1 范圍

      本標準提出了大數(shù)據(jù)安全管理基本原則，規(guī)定了大數(shù)據(jù)安全需求、數(shù)據(jù)分類分級、大數(shù)據(jù)活動的安全要求、評估大數(shù)據(jù)安全風險。

      本標準適用于各類組織進行數(shù)據(jù)安全管理，也可供第三方評估機構(gòu)參考。

2 規(guī)范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 7027-2002 信息分類和編碼的基本原則與方法

      GB/T 20984-2007 信息安全技術(shù) 信息安全風險評估規(guī)范

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 31167-2014 信息安全技術(shù) 云計算服務安全指南

      GB/T 35274-2017 信息安全技術(shù) 大數(shù)據(jù)服務安全能力要求

3 術(shù)語和定義

      GB/T 25069-2010、GB/T 20984-2007和GB/T 35274-2017 界定的以及下列術(shù)語和定義適用于本文件。

3.1

      大數(shù)據(jù) big data

      具有數(shù)量巨大、種類多樣、流動速度快、特征多變等特性，并且難以用傳統(tǒng)數(shù)據(jù)體系結(jié)構(gòu)和數(shù)據(jù)處理技術(shù)進行有效組織、存儲、計算、分析和管理的數(shù)據(jù)集。

3.2

      組織 organization

      由作用不同的個體為實施共同的業(yè)務目標而建立的結(jié)構(gòu)。

      注：組織可以是一個企業(yè)、事業(yè)單位、政府部門等。

3.3

      大數(shù)據(jù)平臺 big data platform

      采用分布式存儲和計算技術(shù)，提供大數(shù)據(jù)的訪問和處理，支持大數(shù)據(jù)應用安全高效運行的軟硬件集合。

3.4

      大數(shù)據(jù)環(huán)境 big data environment

      開展大數(shù)據(jù)活動所涉及的數(shù)據(jù)、平臺、規(guī)程及人員等的要素集合。

3.5

      大數(shù)據(jù)活動 big data activity

      組織針對大數(shù)據(jù)開展的一組特定任務的集合。

      注：大數(shù)據(jù)活動主要包括采集、存儲、處理、分發(fā)、刪除等活動。

4 大數(shù)據(jù)安全管理概述

4.1 大數(shù)據(jù)安全管理目標

      組織實現(xiàn)大數(shù)據(jù)價值的同時，確保數(shù)據(jù)安全。組織應：

      a）滿足個人信息保護和數(shù)據(jù)保護的法律法規(guī)、標準等要求；

      b）滿足大數(shù)據(jù)相關(guān)方的數(shù)據(jù)保護要求；

      c）通過技術(shù)和管理手段，保證自身控制和管理的數(shù)據(jù)安全風險可控。

4.2 大數(shù)據(jù)安全管理的主要內(nèi)容

      大數(shù)據(jù)安全管理主要包含以下內(nèi)容：

      a）明確數(shù)據(jù)安全需求。組織應分析大數(shù)據(jù)環(huán)境下數(shù)據(jù)的保密性、完整性和可用性所面臨的新問題，分析大數(shù)據(jù)活動可能對國家安全、社會影響、公共利益、個人的生命財產(chǎn)安全等造成的影響，并明確解決這些問題和影響的數(shù)據(jù)安全需求。

      b）數(shù)據(jù)分類分級。組織應先對數(shù)據(jù)進行分類分級，根據(jù)不同的數(shù)據(jù)分級選擇適當?shù)陌踩胧?/p>

      c）明確大數(shù)據(jù)活動安全要求。組織應理解主要大數(shù)據(jù)活動的特點，可能涉及的數(shù)據(jù)操作，并明確各大數(shù)據(jù)活動的安全要求。

      d）評估大數(shù)據(jù)安全風險。組織除開展信息系統(tǒng)安全風險評估外，還應從大數(shù)據(jù)環(huán)境潛在的系統(tǒng)的脆弱點、惡意利用、后果等不利因素，以及應對措施等評估大數(shù)據(jù)安全風險。

4.3 大數(shù)據(jù)安全管理角色及責任

4.3.1 概述

      組織應建立大數(shù)據(jù)安全管理組織架構(gòu)，根據(jù)組織的規(guī)模、大數(shù)據(jù)平臺的數(shù)據(jù)量、業(yè)務發(fā)展及規(guī)劃等明確不同角色及其職責，至少包含以下角色：

      a）大數(shù)據(jù)安全管理者：對組織大數(shù)據(jù)安全負責的個人或團隊。大數(shù)據(jù)安全管理者負責數(shù)據(jù)安全相關(guān)領(lǐng)域和環(huán)節(jié)的決策，制定并審議數(shù)據(jù)安全相關(guān)制度，監(jiān)督執(zhí)行和組織落實業(yè)務部門數(shù)據(jù)安全相關(guān)工作。

      b）大數(shù)據(jù)安全執(zhí)行者：是執(zhí)行組織數(shù)據(jù)安全相關(guān)工作的個人或團隊。大數(shù)據(jù)安全執(zhí)行者負責數(shù)據(jù)安全相關(guān)領(lǐng)域和環(huán)節(jié)工作的執(zhí)行，制定數(shù)據(jù)安全相關(guān)細則，落實各項安全措施，配合大數(shù)據(jù)安全管理者開展各項工作。

      c）大數(shù)據(jù)安全審計者：負責大數(shù)據(jù)審計相關(guān)工作的個人或團隊。大數(shù)據(jù)安全審計者對安全策略的適當性進行評價，幫助檢測安全違規(guī)，并生成安全審計報告。

