GB/T 37973-2019信息安全技術(shù)大數(shù)據(jù)安全管理指南

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T37973—2019

信息安全技術(shù)大數(shù)據(jù)安全管理指南

Informationsecuritytechnology—Bigdatasecuritymanagementguide

2019-08-30發(fā)布2020-03-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T37973—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

大數(shù)據(jù)安全管理概述

4……………………2

大數(shù)據(jù)安全管理目標(biāo)

4.1………………2

大數(shù)據(jù)安全管理的主要內(nèi)容

4.2………………………2

大數(shù)據(jù)安全管理角色及責(zé)任

4.3………………………2

大數(shù)據(jù)安全管理基本原則

5………………3

職責(zé)明確

5.1……………3

安全合規(guī)

5.2……………3

質(zhì)量保障

5.3……………3

數(shù)據(jù)最小化

5.4…………………………3

責(zé)任不隨數(shù)據(jù)轉(zhuǎn)移

5.5…………………4

最小授權(quán)

5.6……………4

確保安全

5.7……………4

可審計(jì)

5.8………………4

大數(shù)據(jù)安全需求

6…………………………4

保密性

6.1………………4

完整性

6.2………………4

可用性

6.3………………5

其他需求

6.4……………5

數(shù)據(jù)分類(lèi)分級(jí)

7……………5

數(shù)據(jù)分類(lèi)分級(jí)原則

7.1…………………5

數(shù)據(jù)分類(lèi)分級(jí)流程

7.2…………………5

數(shù)據(jù)分類(lèi)方法

7.3………………………6

數(shù)據(jù)分級(jí)方法

7.4………………………6

大數(shù)據(jù)活動(dòng)及安全要求

8…………………6

大數(shù)據(jù)的主要活動(dòng)

8.1…………………6

數(shù)據(jù)采集

8.2……………7

數(shù)據(jù)存儲(chǔ)

8.3……………7

數(shù)據(jù)處理

8.4……………8

數(shù)據(jù)分發(fā)

8.5……………8

數(shù)據(jù)刪除

8.6……………9

評(píng)估大數(shù)據(jù)安全風(fēng)險(xiǎn)

9……………………9

Ⅰ

GB/T37973—2019

概述

9.1…………………9

資產(chǎn)識(shí)別

9.2……………9

威脅識(shí)別

9.3……………10

脆弱性識(shí)別

9.4…………………………10

已有安全措施確認(rèn)

9.5…………………10

風(fēng)險(xiǎn)分析

9.6……………10

附錄資料性附錄電信行業(yè)數(shù)據(jù)分類(lèi)分級(jí)示例

A()……………………11

附錄資料性附錄生命科學(xué)大數(shù)據(jù)風(fēng)險(xiǎn)分析示例

B()…………………13

附錄資料性附錄大數(shù)據(jù)安全風(fēng)險(xiǎn)

C()…………………14

參考文獻(xiàn)

……………………16

Ⅱ

GB/T37973—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位四川大學(xué)中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院清華大學(xué)中國(guó)移動(dòng)有限公司深圳市騰

:、、、、

訊計(jì)算機(jī)系統(tǒng)有限公司阿里云計(jì)算有限公司廣州賽寶認(rèn)證中心服務(wù)有限公司中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)

、、、

用有限公司騰訊云計(jì)算北京有限責(zé)任公司華為技術(shù)有限公司成都超級(jí)計(jì)算中心有限公司陜西省

、()、、、

信息化工程研究院北京奇虎科技有限公司北京奇安信科技有限公司銀聯(lián)智慧信息服務(wù)上海有限

、、、()

