大数据服务安全能力要求 概述

声明
​​​本文是学习github5.com​​ 网站的报告而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

大数据服务安全能力要求 概述
总体要求
大数据服务安全目标是保证大数据系统中数据和系统资产的保密性和完整性，以及大数据平台与应用的数据服务和系统服务的可用性。

本标准规定了拥有大数据平台和应用，提供大数据服务的组织或企业应具备的三方面大数据服务安全能力要求：

1. 基础安全要求：大数据服务提供者要创建大数据服务安全策略和规程，建立系统和数据资产清单、组织和人员岗位，形成满足大数据服务的元数据结构和符合业务流程的数据和系统供应链结构，以及符合法律法规和相关标准要求的大数据服务基础安全能力要求。
2. 数据服务安全要求：大数据服务提供者要针对数据生命周期相关的数据活动，形成数据采集、数据传输、数据存储、数据处理、数据交换、数据销毁等数据服务安全要求，以降低大数据服务中数据生命周期安全管理相关的安全风险，保障大数据服务的数据安全。
3. 平台与应用安全要求：大数据服务提供者要按照规划、开发、部署到运维的系统生命周期各阶段特点，从信息技术（Information Technology,简称IT）角度对大数据平台与应用采取必要的安全管控措施，以建立安全的大数据服务基础设施，降低大数据平台与应用运行安全风险，保障大数据服务的业务使命和可持续性。
   要求分级
   本标准将大数据服务安全能力分为一般要求和增强要求。大数据服务提供者应根据大数据系统所承载数据重要性和大数据服务异常可能造成的影响范围和严重程度，遵循如下保护要求：
4. 大数据服务中没有承载重要数据，且该服务不能正常提供服务或遭受破坏时，对国家经济发展和社会公共利益影响有限，对国家安全和国计民生没有影响的，按照一般要求进行安全保护；
5. 大数据服务中承载有重要数据，或在不能正常提供服务或遭受破坏时，对国家经济发展和社会公共利益造成的影响较大，或者会影响国家安全和国计民生的，按照增强要求进行安全保护。
   大数据服务提供者应依据大数据服务的数据保护价值、大数据服务类型（参见附录A），结合自身的大数据服务模式、大数据服务角色、大数据服务目标和支撑大数据服务的基础设施、平台与应用（参见附录B），选择本标准列举的大数据服务安全能力要求项进行建设和评估。

标准结构
本标准共包括3个安全要求章节（第5章至第7章），其中，第5章从组织或企业角度给出了大数据服务提供者的基础安全要求，第6章从数据生命周期的数据活动角度给出了大数据服务提供者的数据服务安全要求，第7章从系统服务角度给出了大数据服务提供者的大数据平台与应用安全要求。

1. 大数据服务涉及的数据资源可能依赖于其它机构提供的数据服务或系统服务，则大数据服务提供者应以合同、协议或其它方式对供应链上各参与方的相应安全责任进行规定并予以落实，要求他们也应具备与大数据服务提供者相当的安全防护能力。大数据服务提供者的大数据平台可能采用云服务方式，则本标准的7.4和7.5安全运维和安全审计可参照GB/T 31168—2014 《信息安全技术 云计算服务安全能力要求》进行建设和评估。
   大数据服务安全能力基础安全要求
   策略与规程
   一般要求

大数据服务提供者应：

1. 制定符合机构大数据服务战略的安全策略，明确安全方针、安全目标和安全原则。
2. 确保所制定的安全策略覆盖数据生命周期相关的数据服务和系统服务，内容应包括目的、范围、岗位、责任、管理层承诺、内外部协调及合规性要求等。
3. 制定安全策略相关的规程，并将安全策略和规程分发至机构大数据服务部门、岗位和人员。
4. 制定并实施与安全策略和规程相适应的大数据平台和大数据应用安全实施细则,包括外部数据资源整合、数据共享、数据发布等数据供应链安全管理细则、合同要求及审核机制。
5. 定期审核和更新大数据服务安全策略和规程。
   增强要求

大数据服务提供者应：

1. 在组织架构发生重大调整或大数据服务业务发生重大变化时，及时评估安全策略与规程的实施效果，并将效果反馈到安全策略和规程文件的修订过程中。
2. 对大数据服务安全策略和规程进行体系化的评估，制定大数据服务安全能力提升计划。
   数据与系统资产
   数据资产

一般要求

大数据服务提供者应：

1. 建立数据资产安全管理规范，明确大数据服务相关数据资产的安全管理目标和安全原则。
2. 建立数据资产分类分级方法和操作指南，以及数据资产分类分级的变更审批流程和机制。
3. 建立数据资产组织和管理模式，制定数据资产登记制度，明确数据资产管理相关方。
4. 建立数据资产清单，明确数据资产管理范围和属性。
5. 定期审核和更新数据资产安全管理相关的安全规范、管理制度等。
   增强要求

大数据服务提供者应：

1. 依据数据资产和数据主体安全分级要求建立相应的标记策略、访问控制、数据加解密、数据脱敏等安全机制和管控措施。
2. 建立大数据服务所需的机构内外部数据资产的安全治理原则和数据资源整合规范。
3. 建立机构级数据资产管理平台，实现对数据资产的统一管理。
   系统资产