4.3.2 大數(shù)據(jù)安全管理者的職責

      大數(shù)據(jù)安全管理者的具體職責有：

      a）確定數(shù)據(jù)的分類分級初始值，制定數(shù)據(jù)分類分級指南。與提供大數(shù)據(jù)的業(yè)務部門合作，確定數(shù)據(jù)的安全級別。

      b）綜合考慮法律法規(guī)、政策、標準、大數(shù)據(jù)分析技術(shù)水平、組織所處行業(yè)特殊性等因素，評估數(shù)據(jù)安全風險，制定數(shù)據(jù)安全基本要求。

      c）對數(shù)據(jù)訪問進行授權(quán)，包括授權(quán)給組織內(nèi)部的業(yè)務部門、外部組織等。

      d）建立相應的數(shù)據(jù)安全管理監(jiān)督機制，監(jiān)視數(shù)據(jù)安全管理機制的有效性。

      e）負責組織的大數(shù)據(jù)安全管理過程，并對外部相關(guān)方（如：數(shù)據(jù)安全的主管部門、數(shù)據(jù)主體等）

負責。

4.3.3 大數(shù)據(jù)安全執(zhí)行者的職責

      大數(shù)據(jù)安全執(zhí)行者的主要職責有：

      a）根據(jù)大數(shù)據(jù)安全管理者的要求實施安全措施；

      b）為大數(shù)據(jù)安全管理者授權(quán)的相關(guān)方分配數(shù)據(jù)訪問權(quán)限和機制；

      c）配合大數(shù)據(jù)安全管理者處置安全事件；

      d）記錄數(shù)據(jù)活動的相關(guān)日志。

4.3.4 大數(shù)據(jù)安全審計者的職責

      大數(shù)據(jù)安全審計者的主要職責有：

      a）審核數(shù)據(jù)活動的主體、操作及對象等數(shù)據(jù)相關(guān)屬性，確保數(shù)據(jù)活動的過程和相關(guān)操作符合安全要求；

      b）定期審核數(shù)據(jù)的使用情況。

5 大數(shù)據(jù)安全管理基本原則

5.1 職責明確

      組織應明確不同角色和其大數(shù)據(jù)活動的安全責任。組織應：

      a）設立大數(shù)據(jù)安全管理者。根據(jù)組織使命、數(shù)據(jù)規(guī)模與價值、組織業(yè)務等因素，組織應明確擔任大數(shù)據(jù)安全管理者角色的人員或部門，可由業(yè)務負責人、法律法規(guī)專家、IT安全專家、數(shù)據(jù)安全專家組成，為組織的數(shù)據(jù)及其應用安全負責。

      b）明確角色的安全職責。組織應明確大數(shù)據(jù)安全管理者，大數(shù)據(jù)安全執(zhí)行者，大數(shù)據(jù)安全審計者，以及數(shù)據(jù)安全相關(guān)的其他角色的安全職責。

      c）明確主要活動的實施主體。組織應明確大數(shù)據(jù)主要活動的實施主體及安全責任。

5.2 安全合規(guī)

      組織應制定策略和規(guī)程確保數(shù)據(jù)的各項活動滿足合規(guī)要求。組織應：

      a）理解并遵從數(shù)據(jù)安全相關(guān)的法律法規(guī)、合同、標準等；

      b）正確處理個人信息、重要數(shù)據(jù)；

      c）實施了合理的跨組織數(shù)據(jù)保護的策略和實踐。

5.3 質(zhì)量保障

      組織在采集和處理數(shù)據(jù)的過程中應確保數(shù)據(jù)質(zhì)量。組織應：

      a）采取適當?shù)拇胧┐_保數(shù)據(jù)的準確性、可用性、完整性和時效性；

      b）建立數(shù)據(jù)糾錯機制；

      c）建立定期檢查數(shù)據(jù)質(zhì)量的機制。

5.4 數(shù)據(jù)最小化

      組織應保證只采集和處理滿足目的所需的最小數(shù)據(jù)。組織應：

      a）在采集數(shù)據(jù)前，明確數(shù)據(jù)的使用目的及所需數(shù)據(jù)范圍。

      b）提供適當?shù)墓芾砗图夹g(shù)措施保證只采集和處理與目的相關(guān)的數(shù)據(jù)項和數(shù)據(jù)量。

以上為標準部分內(nèi)容，如需看標準全文，請到相關(guān)授權(quán)網(wǎng)站購買標準正版。