(高清版)GB∕T 37973-2019 信息安全技術 大數(shù)據安全管理指南

國家市場監(jiān)督管理總局中國國家標準化管理委員會IGB/T37973—2019 Ⅲ 12規(guī)范性引用文件 13術語和定義 14大數(shù)據安全管理概述 24.1大數(shù)據安全管理目標 2 2 2 3 3 35.3質量保障 3 3 4 45.7確保安全 45.8可審計 4 46.1保密性 46.2完整性 46.3可用性 5 5 57.1數(shù)據分類分級原則 5 57.3數(shù)據分類方法 67.4數(shù)據分級方法 6 68.1大數(shù)據的主要活動 68.2數(shù)據采集 7 78.4數(shù)據處理 8 88.6數(shù)據刪除 9 9ⅡGB/T37973—2019 9.2資產識別 9.3威脅識別 9.4脆弱性識別 9.5已有安全措施確認 9.6風險分析 附錄A(資料性附錄)電信行業(yè)數(shù)據分類分級示例 附錄B(資料性附錄)生命科學大數(shù)據風險分析示例 附錄C(資料性附錄)大數(shù)據安全風險 Ⅲ1下列文件對于本文件的應用是必不可少的。凡是注日期的引GB/T20984—2007信息安全技術信息安全風險評估規(guī)范GB/T25069—2010信息安全技術術語GB/T31167—2014信息安全技術云計算服務安全指南GB/T35274—2017信息安全技術大數(shù)據服務安全能力要求GB/T25069—2010、GB/T20984—2007和GB/T35274—2017界定的以及下列術語和定義適用2a)明確數(shù)據安全需求。組織應分析大數(shù)據環(huán)境下數(shù)據的保密性、完整性和可用性所面臨的新問d)評估大數(shù)據安全風險。組織除開展信息系統(tǒng)安全風險評估外，還應從大數(shù)據環(huán)境潛在的系統(tǒng)a)大數(shù)據安全管理者：對組織大數(shù)據安全負責的個人或團隊。大數(shù)據安全管理者負責數(shù)據安全b)大數(shù)據安全執(zhí)行者：是執(zhí)行組織數(shù)據安全相關工作的個人或團隊。大數(shù)據安全執(zhí)行者負責數(shù)c)大數(shù)據安全審計者：負責大數(shù)據審計相關工作的個人或團e)負責組織的大數(shù)據安全管理過程，并對外部相關方(如：數(shù)據安全的主管部門、數(shù)據主體等)3a)根據大數(shù)據安全管理者的要求實施安全措施；b)明確角色的安全職責。組織應明確大b)建立數(shù)據糾錯機制；4當前控制數(shù)據的組織應對數(shù)據負責，當數(shù)據轉移給其他組織時，責任不隨數(shù)據轉移而轉移。組a)賦予數(shù)據活動主體的最小操作權限和最小數(shù)據集；b)制定數(shù)據訪問授權審批流程，對數(shù)據活動主體的數(shù)據操作權限和范圍變更制定申請和審批c)解決風險評估和安全檢查中所發(fā)現(xiàn)的安全風險和脆弱性，并對安全防護措施不當所造成b)采取有效技術措施保證對大數(shù)據活動的所有操作可追溯。5e)知識產權保護及數(shù)據價值保護。a)科學性。按照數(shù)據的多維特征及其相互間邏輯關聯(lián)進行科學和系統(tǒng)地分類，按照大數(shù)d)擴展性。數(shù)據分類和分級方案在總體上應具有概括性和包容性，能夠針對組織各組織應按照圖1的流程對數(shù)據進行分類分級。組織應根據數(shù)據分類分級規(guī)范對數(shù)據進行分類；為6據。個人信息和個人敏感信息應參照GB/T35273—2017中的附錄A和附錄B執(zhí)行。組織針對不同級別的數(shù)據應按照GB/T35274—2017第4章～第6章的規(guī)定，選擇恰當?shù)墓芾砗蚦)數(shù)據處理。通過該活動履行組織的職責或實現(xiàn)組織的目標。處理的數(shù)據可以是組織內部持久d)數(shù)據分發(fā)。組織在滿足相關規(guī)定的情況下將數(shù)據處理生71)存儲架構安全；2)邏輯存儲安全；3)存儲訪問控制；4)數(shù)據副本安全；82)數(shù)據分析安全；9 c)數(shù)據出境威脅組織應對已采取的安全措施的有效性進行確認。