【標(biāo)準(zhǔn)】BT 37973-2019 信息安全技術(shù) 大數(shù)據(jù)安全管理指南

國(guó)家市場(chǎng)監(jiān)督管理總局中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)IGB/T37973—2019 Ⅲ 12規(guī)范性引用文件 13術(shù)語(yǔ)和定義 14大數(shù)據(jù)安全管理概述 24.1大數(shù)據(jù)安全管理目標(biāo) 2 2 2 3 3 35.3質(zhì)量保障 3 3 4 45.7確保安全 45.8可審計(jì) 4 46.1保密性 46.2完整性 46.3可用性 5 5 57.1數(shù)據(jù)分類分級(jí)原則 5 57.3數(shù)據(jù)分類方法 67.4數(shù)據(jù)分級(jí)方法 6 68.1大數(shù)據(jù)的主要活動(dòng) 68.2數(shù)據(jù)采集 7 78.4數(shù)據(jù)處理 8 88.6數(shù)據(jù)刪除 9 9ⅡGB/T37973—2019 9.2資產(chǎn)識(shí)別 9.3威脅識(shí)別 9.4脆弱性識(shí)別 9.5已有安全措施確認(rèn) 9.6風(fēng)險(xiǎn)分析 附錄A(資料性附錄)電信行業(yè)數(shù)據(jù)分類分級(jí)示例 附錄B(資料性附錄)生命科學(xué)大數(shù)據(jù)風(fēng)險(xiǎn)分析示例 附錄C(資料性附錄)大數(shù)據(jù)安全風(fēng)險(xiǎn) Ⅲ1下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引GB/T20984—2007信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范GB/T25069—2010信息安全技術(shù)術(shù)語(yǔ)GB/T31167—2014信息安全技術(shù)云計(jì)算服務(wù)安全指南GB/T35274—2017信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求GB/T25069—2010、GB/T20984—2007和GB/T35274—2017界定的以及下列術(shù)語(yǔ)和定義適用2a)明確數(shù)據(jù)安全需求。組織應(yīng)分析大數(shù)據(jù)環(huán)境下數(shù)據(jù)的保密性、完整性和可用性所面臨的新問(wèn)d)評(píng)估大數(shù)據(jù)安全風(fēng)險(xiǎn)。組織除開展信息系統(tǒng)安全風(fēng)險(xiǎn)評(píng)估外，還應(yīng)從大數(shù)據(jù)環(huán)境潛在的系統(tǒng)a)大數(shù)據(jù)安全管理者：對(duì)組織大數(shù)據(jù)安全負(fù)責(zé)的個(gè)人或團(tuán)隊(duì)。大數(shù)據(jù)安全管理者負(fù)責(zé)數(shù)據(jù)安全b)大數(shù)據(jù)安全執(zhí)行者：是執(zhí)行組織數(shù)據(jù)安全相關(guān)工作的個(gè)人或團(tuán)隊(duì)。大數(shù)據(jù)安全執(zhí)行者負(fù)責(zé)數(shù)c)大數(shù)據(jù)安全審計(jì)者：負(fù)責(zé)大數(shù)據(jù)審計(jì)相關(guān)工作的個(gè)人或團(tuán)e)負(fù)責(zé)組織的大數(shù)據(jù)安全管理過(guò)程，并對(duì)外部相關(guān)方(如：數(shù)據(jù)安全的主管部門、數(shù)據(jù)主體等)3a)根據(jù)大數(shù)據(jù)安全管理者的要求實(shí)施安全措施；b)明確角色的安全職責(zé)。組織應(yīng)明確大b)建立數(shù)據(jù)糾錯(cuò)機(jī)制；4當(dāng)前控制數(shù)據(jù)的組織應(yīng)對(duì)數(shù)據(jù)負(fù)責(zé)，當(dāng)數(shù)據(jù)轉(zhuǎn)移給其他組織時(shí)，責(zé)任不隨數(shù)據(jù)轉(zhuǎn)移而轉(zhuǎn)移。