GB/T 37973-2019 信息安全技术 大数据安全管理指南

1 范围

      本标准提出了大数据安全管理基本原则，规定了大数据安全需求、数据分类分级、大数据活动的安全要求、评估大数据安全风险。

      本标准适用于各类组织进行数据安全管理，也可供第三方评估机构参考。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 7027-2002 信息分类和编码的基本原则与方法

      GB/T 20984-2007 信息安全技术 信息安全风险评估规范

      GB/T 25069-2010 信息安全技术 术语

      GB/T 31167-2014 信息安全技术 云计算服务安全指南

      GB/T 35274-2017 信息安全技术 大数据服务安全能力要求

3 术语和定义

      GB/T 25069-2010、GB/T 20984-2007和GB/T 35274-2017 界定的以及下列术语和定义适用于本文件。

3.1

      大数据 big data

      具有数量巨大、种类多样、流动速度快、特征多变等特性，并且难以用传统数据体系结构和数据处理技术进行有效组织、存储、计算、分析和管理的数据集。

3.2

      组织 organization

      由作用不同的个体为实施共同的业务目标而建立的结构。

      注：组织可以是一个企业、事业单位、政府部门等。

3.3

      大数据平台 big data platform

      采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件集合。

3.4

      大数据环境 big data environment

      开展大数据活动所涉及的数据、平台、规程及人员等的要素集合。

3.5

      大数据活动 big data activity

      组织针对大数据开展的一组特定任务的集合。

      注：大数据活动主要包括采集、存储、处理、分发、删除等活动。

4 大数据安全管理概述

4.1 大数据安全管理目标

      组织实现大数据价值的同时，确保数据安全。组织应：

      a）满足个人信息保护和数据保护的法律法规、标准等要求；

      b）满足大数据相关方的数据保护要求；

      c）通过技术和管理手段，保证自身控制和管理的数据安全风险可控。

4.2 大数据安全管理的主要内容

      大数据安全管理主要包含以下内容：

      a）明确数据安全需求。组织应分析大数据环境下数据的保密性、完整性和可用性所面临的新问题，分析大数据活动可能对国家安全、社会影响、公共利益、个人的生命财产安全等造成的影响，并明确解决这些问题和影响的数据安全需求。

      b）数据分类分级。组织应先对数据进行分类分级，根据不同的数据分级选择适当的安全措施。

      c）明确大数据活动安全要求。组织应理解主要大数据活动的特点，可能涉及的数据操作，并明确各大数据活动的安全要求。

      d）评估大数据安全风险。组织除开展信息系统安全风险评估外，还应从大数据环境潜在的系统的脆弱点、恶意利用、后果等不利因素，以及应对措施等评估大数据安全风险。

4.3 大数据安全管理角色及责任

4.3.1 概述

      组织应建立大数据安全管理组织架构，根据组织的规模、大数据平台的数据量、业务发展及规划等明确不同角色及其职责，至少包含以下角色：

      a）大数据安全管理者：对组织大数据安全负责的个人或团队。大数据安全管理者负责数据安全相关领域和环节的决策，制定并审议数据安全相关制度，监督执行和组织落实业务部门数据安全相关工作。

      b）大数据安全执行者：是执行组织数据安全相关工作的个人或团队。大数据安全执行者负责数据安全相关领域和环节工作的执行，制定数据安全相关细则，落实各项安全措施，配合大数据安全管理者开展各项工作。

      c）大数据安全审计者：负责大数据审计相关工作的个人或团队。大数据安全审计者对安全策略的适当性进行评价，帮助检测安全违规，并生成安全审计报告。

4.3.2 大数据安全管理者的职责

      大数据安全管理者的具体职责有：

      a）确定数据的分类分级初始值，制定数据分类分级指南。与提供大数据的业务部门合作，确定数据的安全级别。

      b）综合考虑法律法规、政策、标准、大数据分析技术水平、组织所处行业特殊性等因素，评估数据安全风险，制定数据安全基本要求。

      c）对数据访问进行授权，包括授权给组织内部的业务部门、外部组织等。

      d）建立相应的数据安全管理监督机制，监视数据安全管理机制的有效性。

      e）负责组织的大数据安全管理过程，并对外部相关方（如：数据安全的主管部门、数据主体等）

负责。

4.3.3 大数据安全执行者的职责

      大数据安全执行者的主要职责有：

      a）根据大数据安全管理者的要求实施安全措施；

      b）为大数据安全管理者授权的相关方分配数据访问权限和机制；

      c）配合大数据安全管理者处置安全事件；

      d）记录数据活动的相关日志。

4.3.4 大数据安全审计者的职责

      大数据安全审计者的主要职责有：

      a）审核数据活动的主体、操作及对象等数据相关属性，确保数据活动的过程和相关操作符合安全要求；

      b）定期审核数据的使用情况。

5 大数据安全管理基本原则

5.1 职责明确

      组织应明确不同角色和其大数据活动的安全责任。组织应：

      a）设立大数据安全管理者。根据组织使命、数据规模与价值、组织业务等因素，组织应明确担任大数据安全管理者角色的人员或部门，可由业务负责人、法律法规专家、IT安全专家、数据安全专家组成，为组织的数据及其应用安全负责。

      b）明确角色的安全职责。组织应明确大数据安全管理者，大数据安全执行者，大数据安全审计者，以及数据安全相关的其他角色的安全职责。

      c）明确主要活动的实施主体。组织应明确大数据主要活动的实施主体及安全责任。

5.2 安全合规

      组织应制定策略和规程确保数据的各项活动满足合规要求。组织应：

      a）理解并遵从数据安全相关的法律法规、合同、标准等；

      b）正确处理个人信息、重要数据；

      c）实施了合理的跨组织数据保护的策略和实践。

5.3 质量保障

      组织在采集和处理数据的过程中应确保数据质量。组织应：

      a）采取适当的措施确保数据的准确性、可用性、完整性和时效性；

      b）建立数据纠错机制；

      c）建立定期检查数据质量的机制。

5.4 数据最小化

      组织应保证只采集和处理满足目的所需的最小数据。组织应：

      a）在采集数据前，明确数据的使用目的及所需数据范围。

      b）提供适当的管理和技术措施保证只采集和处理与目的相关的数据项和数据量。

以上为标准部分内容，如需看标准全文，请到相关授权网站购买标准正版。