安全措施的選擇可以參考GB/T35274—2017。表A.1數(shù)據分類類別子類及范圍(A類)用戶身份相關數(shù)據(A2)用戶網絡身份鑒權信息：(A2-1)密碼及關聯(lián)信息(B類)用戶服務內容(B1)服務內容和資料數(shù)據：(B1-1)服務內容數(shù)據、(B1-2)聯(lián)系人信息(C類)用戶服務衍(C2)設備信息：(C2-1)設備標識、(C2-2)設備資料(D類)企業(yè)運營管價值，分為“核心”開”四類數(shù)據。)一般經營類數(shù)據、(D1-7)企業(yè)公開披露信息、(D1-8)企業(yè)上報信息(D3)網絡運維數(shù)據：(D3-1)網絡設備及IT系統(tǒng)密碼及關聯(lián)信息、(D3-2)核心網絡設備及IT系統(tǒng)資源數(shù)據、(D3-3)重要網絡設備及IT系統(tǒng)資源數(shù)據、(D3-4)一數(shù)據、(D3-5)公開網絡設備及IT系統(tǒng)資源數(shù)據、(D3-6)公開網絡設(D4)合作伙伴數(shù)據：(D4-1)渠道基礎數(shù)據、(D4-2)CP/SP基礎數(shù)據表A.2數(shù)據分級類別子類及范圍極敏感級(A1-4)實體身份證明、(A1-5)用戶私密資料、(A2-1)用戶密碼及關聯(lián)信息、(D1-1)企業(yè)內部核心管理數(shù)據、(D1-4)市場核心經營類數(shù)據、(D3-1)網絡設備及IT系統(tǒng)密碼及關聯(lián)信息、(D3-2)核心網絡設備及IT系統(tǒng)資源類數(shù)據表A.2(續(xù))類別子類及范圍(A1-1)自然人身份標識、(A1-2)網絡身份標識、(A1-3)用戶基本資料、(B1-1)服務內容數(shù)數(shù)據、(D1-5)市場重要經營類數(shù)據、(D1-8)企業(yè)上報信息、(D2-1)重要業(yè)務運營服務數(shù)據、(D3-2)重要網絡設備及IT系統(tǒng)資源類數(shù)據、(D4-1)渠道基礎數(shù)據、(D4-2)CP/SP基礎數(shù)據(C1-3)消費信息和賬單、(C2-1)終端設備標識、(C2-2)終端設備資料、(D1-3)企業(yè)內部一般管理數(shù)據、(D1-6)市場一般經營類數(shù)據、(D2-2)一般業(yè)務運營服務數(shù)(C1-1)業(yè)務訂購關系、(C1-5)違規(guī)記錄數(shù)據、(D1-7)企業(yè)公開披露信息、(D2-3)業(yè)務運營服務數(shù)據、(D2-4)數(shù)字內容業(yè)務運營數(shù)據、(D3-5)公開網絡設備表B.1展示了以下3個場景下生命科學大數(shù)據風險評估案例：——場景1:使用生物大數(shù)據來設計針對特定人群的病毒；——場景3:利用大數(shù)據技術破壞現(xiàn)有的病原體檢測能力。場景1具有充足資源的組織和所需軟件需軟件和數(shù)據、具有所需的資金支持利用數(shù)據倉庫、軟件、網絡基礎設施的脆弱性的能力要求能使用公開訪問的數(shù)開放訪問無無析來設計有害的生物代理需要特殊的技能：微生學、生物信息學無需要特殊技能：生物信息、分子生物學、微生物基因嚴重后果后果很嚴重，造成人員當?shù)鼗驀H社區(qū)的攻員健康、農業(yè)、環(huán)境等險的病原體感染是否具有足夠的應對能的技術措施有：訪問無。IP地址跟蹤、訪問低中高需要實施權限管理，且用戶具體的權限要求未知。面對未知的大量數(shù)據和用戶，預先設置角色十分[1]GB/T19715.1—2005信息技術信息技術安全管理指南第1部分：信息技術安全概念[2]GB/T19715.2—2005信息技術信息技術安全管理指南第2部分：管理和規(guī)劃信息技[4]GB/T35273—2017信息安全技術個人信息安全規(guī)范tionofISO/IEC38500tothegovernanceof[9]ITU-TY.3600,Bigdata—ber,2015