組a)賦予數(shù)據(jù)活動(dòng)主體的最小操作權(quán)限和最小數(shù)據(jù)集；b)制定數(shù)據(jù)訪問(wèn)授權(quán)審批流程，對(duì)數(shù)據(jù)活動(dòng)主體的數(shù)據(jù)操作權(quán)限和范圍變更制定申請(qǐng)和審批c)解決風(fēng)險(xiǎn)評(píng)估和安全檢查中所發(fā)現(xiàn)的安全風(fēng)險(xiǎn)和脆弱性，并對(duì)安全防護(hù)措施不當(dāng)所造成b)采取有效技術(shù)措施保證對(duì)大數(shù)據(jù)活動(dòng)的所有操作可追溯。5e)知識(shí)產(chǎn)權(quán)保護(hù)及數(shù)據(jù)價(jià)值保護(hù)。a)科學(xué)性。按照數(shù)據(jù)的多維特征及其相互間邏輯關(guān)聯(lián)進(jìn)行科學(xué)和系統(tǒng)地分類，按照大數(shù)d)擴(kuò)展性。數(shù)據(jù)分類和分級(jí)方案在總體上應(yīng)具有概括性和包容性，能夠針對(duì)組織各組織應(yīng)按照?qǐng)D1的流程對(duì)數(shù)據(jù)進(jìn)行分類分級(jí)。組織應(yīng)根據(jù)數(shù)據(jù)分類分級(jí)規(guī)范對(duì)數(shù)據(jù)進(jìn)行分類；為6據(jù)。個(gè)人信息和個(gè)人敏感信息應(yīng)參照GB/T35273—2017中的附錄A和附錄B執(zhí)行。組織針對(duì)不同級(jí)別的數(shù)據(jù)應(yīng)按照GB/T35274—2017第4章～第6章的規(guī)定，選擇恰當(dāng)?shù)墓芾砗蚦)數(shù)據(jù)處理。通過(guò)該活動(dòng)履行組織的職責(zé)或?qū)崿F(xiàn)組織的目標(biāo)。處理的數(shù)據(jù)可以是組織內(nèi)部持久d)數(shù)據(jù)分發(fā)。組織在滿足相關(guān)規(guī)定的情況下將數(shù)據(jù)處理生71)存儲(chǔ)架構(gòu)安全；2)邏輯存儲(chǔ)安全；3)存儲(chǔ)訪問(wèn)控制；4)數(shù)據(jù)副本安全；82)數(shù)據(jù)分析安全；9 c)數(shù)據(jù)出境威脅組織應(yīng)對(duì)已采取的安全措施的有效性進(jìn)行確認(rèn)。安全措施的選擇可以參考GB/T35274—2017。表A.1數(shù)據(jù)分類類別子類及范圍(A類)用戶身份相關(guān)數(shù)據(jù)(A2)用戶網(wǎng)絡(luò)身份鑒權(quán)信息：(A2-1)密碼及關(guān)聯(lián)信息(B類)用戶服務(wù)內(nèi)容(B1)服務(wù)內(nèi)容和資料數(shù)據(jù)：(B1-1)服務(wù)內(nèi)容數(shù)據(jù)、(B1-2)聯(lián)系人信息(C類)用戶服務(wù)衍(C2)設(shè)備信息：(C2-1)設(shè)備標(biāo)識(shí)、(C2-2)設(shè)備資料(D類)企業(yè)運(yùn)營(yíng)管價(jià)值，分為“核心”開”四類數(shù)據(jù)。)一般經(jīng)營(yíng)類數(shù)據(jù)、(D1-7)企業(yè)公開披露信息、(D1-8)企業(yè)上報(bào)信息(D3)網(wǎng)絡(luò)運(yùn)維數(shù)據(jù)：(D3-1)網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)密碼及關(guān)聯(lián)信息、(D3-2)核心網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源數(shù)據(jù)、(D3-3)重要網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源數(shù)據(jù)、(D3-4)一數(shù)據(jù)、(D3-5)公開網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源數(shù)據(jù)、(D3-6)公開網(wǎng)絡(luò)設(shè)(D4)合作伙伴數(shù)據(jù)：(D4-1)渠道基礎(chǔ)數(shù)據(jù)、(D4-2)CP/SP基礎(chǔ)數(shù)據(jù)表A.2數(shù)據(jù)分級(jí