国家标准《信息安全技术 大数据安全管理指南》征求意见稿全文

2017年5月24日，全国信息安全标准化技术委员会发布国家标准《信息安全技术 大数据安全管理指南》征求意见稿，征求意见截止日期为2017年7月7日。以下是征求意见稿全文。

联系人：许玉娜   xuyuna@cesi.cn   010—64102731

标准文本：信息安全技术 大数据安全管理指南(点击下载)

编制说明：

《信息安全技术 大数据安全管理指南》

（征求意见稿）编制说明

• 任务来源

在2016年6月15日会议上，经过云计算及大数据特别工作组讨论并一致同意，编制《信息安全技术 大数据安全管理指南》，并由四川大学负责，中国电子技术标准化研究院、中国移动有限公司、深圳市腾讯计算机系统有限公司、清华大学、阿里云计算有限公司、广州赛宝认证中心服务有限公司、中电长城网际系统应用有限公司、华为技术有限公司、成都超级计算中心有限公司、陕西省信息化工程研究院、银联智慧信息服务（上海）有限公司、北京华宇软件股份有限公司、中国电子科技网络信息安全有限公司等单位参与，组成编制工作组开展该规范的编写工作。

• 编制原则

《信息安全技术 大数据安全管理指南》的编制原则是：

1. a) 安全性：

通过分析大数据安全风险，制定大数据各个环境的安全指南，确保各个角色安全责任，确保大数据安全，特别关注数据转移时的安全。

1. b) 实用性：

大数据分析可以推动创新，同时可以提升公共部门的服务质量。通过制定大数据安全指南可以为政府部门共享大数据提供指导，确保共享数据安全，从而推动数据开发和共享前进。

1. c) 统一性：

本指南与大数据其他标准构成大数据安全保护标准体系。

• 主要工作过程
• 标准修订的主要工作过程如下：
• 2016年3-4月，开展前期研究工作，组建标准编制项目组。
• 2016年6月15日，大数据特别工作组就《大数据安全指南》标准申请进行答辩，一致同意制定该标准。
• 2016年8月16日，“指南”编制组在成都市星辰航都国际酒店召开研讨会，就标准编制思路进行探讨，形成若干共识。
• 2016年8-10月，编制组分别研究标准参考资料，如对NIST、ISO/IEC等大数据相关标准进行研读，提取与标准相关的内容。
• 2016年10月，编制组完成标准草案初稿。
• 2016年10月，全国信息安全标准化技术委员会2016年第一次会议周汇报标准进展。
• 2016年10月18日，标准编制组与“大数据平台安全能力要求”编制组召开研讨会。
• 2016年12月27日，在北京应物会议中心第10会议室召开标准研讨会。
• 2017年3月25日，在北京应物会议中心A座第一会议室召开标准研讨会。
• 2017年4月11日，全国信息安全标准化技术委员会2017年第一次会议周汇报标准进展。
• 2017年4月26日，在东城区朝内大街225号东庙会议室召开标准研讨会。
• 标准的主要内容及修订的内容
• 本标准的主要内容

大数据技术的发展和应用影响着国家的治理模式、企业的决策架构、商业的业务策略以及个人的生活方式。我国大数据仍处于起步发展阶段，各地发展大数据积极性高，行业应用得到快速推广，市场规模迅速扩大。在面向大量用户的应用和服务中，从数据收集的角度，数据收集者希望能获得更多的信息，以提供更加丰富、高效的个性化服务。随着大数据的应用，大量数据集中，新技术不断涌现和应用，使数据面临新的安全风险。随着大数据的应用和分析，数据价值不断提升，安全受到高度重视。

而拥有大量数据的企业的管理和技术水平参差不齐，有不少企业缺乏技术、运维等方面的专业安全人员，容易因数据平台和计算平台的脆弱性遭受网络攻击，导致数据泄露。从数据泄露的途径来看，关键是要加强掌握数据的机构和其合作商的技术和管理能力的建设，加强数据收集、存储、使用、分发等环节的技术和管理措施，制定规范和制度。

本标准指导拥有、处理大数据的政府部门、企业、事业单位、非盈利机构等组织做好大数据的安全管理、风险评估等工作，有效、安全地应用大数据，采用有效技术和管理措施保障数据安全。

本标准为组织的大数据安全管理提供指导，本标准提出大数据安全管理基本原则、大数据安全管理基本概念和大数据安全风险管理过程。本标准提出大数据的数据收集、数据存储、数据使用、数据分发、数据删除等主要阶段的基本概念和管理要求。

本标准规范了组织内部不同大数据角色的职责。

本标准适用于所有的组织，包括企业、政府部门、非盈利机构等。

本标准内容如下：

1 范围

2 规范性引用文件

3 术语、定义和缩略语

3.1 术语和定义

3.2 缩略语

4 大数据安全管理原则

4.1 原则1 – 职责明确原则

4.2 原则2 – 意图合规原则

4.3 原则3 – 质量保障原则

4.4 原则4 – 数据最小化原则

4.5 原则5 – 责任不随数据转移原则

4.6 原则6 – 最小授权原则

4.7 原则7 – 数据保护原则

4.8 原则8 – 可审计原则

5 大数据安全管理基本概念

5.1 概述

5.2 大数据安全管理方法

6 制定大数据安全目标、战略和策略

7 明确大数据安全管理角色与责任

7.1 概述

7.2 数据安全管理团队的职责

7.3 职能部门的职责

7.4 明确大数据主要活用安全管理责任

8 管理大数据安全风险

8.1 概述

8.2 评估大数据风险

8.3 选择安全保护措施

8.4 制订安全计划

9 管理大数据平台运行安全

附录A电信行业数据分类分级示例

附录B 国家基础数据

附录C 生命科学大数据风险分析示例

附录D 大数据安全风险

• 主要试验（或验证）的分析、综述报告、技术经济论证、预期的经济效果

无

• 采用国际标准和国外先进标准的程度、以及与国际、国外同类标准水平的对比情况、或与测试的国外样品、样机的有关数据对比情况

本标准参考IT安全管理相关国内外标准，在重点考虑大数据特殊性的基础之上编制本标准。NIST、ISO/IEC等国家标准化组织正在编制的大数据安全标准与本标准不同，NIST和ISO/IEC正在制定的大数据安全标准从技术角度提出大数据的一些安全和隐私挑战。本标准主要从管理的角度，为组织（即拥有、使用大数据的组织）提供大数据安全管理指导。目前国际上还没有与本标准相同定位的标准。

• 与有关的现行法律、法规和强制性国家标准的关系

本标准符合现有法律法规的要求。

• 重大分歧意见的处理经过和依据

本标准在编制过程中未出现重大分歧。

• 国家标准作为强制性国家标准或推荐性国家标准的建议

建议本标准作为推荐性国家标准发布实施。

• 贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）

本标准作为大数据安全标准体系的一部分，配合实施。

• 其他事项说明

本标准不涉及专利。

《信息安全技术 大数据安全管理指南 》标准修订工作组

2017年5月7日