秀、胡影、代威、刘小茵、杨思磊、王文贤、李克鹏、赵蓓、王永霞、何军、张丽佳、张勇、郑新华、王建波、金睿、高冀鹏、彭凝多。 III

GB/T XXXXX—XXXX 引言大数据技术的发展和应用影响着国家的治理模式、企业的决策架构、商业的业务模式以及个人的生活方式。我国大数据仍处于起步发展阶段，各地发展大数据积极性高，行业应用得到快速推广，市场规模迅速扩大。在面向大量用户的应用和服务中，数据采集者希望能获得更多的信息，以提供更加丰富、高效的个性化服务。随着数据的聚集和应用，数据价值不断提升。而伴随大量数据集中，新技术不断涌现和应用，使数据面临新的安全风险，大数据安全受到高度重视。目前拥有大量数据的组织的管理和技术水平参差不齐，有不少组织缺乏技术、运维等方面的专业安全人员，容易因数据平台和计算平台的脆弱性遭受网络攻击，导致数据泄露。在大数据的生命周期中，将有不同的组织对数据做出不同的操作，关键是要加强掌握数据的组织的技术和管理能力的建设，加强数据采集、存储、处理、分发等环节的技术和管理措施，使组织从管理和技术上有效保护数据，使数据的安全风险可控。本标准指导拥有、处理大数据的企业、事业单位、政府部门等组织做好大数据的安全管理、风险评估等工作，有效、安全地应用大数据，采用有效技术和管理措施保障数据安全。 IV

GB/T XXXXX—XXXX 信息安全技术大数据安全管理指南 1 范围本标准提出了大数据安全管理基本原则，指导组织开展大数据安全需求分析、数据分类分级、大数据活动和风险评估等安全管理工作。本标准适用于各类组织进行数据安全管理，也可供第三方评估机构参考。 2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 7072—2002 信息分类和编码的基本原则与方法 GB/T 25069—2010 信息安全技术术语 GB/T 31167—2014 信息安全技术云计算服务安全指南 GB/T 35274—2017 信息安全技术大数据服务安全能力要求 GB/T 35295—2017 信息技术大数据术语 3 术语和定义 GB/T 25069—2010，GB/T 35295—2017，GB/T 20984-2007中界定的以及下列术语和定义适用于本文件。 3.1 大数据 big data 具有数量巨大、种类多样、流动速度快、特征多变等特性，并且难以用传统数据体系结构和数据处理技术进行有效组织、存储、计算、分析和管理的数据集。 3.2 组织 organization 由作用不同的个体为实施共同的业务目标而建立的结构。组织可以是一个企业、事业单位、政府部门等。 3.3 大数据平台 big data platform 采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件集合，包括监视大数据的存储、输入/输出、操作控制等大数据服务软硬件基础设施。 1

GB/T XXXXX—XXXX 3.4 3.5 等。大数据环境 big data environment 开展大数据活动所涉及的数据、平台、规程及人员等的要素集合。大数据活动 big data activity 组织针对大数据开展的一组特定任务的集合，大数据活动主要包括采集、存储、处理、分发、删除 4 大数据安全管理概述 4.1 大数据安全管理目标组织实现大数据价值的同时，确保数据安全。组织应： a) 满足个人信息保护和数据保护的法律法规、标准等要求； b) 满足大数据相关方的数据保护要求； c) 通过技术和管理手段，保证自身控制和管理的数据安全风险可控。 4.2 大数据安全管理的主要内容大数据安全管理主要包含以下内容： a) 明确数据安全需求。组织应分析大数据环境下数据的保密性、完整性和可用性所面临的新问题，分析大数据活动可能对国家安全、社会影响、公共利益、个人的生命财产安全等造成的影响，并明确解决这些问题和影响的数据安全需求。 b) 数据分类分级。组织应先对数据进行分类分级，根据不同的数据分级选择适当的安全措施。 c) 明确大数据活动安全要求。组织应理解主要大数据活动的特点，可能涉及的数据操作，并明确各大数据活动的安全要求。 d) 评估大数据安全风险。组织除开展信息系统安全风险评估外，还应从大数据环境潜在的系统的脆弱点、恶意利用、后果等不利因素，以及应对措施等评估大数据安全风险。 4.3 大数据安全管理角色及责任 4.3.1 概述组织应建立大数据安全管理组织架构，根据组织的规模、大数据平台的数据量、业务发展及规划等明确不同角色及其职责，至少包含以下角色： a) 大数据安全管理者：对组织大数据安全负责的个人或团队。大数据安全管理者负责数据安全相关领域和环节的决策，制定并审议数据安全相关制度，监督执行和组织落实业务部门数据安全相关工作。 b) 大数据安全执行者：是执行组织数据安全相关工作的个人或团队。大数据安全执行者负责数据安全相关领域和环节工作的执行，制定数据安全相关细则，落实各项安全措施，配合大数据安全管理者开展各项工作。 c) 大数据安全审计者：负责大数据审计相关工作的个人或团队。大数据安全审计者对安全策略的适当性进行评价，帮助检测安全违规，并生成安全审计报告。 4.3.2 大数据安全管理者的职责 2

GB/T XXXXX—XXXX 大数据安全管理者的具体职责有： a) 确定数据的分类分级初始值，制定数据分类分级指南。与提供大数据的业务部门合作，确定数据的安全级别； b) 综合考虑法律法规、政策、标准、大数据分析技术水平、组织所处行业特殊性等因素，评估数据安全风险，制定数据安全基本要求； c) 对数据访问进行授权，包括授权给组织内部的业务部门、外部组织等； d) 建立相应的数据安全管理监督机制，监视数据安全管理机制的有效性； e) 负责组织的大数据安全管理过程，并对外部相关方（如：数据安全的主管部门、数据主体等）负责。 4.3.3 大数据安全执行者的职责大数据安全执行者的主要职责有： a) 根据大数据安全管理者的要求实施安全措施； b) 为大数据安全管理者授权的相关方分配数据访问权限和机制； c) 配合大数据安全管理者处置安全事件； d) 记录数据活动的相关日志。 4.3.4 大数据安全审计者的职责大数据安全审计者的主要职责有： a) 审核数据活动的主体、操作及对象等数据相关属性，确保数据活动的过程和相关操作符合安全要求； b) 定期审核数据的使用情况。 5 大数据安全管理基本原则 5.1 职责明确组织应明确不同角色和其大数据活动的安全责任。组织应： a) 设立大数据安全管理者。根据组织使命、数据规模与价值、组织业务等因素，组织应明确担任大数据安全管理者角色的人员或部门，可由业务负责人、法律法规专家、IT安全专家、数据安全专家组成，为组织的数据及其应用安全负责； b) 明确角色的安全职责。组织应明确大数据安全管理者，大数据安全执行者，大数据安全审计者，以及数据安全相关的其他角色的安全职责； c) 明确主要活动的实施主体。组织应明确大数据主要活动的实施主体及安全责任。 5.2 安全合规组织应制定策略和规程确保数据的各项活动满足合规要求。组织应： a) 理解并遵从数据安全相关的法律法规、合同、标准等； b) 正确处理个人信息、重要数据； c) 实施了合理的跨组织数据保护的策略和实践。 5.3 质量保障组织在采集和处理数据的过程中应确保数据质量。组织应： a) 采取适当的措施确保数据的准确性、可用性、完整性和时效性； b) 建立数据纠错机制； 3

分享到：

赞收藏

资料库

《信息安全技术大数据安全管理指南》.doc

相关推荐

安全技术

热门标签

最新资料