一般要求

大数据服务提供者应：

1. 建立大数据平台与应用系统资产安全管理规范，明确系统资产安全管理目标和安全原则。
2. 建立大数据平台与应用系统资产建设和运营管理制度和机制，明确规划、设计、采购、开发、运行、维护及报废等资产管理过程的安全要求。
3. 建立大数据平台与应用系统资产登记机制，形成大数据服务的系统软硬件资产清单，明确系统资产安全责任主体及相关方，并及时更新系统资产相关信息。
4. 建立和实施大数据平台与应用系统资产分类和标记规程，使资产标记易于填写和依附在相应的系统资产上。
5. 定期审核和更新大数据平台与应用系统资产管理相关的安全规范、管理制度。
   增强要求

大数据服务提供者应：

1. 建立大数据平台与应用系统资产管理平台，具备系统资产统一注册、管理和使用监控等能力。
2. 建立大数据平台与应用系统资产更新、运营风险评估和供应链安全审查规程和制度。
   组织和人员管理
   组织管理

一般要求

大数据服务提供者应：

1. 建立大数据服务安全管理组织机构，明确大数据服务安全岗位和用户角色职责。
2. 建立大数据服务安全领导小组，指定机构最高管理者或授权代表担任小组组长，并明确组长责任与权力。
3. 指定大数据服务平台与应用安全规划、安全建设、安全运营和系统维护工作的责任部门。
4. 建立机构内部监督管理职能部门，对大数据服务和各用户操作行为进行安全监督管理。
5. 制定大数据服务安全追责制度，定期对责任部门和安全岗位组织安全检查，形成检查报告。
   增强要求

大数据服务提供者应：

1. 建立体系化的大数据服务安全管理机构，机构最高管理人员应作为大数据服务安全领导小组组长，且配备必要的管理人员和技术人员。
2. 设置专职的大数据服务安全岗位，建立规范化的大数据服务安全保护、评估及考核专职队伍。
   人员管理

一般要求

大数据服务提供者应：

1. 制定大数据服务人力资源安全策略，明确不同岗位人员在数据生命周期各阶段数据服务和系统服务相关的工作范畴和安全管控措施。
2. 制定大数据服务人员招聘、录用、上岗、调岗、离岗、考核、选拔等人员安全管理制度。
3. 在录用重要岗位人员前对其进行背景调查，确保符合相关的法律、法规、合同和道德要求，并与所有涉及大数据服务岗位人员签订安全责任协议。
4. 明确大数据服务重要岗位的兼职和轮岗、权限分离、多人共管等安全管理要求。
5. 建立人员安全责任奖惩管理制度，并按照规定对造成大数据服务损失的人员给予相应的处理，记录并保存相关信息。
6. 建立第三方人员安全管理制度，对接触个人信息、重要数据等数据的人员进行审批和登记，并要求签署保密协议，定期对这些人员行为进行安全审查。
7. 在重要岗位人员调离或终止劳动合同时，与其签订保密协议。
   增强要求

大数据服务提供者应：

1. 明确关键岗位人员背景调查范围，定期对关键岗位人员进行背景审查。
2. 明确关键岗位人员安全能力要求，并确定他们培训技能考核内容与考核指标，定期对关键岗位人员进行审查和能力考核。
   角色管理

一般要求

大数据服务提供者应：

1. 建立大数据服务相关的安全角色，明确安全角色的分配策略和授权范围。
2. 建立用户角色及角色权限冲突的定期审查机制，及时更新用户角色及角色权限授权信息。
3. 明确大数据服务相关重要岗位及其角色安全要求，建立重要岗位角色清单和授权机制。
   增强要求

大数据服务提供者应：

1. 依照大数据服务需求和大数据系统架构建立分层的角色体系、职责分离等大数据服务安全角色管理机制。
2. 建立用户应用上下文感知的角色启动、停用与禁用的动态管理策略、规程和机制。
   人员培训

一般要求

大数据服务提供者应：

1. 制定大数据服务安全岗位人员的安全培训计划，并对培训计划定期审核和更新。
2. 制定大数据服务关键岗位转岗、岗位升级等相应的人员安全培训计划，并对培训计划定期审核和更新。
3. 按计划对相关人员开展安全培训，包括政策、法律、法规、标准等合规性培训，并对培训结果进行评价、记录和归档。
   增强要求

大数据服务提供者应：

1. 根据不同安全岗位要求，开展大数据服务安全实际操作技能培训与考核。
   元数据安全
   一般要求

大数据服务提供者应：

1. 建立大数据服务相关元数据及其管理规范，如数据域、字段类型、表结构、逻辑存储和物理存储结构及管理方式。
2. 建立大数据服务安全架构相应的安全元数据管理规范，如口令策略、权限列表、授权策略。
3. 建立元数据访问控制策略，明确元数据管理角色及其授权控制机制。
4. 建立元数据操作的审计制度，确保元数据操作的可追溯。
   增强要求

