國家標準《信息安全技術 大數據安全管理指南》征求意見稿全文
責編:mhshi |2017-05-26 10:54:462017年5月24日,全國信息安全標準化技術委員會發布國家標準《信息安全技術 大數據安全管理指南》征求意見稿,征求意見截止日期為2017年7月7日。以下是征求意見稿全文。
聯系人:許玉娜???xuyuna@cesi.cn?? 010—64102731
標準文本:信息安全技術 大數據安全管理指南(點擊下載)
編制說明:
《信息安全技術?大數據安全管理指南》
(征求意見稿)編制說明
- 任務來源
在2016年6月15日會議上,經過云計算及大數據特別工作組討論并一致同意,編制《信息安全技術 大數據安全管理指南》,并由四川大學負責,中國電子技術標準化研究院、中國移動有限公司、深圳市騰訊計算機系統有限公司、清華大學、阿里云計算有限公司、廣州賽寶認證中心服務有限公司、中電長城網際系統應用有限公司、華為技術有限公司、成都超級計算中心有限公司、陜西省信息化工程研究院、銀聯智慧信息服務(上海)有限公司、北京華宇軟件股份有限公司、中國電子科技網絡信息安全有限公司等單位參與,組成編制工作組開展該規范的編寫工作。
- 編制原則
《信息安全技術 大數據安全管理指南》的編制原則是:
- a) 安全性:
通過分析大數據安全風險,制定大數據各個環境的安全指南,確保各個角色安全責任,確保大數據安全,特別關注數據轉移時的安全。
- b) 實用性:
大數據分析可以推動創新,同時可以提升公共部門的服務質量。通過制定大數據安全指南可以為政府部門共享大數據提供指導,確保共享數據安全,從而推動數據開發和共享前進。
- c) 統一性:
本指南與大數據其他標準構成大數據安全保護標準體系。
- 主要工作過程
- 標準修訂的主要工作過程如下:
- 2016年3-4月,開展前期研究工作,組建標準編制項目組。
- 2016年6月15日,大數據特別工作組就《大數據安全指南》標準申請進行答辯,一致同意制定該標準。
- 2016年8月16日,“指南”編制組在成都市星辰航都國際酒店召開研討會,就標準編制思路進行探討,形成若干共識。
- 2016年8-10月,編制組分別研究標準參考資料,如對NIST、ISO/IEC等大數據相關標準進行研讀,提取與標準相關的內容。
- 2016年10月,編制組完成標準草案初稿。
- 2016年10月,全國信息安全標準化技術委員會2016年第一次會議周匯報標準進展。
- 2016年10月18日,標準編制組與“大數據平臺安全能力要求”編制組召開研討會。
- 2016年12月27日,在北京應物會議中心第10會議室召開標準研討會。
- 2017年3月25日,在北京應物會議中心A座第一會議室召開標準研討會。
- 2017年4月11日,全國信息安全標準化技術委員會2017年第一次會議周匯報標準進展。
- 2017年4月26日,在東城區朝內大街225號東廟會議室召開標準研討會。
- 標準的主要內容及修訂的內容
- 本標準的主要內容
大數據技術的發展和應用影響著國家的治理模式、企業的決策架構、商業的業務策略以及個人的生活方式。我國大數據仍處于起步發展階段,各地發展大數據積極性高,行業應用得到快速推廣,市場規模迅速擴大。在面向大量用戶的應用和服務中,從數據收集的角度,數據收集者希望能獲得更多的信息,以提供更加豐富、高效的個性化服務。隨著大數據的應用,大量數據集中,新技術不斷涌現和應用,使數據面臨新的安全風險。隨著大數據的應用和分析,數據價值不斷提升,安全受到高度重視。
而擁有大量數據的企業的管理和技術水平參差不齊,有不少企業缺乏技術、運維等方面的專業安全人員,容易因數據平臺和計算平臺的脆弱性遭受網絡攻擊,導致數據泄露。從數據泄露的途徑來看,關鍵是要加強掌握數據的機構和其合作商的技術和管理能力的建設,加強數據收集、存儲、使用、分發等環節的技術和管理措施,制定規范和制度。
本標準指導擁有、處理大數據的政府部門、企業、事業單位、非盈利機構等組織做好大數據的安全管理、風險評估等工作,有效、安全地應用大數據,采用有效技術和管理措施保障數據安全。
本標準為組織的大數據安全管理提供指導,本標準提出大數據安全管理基本原則、大數據安全管理基本概念和大數據安全風險管理過程。本標準提出大數據的數據收集、數據存儲、數據使用、數據分發、數據刪除等主要階段的基本概念和管理要求。
本標準規范了組織內部不同大數據角色的職責。
本標準適用于所有的組織,包括企業、政府部門、非盈利機構等。
本標準內容如下:
1 范圍
2 規范性引用文件
3 術語、定義和縮略語
3.1 術語和定義
3.2 縮略語
4 大數據安全管理原則
4.1 原則1 – 職責明確原則
4.2 原則2 – 意圖合規原則
4.3 原則3 – 質量保障原則
4.4 原則4 – 數據最小化原則
4.5 原則5 – 責任不隨數據轉移原則
4.6 原則6 – 最小授權原則
4.7 原則7 – 數據保護原則
4.8 原則8 – 可審計原則
5 大數據安全管理基本概念
5.1 概述
5.2 大數據安全管理方法
6 制定大數據安全目標、戰略和策略
7 明確大數據安全管理角色與責任
7.1 概述
7.2 數據安全管理團隊的職責
7.3 職能部門的職責
7.4 明確大數據主要活用安全管理責任
8 管理大數據安全風險
8.1 概述
8.2 評估大數據風險
8.3 選擇安全保護措施
8.4 制訂安全計劃
9 管理大數據平臺運行安全
附錄A電信行業數據分類分級示例
附錄B 國家基礎數據
附錄C 生命科學大數據風險分析示例
附錄D 大數據安全風險
- 主要試驗(或驗證)的分析、綜述報告、技術經濟論證、預期的經濟效果
無
- 采用國際標準和國外先進標準的程度、以及與國際、國外同類標準水平的對比情況、或與測試的國外樣品、樣機的有關數據對比情況
本標準參考IT安全管理相關國內外標準,在重點考慮大數據特殊性的基礎之上編制本標準。NIST、ISO/IEC等國家標準化組織正在編制的大數據安全標準與本標準不同,NIST和ISO/IEC正在制定的大數據安全標準從技術角度提出大數據的一些安全和隱私挑戰。本標準主要從管理的角度,為組織(即擁有、使用大數據的組織)提供大數據安全管理指導。目前國際上還沒有與本標準相同定位的標準。
- 與有關的現行法律、法規和強制性國家標準的關系
本標準符合現有法律法規的要求。
- 重大分歧意見的處理經過和依據
本標準在編制過程中未出現重大分歧。
- 國家標準作為強制性國家標準或推薦性國家標準的建議
建議本標準作為推薦性國家標準發布實施。
- 貫徹國家標準的要求和措施建議(包括組織措施、技術措施、過渡辦法等內容)
本標準作為大數據安全標準體系的一部分,配合實施。
- 其他事項說明
本標準不涉及專利。
《信息安全技術 大數據安全管理指南 》標準修訂工作組
2017年5月7日