GB/T 35274-2023《信息安全技术 大数据服务安全能力要求》
一、标准发布与实施
发布时间:2023年8月6日
实施时间:2024年3月1日
二、标准起草单位与主要起草人
起草单位:包括清华大学、北京大学、中国电子技术标准化研究院、中国网络安全审查技术与认证中心、中国信息安全测评中心等众多知名高校、研究机构和科技企业。
主要起草人:叶晓俊、谢安明、吴迪等多位专家参与了标准的编制工作。
三、标准背景与目的
背景:随着大数据技术的快速发展和应用,大数据服务在各个领域得到了广泛应用。然而,大数据服务在带来便利的同时,也面临着诸多安全风险和挑战。为了保障大数据服务的安全性,国家制定了该标准。
目的:规范大数据服务提供者的安全能力要求,确保大数据服务在收集、存储、处理、传输和使用过程中的安全性,保护个人隐私和企业秘密,促进大数据产业的健康发展。
四、标准内容
标准从大数据服务提供者的组织管理安全能力、数据处理安全能力和数据服务安全风险管理能力三大方面提出要求:
组织管理安全能力:
要求制定网络安全和数据安全等管理制度,以及相匹配的大数据平台和大数据应用安全技术机制及实施细则。
设立专门的数据安全管理组织,明确职责和权限,确保安全人员具备必要的知识和技能,并进行定期培训和考核。
对大数据资产进行全生命周期管理,包括资产的识别、分类、登记、评估、处置等,确保资产的安全可控。
数据处理安全能力:
涉及数据收集、存储、使用、加工、传输、提供、公开到销毁等全生命周期的安全要求。
在数据收集阶段,要求从安全渠道获取数据,并进行必要的数据清洗、标识和加载,防止非法数据混入。
在数据存储阶段,要求采用加密存储、访问控制、审计跟踪等技术手段,确保数据在存储过程中的保密性、完整性和可用性。
在数据使用与加工阶段,要求根据数据权属及收集和使用数据的目的和范围,实施严格的访问控制策略,并对数据使用过程进行审计跟踪,防止数据泄露和滥用。
在数据传输与提供阶段,要求采用安全通道和加密技术,确保数据的机密性和完整性,并进行必要的安全评估和控制,防止数据泄露给未经授权的组织或个人。
数据服务安全风险管理能力:
要求建立全面的风险评估机制,对大数据服务过程中可能存在的安全风险进行识别和评估。
根据风险评估结果,采取相应的安全防护措施,包括技术防护和管理防护,降低安全风险。
建立安全监测和检查机制,对大数据服务过程中的安全事件进行及时发现和响应。
制定安全事件应急响应计划,确保在安全事件发生时能够迅速响应并采取有效措施进行恢复。
五、标准变化与特点
体例与术语修改:与旧版标准相比,新版标准在体例和术语上进行了较大的修改。新版标准更加简洁明了,术语更加准确规范,有利于标准的推广和实施。
对标法律法规:新版标准充分对标了《网络安全法》《数据安全法》和《个人信息保护法》等法律法规,确保了标准的合规性和权威性。同时,也为大数据服务提供者在实际操作中提供了具体的指导和规范。
强调全生命周期管理:新版标准强调了对大数据资产的全生命周期管理,从数据的收集、存储、使用、加工、传输、提供、公开到销毁等各个环节都提出了具体的安全要求,确保了大数据服务在全生命周期中的安全性。
六、标准实施与意义
该标准的实施将有助于提高大数据服务提供者的安全能力水平,保障大数据服务的安全性。同时,该标准也将促进大数据产业的健康发展,推动大数据技术在各个领域的广泛应用。此外,该标准的制定和实施还将有助于提升我国在国际大数据安全领域的地位和影响力。
综上所述,GB/T 35274-2023《信息安全技术 大数据服务安全能力要求》是一项重要的国家标准,它规范了大数据服务提供者的安全能力要求,为大数据服务的安全性提供了有力保障。