)類別子類及范圍極敏感級(jí)(A1-4)實(shí)體身份證明、(A1-5)用戶私密資料、(A2-1)用戶密碼及關(guān)聯(lián)信息、(D1-1)企業(yè)內(nèi)部核心管理數(shù)據(jù)、(D1-4)市場(chǎng)核心經(jīng)營(yíng)類數(shù)據(jù)、(D3-1)網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)密碼及關(guān)聯(lián)信息、(D3-2)核心網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源類數(shù)據(jù)表A.2(續(xù))類別子類及范圍(A1-1)自然人身份標(biāo)識(shí)、(A1-2)網(wǎng)絡(luò)身份標(biāo)識(shí)、(A1-3)用戶基本資料、(B1-1)服務(wù)內(nèi)容數(shù)數(shù)據(jù)、(D1-5)市場(chǎng)重要經(jīng)營(yíng)類數(shù)據(jù)、(D1-8)企業(yè)上報(bào)信息、(D2-1)重要業(yè)務(wù)運(yùn)營(yíng)服務(wù)數(shù)據(jù)、(D3-2)重要網(wǎng)絡(luò)設(shè)備及IT系統(tǒng)資源類數(shù)據(jù)、(D4-1)渠道基礎(chǔ)數(shù)據(jù)、(D4-2)CP/SP基礎(chǔ)數(shù)據(jù)(C1-3)消費(fèi)信息和賬單、(C2-1)終端設(shè)備標(biāo)識(shí)、(C2-2)終端設(shè)備資料、(D1-3)企業(yè)內(nèi)部一般管理數(shù)據(jù)、(D1-6)市場(chǎng)一般經(jīng)營(yíng)類數(shù)據(jù)、(D2-2)一般業(yè)務(wù)運(yùn)營(yíng)服務(wù)數(shù)(C1-1)業(yè)務(wù)訂購(gòu)關(guān)系、(C1-5)違規(guī)記錄數(shù)據(jù)、(D1-7)企業(yè)公開披露信息、(D2-3)業(yè)務(wù)運(yùn)營(yíng)服務(wù)數(shù)據(jù)、(D2-4)數(shù)字內(nèi)容業(yè)務(wù)運(yùn)營(yíng)數(shù)據(jù)、(D3-5)公開網(wǎng)絡(luò)設(shè)備表B.1展示了以下3個(gè)場(chǎng)景下生命科學(xué)大數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估案例：——場(chǎng)景1:使用生物大數(shù)據(jù)來(lái)設(shè)計(jì)針對(duì)特定人群的病毒；——場(chǎng)景3:利用大數(shù)據(jù)技術(shù)破壞現(xiàn)有的病原體檢測(cè)能力。場(chǎng)景1具有充足資源的組織和所需軟件需軟件和數(shù)據(jù)、具有所需的資金支持利用數(shù)據(jù)倉(cāng)庫(kù)、軟件、網(wǎng)絡(luò)基礎(chǔ)設(shè)施的脆弱性的能力要求能使用公開訪問(wèn)的數(shù)開放訪問(wèn)無(wú)無(wú)析來(lái)設(shè)計(jì)有害的生物代理需要特殊的技能：微生學(xué)、生物信息學(xué)無(wú)需要特殊技能：生物信息、分子生物學(xué)、微生物基因嚴(yán)重后果后果很嚴(yán)重，造成人員當(dāng)?shù)鼗驀?guó)際社區(qū)的攻員健康、農(nóng)業(yè)、環(huán)境等險(xiǎn)的病原體感染是否具有足夠的應(yīng)對(duì)能的技術(shù)措施有：訪問(wèn)無(wú)。IP地址跟蹤、訪問(wèn)低中高需要實(shí)施權(quán)限管理，且用戶具體的權(quán)限要求未知。面對(duì)未知的大量數(shù)據(jù)和用戶，預(yù)先設(shè)置角色十分[1]GB/T19715.1—2005信息技術(shù)信息技術(shù)安全管理指南第1部分：信息技術(shù)安全概念[2]GB/T19715.2—2005信息技術(shù)信息技術(shù)安全管理指南第2部分：管理和規(guī)劃信息技[4]GB/T35273—2017信息安全技術(shù)個(gè)人信息安全規(guī)范tionofISO/IEC38500tothegovernanceof[9]ITU-T