大数据服务提供者应：

1. 具备实现大数据服务元数据统一管理的能力。
2. 依据资产分类分级策略建立元数据安全属性自动分级机制。
3. 依据元数据安全属性建立标记策略及标记定义和标记管理机制。
   供应链管理
   数据供应链

一般要求

大数据服务提供者应：

1. 建立数据供应链安全管理规范和安全方针，明确数据供应链安全目标、原则和范围。
2. 确保数据供应链上下游对数据交换、使用和利用符合法律法规，并有技术保障措施。
3. 明确数据供应链上下游责任和义务，确保数据供应链相关数据服务真实可用。
4. 通过合作协议方式明确大数据服务数据供应链中数据的使用目的、供应方式、保密约定等。
5. 建立数据供应链目录和相关数据源数据字典，明确数据供应链的责任部门和人员。
6. 对数据供应链上下游的大数据服务提供者和大数据使用者的行为进行合规性审核和分析。
   增强要求

大数据服务提供者应：

1. 定期对数据供应链上下游数据活动安全风险和数据安全管理能力进行评估。
   IT供应链

一般要求

大数据服务提供者应：

1. 建立IT供应链安全管理规范和安全方针，明确IT供应链筛选机制、筛选指标和评价方法。
2. 对IT供应链参与方进行背景调查，明确他们参与大数据服务的角色和责任。
3. 明确IT供应链中数据源规范化机制和接口使用规范。
4. 采取必要的IT技术和管控措施落实IT供应链服务商替代措施。
5. 通过合作协议方式明确IT供应链中系统资产的供应方式、安全责任与义务、保密约定等。
   增强要求

大数据服务提供者应：

1. 建立IT供应链考核评价机制和评价反馈机制，定期对IT供应链进行风险评估和考核。
2. 建立IT供应链中外包管理规程并制定安全管控措施，定期评估大数据服务IT外包安全。
3. 建立IT供应链数据字典, 制定IT供应链相关的大数据服务元数据结构、数据治理、数据质量和数据溯源处理机制。
   合规性管理
   个人信息保护

一般要求

大数据服务提供者应：

1. 依据《GB/T AAAAA—AAAA 信息安全技术 个人信息安全规范》的要求，采取必要的技术手段或管控措施，建立符合国家法律法规和相关标准的个人信息保护能力。
   增强要求

大数据服务提供者应：

1. 在大数据应用及关联业务组件下线以及设备退网时，要妥善转移、转存、销毁保存的个人信息，避免因人工管理模式改变或机构业务重组与兼并等方式而规避个人信息保护要求。
2. 具备对大数据服务中个人信息处理操作行为进行溯源和合规性分析的能力。
3. 建立匿名化、去标识化、差分隐私等个人信息保护机制。
4. 建立针对多源数据集汇聚和关联后个人信息利用的安全风险分析和保护控制措施。
5. 具备评价大数据服务中的个人信息去标识有效性的能力。
   重要数据保护

一般要求

大数据服务提供者应：

1. 建立符合网络安全法等法律法规的重要数据的安全策略、规范、制度和管控措施。
2. 在数据生命周期相关数据服务中涉及重要数据时要确保满足法律法规及相关标准要求。
3. 建立管控措施和采取技术手段控制重要数据流向，避免因人工管理模式改变或机构业务重组和兼并等方式而规避重要数据保护要求。
4. 建立重要数据监控机制，具备对重要数据生命周期相关操作行为进行合规性分析的能力。
5. 定期对重要数据安全策略、规范、制度和管控措施进行风险评估，并及时对其进行调整和更新。
   增强要求

大数据服务提供者应：

1. 提供重要数据的自动化脱敏机制与措施，支持如匿名、泛化、随机、加密等脱敏手段。
2. 建立大数据服务中数据沉淀防控机制，评估和防范使用沉淀数据获得重要数据的风险。
3. 具备评价大数据服务中重要数据脱敏有效性的评估能力。
   数据跨境传输

一般要求

大数据服务提供者应：

1. 制定符合国家法律、法规和标准的数据跨境传输业务处理流程和数据跨境传输审批制度，明确数据跨境传输安全策略、管理制度、管理规范和管控措施。
2. 具备对大数据服务中的数据跨境传输处理操作行为进行合规性分析的能力。
   增强要求

大数据服务提供者应：

1. 定期或在发生重大信息安全事件后，对数据跨境传输有关制度、流程和技术工具进行审查和检验，记录审查和检验结果并提交机构最高级大数据服务安全管理组织审批。
   密码支持

一般要求

大数据服务提供者应：

1. 按照国家密码管理规定使用和管理有关密码技术和设施，并按规定生成、分发、存取、更新、备份和销毁密钥。
   增强要求

大数据服务提供者应：

1. 具备密钥集成管理的能力，并满足密钥管理互操作性等有关标准规范。
2. 具备密文数据透明处理能力。

总结
更多内容 可以 点击 访问 ​​github5.com​​ 网站的报告 进一步学习

联系我们
DB44-T 1796.2-2016 突发事件预警信息发布中心建设规范第2部分：岗位设置与业务运行 广东省.pdf