公司北京華宇軟件股份有限公司中國(guó)電子科技網(wǎng)絡(luò)信息安全有限公司

、、。

本標(biāo)準(zhǔn)主要起草人陳興蜀羅永剛?cè)~曉俊上官曉麗葉潤(rùn)國(guó)楊露金濤閔京華常玲陳雪秀

:、、、、、、、、、、

胡影代威劉小茵楊思磊王文賢李克鵬趙蓓王永霞何軍張麗佳張勇鄭新華王建波金睿

、、、、、、、、、、、、、、

高冀鵬彭凝多

、。

Ⅲ

GB/T37973—2019

引言

大數(shù)據(jù)技術(shù)的發(fā)展和應(yīng)用影響著國(guó)家的治理模式企業(yè)的決策架構(gòu)商業(yè)的業(yè)務(wù)模式以及個(gè)人的生

、、

活方式我國(guó)大數(shù)據(jù)仍處于起步發(fā)展階段各地發(fā)展大數(shù)據(jù)積極性高行業(yè)應(yīng)用得到快速推廣市場(chǎng)規(guī)

。,,,

模迅速擴(kuò)大在面向大量用戶(hù)的應(yīng)用和服務(wù)中數(shù)據(jù)采集者希望能獲得更多的信息以提供更加豐富

。,,、

高效的個(gè)性化服務(wù)隨著數(shù)據(jù)的聚集和應(yīng)用數(shù)據(jù)價(jià)值不斷提升而伴隨大量數(shù)據(jù)集中新技術(shù)不斷涌

。,。,

現(xiàn)和應(yīng)用使數(shù)據(jù)面臨新的安全風(fēng)險(xiǎn)大數(shù)據(jù)安全受到高度重視

,,。

目前擁有大量數(shù)據(jù)的組織的管理和技術(shù)水平參差不齊有不少組織缺乏技術(shù)運(yùn)維等方面的專(zhuān)業(yè)安

,、

全人員容易因數(shù)據(jù)平臺(tái)和計(jì)算平臺(tái)的脆弱性遭受網(wǎng)絡(luò)攻擊導(dǎo)致數(shù)據(jù)泄露在大數(shù)據(jù)的生命周期中

,,。,

將有不同的組織對(duì)數(shù)據(jù)做出不同的操作關(guān)鍵是要加強(qiáng)掌握數(shù)據(jù)的組織的技術(shù)和管理能力的建設(shè)加強(qiáng)

,,

數(shù)據(jù)采集存儲(chǔ)處理分發(fā)等環(huán)節(jié)的技術(shù)和管理措施使組織從管理和技術(shù)上有效保護(hù)數(shù)據(jù)使數(shù)據(jù)的

、、、,,

安全風(fēng)險(xiǎn)可控

。

本標(biāo)準(zhǔn)指導(dǎo)擁有處理大數(shù)據(jù)的企業(yè)事業(yè)單位政府部門(mén)等組織做好大數(shù)據(jù)的安全管理風(fēng)險(xiǎn)評(píng)估

、、、、

等工作有效安全地應(yīng)用大數(shù)據(jù)采用有效技術(shù)和管理措施保障數(shù)據(jù)安全

,、,。

Ⅳ

GB/T37973—2019

信息安全技術(shù)大數(shù)據(jù)安全管理指南

1范圍

本標(biāo)準(zhǔn)提出了大數(shù)據(jù)安全管理基本原則規(guī)定了大數(shù)據(jù)安全需求數(shù)據(jù)分類(lèi)分級(jí)大數(shù)據(jù)活動(dòng)的安

,、、

全要求評(píng)估大數(shù)據(jù)安全風(fēng)險(xiǎn)

、。

本標(biāo)準(zhǔn)適用于各類(lèi)組織進(jìn)行數(shù)據(jù)安全管理也可供第三方評(píng)估機(jī)構(gòu)參考

,。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息分類(lèi)和編碼的基本原則與方法

GB/T7027—2002

信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范

GB/T20984—2007

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

信息安全技術(shù)云計(jì)算服務(wù)安全指南

GB/T31167—2014

信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求

GB/T35274—2017

3術(shù)語(yǔ)和定義

和界定的以及下列術(shù)語(yǔ)和定義適用

GB/T25069—2010、GB/T20984—2007