GB/T 35274-2023信息安全技术大数据服务安全能力要求

ICS35030

CCSL.80

中华人民共和国国家标准

GB/T35274—2023

代替GB/T35274—2017

信息安全技术

大数据服务安全能力要求

Informationsecuritytechnology—

Securitycapabilityrequirementsforbigdataservices

2023-08-06发布2024-03-01实施

国家市场监督管理总局发布

国家标准化管理委员会

GB/T35274—2023

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

概述

4………………………3

大数据组织管理安全能力

5………………4

策略与规程

5.1…………………………4

组织与人员

5.2…………………………5

资产管理

5.3……………6

大数据处理安全能力

6……………………7

数据收集

6.1……………7

数据存储

6.2……………8

数据使用

6.3……………9

数据加工

6.4……………10

数据传输

6.5……………12

数据提供

6.6……………12

数据公开

6.7……………13

数据销毁

6.8……………14

大数据服务安全风险管理能力

7…………14

风险识别

7.1……………14

安全防护

7.2……………15

安全监测

7.3……………17

安全检查

7.4……………18

安全响应

7.5……………18

安全恢复

7.6……………20

参考文献

……………………21

Ⅰ

GB/T35274—2023

前言

本文件按照标准化工作导则第部分标准化文件的结构和起草规则的规定

GB/T1.1—2020《1:》

起草

。

本文件代替信息安全技术大数据服务安全能力要求与

GB/T35274—2017《》,GB/T35274—

相比除结构调整和编辑性改动外主要技术变化如下

2017,,:

删除了数据生命周期数据服务数据交换数据共享和重要数据见年版的第章个

a)、、、(20173)5

术语和定义增加了数据处理数据安全数据保护数据收集数据存储数据使用数据加工

,、、、、、、、

数据传输数据提供数据公开和数据销毁见第章个术语和定义修改了大数据平台

、、(3)11,、

大数据应用大数据系统大数据使用者大数据服务大数据服务提供者和数据供应链见第

、、、、(

章年版的第章个术语和定义的描述

3,20173)7;

删除了总体要求见年版的和要求分级见年版的对标准整体内容进行

b)(20174.1)(20174.2),

了梳理见第章年版的

(4,20174.3);

删除了服务规划与管理见年版的数据供应链管理见年版的和合规性

c)(20175.4)、(20175.5)

管理见年版的修改了策略与规程组织和人员以及资产管理安全能力要求见

(20175.6),、(

年版的

5.1、5.2、5.3,20175.1、5.3、5.2);

重组并更改了数据采集数据传输数据存储数据处理数据交换和数据销毁的数据活动安全

d)、、、、

要求按照数据安全法和个人信息保护法要求的数据收集存储使用加工传输提供公开

,、、、、、、

和销毁的数据处理过程明确了大数据服务提供者的大数据处理安全能力要求见第章

(6,2017

年版的第章

6);

增加了大数据服务安全风险管理能力从风险识别安全防护安全监测安全检查安全响

e)“”,、、、、

应和安全恢复环节规定了大数据服务提供者在大数据系统运营中的数据安全风险管理能力

,

见第章

(7);

删除了附录中见年版的附录

f)A(2017A)。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别专利的责任

。。

本文件由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本文件起草单位清华大学北京大学中国电子技术标准化研究院中国网络安全审查技术与认证

:、、、

中心中国信息安全测评中心国家计算机网络应急技术处理协调中心深信服科技股份有限公司浙江

、、、、

蚂蚁小微金融服务集团有限公司北京快手科技有限公司阿里巴巴中国有限公司腾讯云计算北

、、()、(

京有限责任公司中国科学院信息工程研究所华控清交信息科技北京有限公司北京天融信网络安

)、、()、

全技术有限公司北京火山引擎科技有限公司长扬科技北京股份有限公司上海观安信息技术股份

、、()、

有限公司华为技术有限公司北京奇虎科技有限公司启明星辰信息技术集团股份有限公司中国软件

、、、、

评测中心工业和信息化部软件与集成电路促进中心北京数安行科技有限公司上海赴源科技服务有

()、、

限公司杭州世平信息科技有限公司北京信安世纪科技股份有限公司联想北京有限公司杭州安恒

、、、()、

信息技术股份有限公司成都卫士通信息产业股份有限公司上海三零卫士信息安全有限公司陕西省

、、、

信息化工程研究院上海商汤智能科技有限公司北京神州绿盟科技有限公司北京百度网讯科技有限

、、、

公司浙江大华技术股份有限公司北京腾云天下科技有限公司

、、。

本文件主要起草人叶晓俊谢安明吴迪王建民赵英华徐羽佳刘贤刚陈兴蜀赵芸伟

:、、、、、、、、、

宋博韬白晓媛落红卫陈驰靳晨叶润国陈星查海平谢江刘玉红李娇娇张亚京兰安娜

、、、、、、、、、、、、、

李世奇胡影金涛闵京华王永霞葛小宇张屹都婧周润松陈洪运杨保磊丁国徽吴高望娅露

、、、、、、、、、、、、、、

Ⅲ

GB/T35274—2023

徐浩王海棠张宇马红霞刘玉岭王庆磊瓮辉辉潘正泰葛梦莹

、、、、、、、、。

本文件及其所代替文件的历次版本发布情况为

:

年首次发布为

———2017GB/T35274—2017;

本次为第一次修订

———。

Ⅳ

GB/T35274—2023

信息安全技术

大数据服务安全能力要求

1范围

本文件规定了大数据服务提供者的大数据服务安全能力要求包括大数据组织管理安全能力大数

,、

据处理安全能力和大数据服务安全风险管理能力的要求

。

本文件适用于指导大数据服务提供者的大数据服务安全能力建设也适用于第三方机构对大数据

,

服务提供者的大数据服务安全能力进行评估

。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款其中注日期的引用文

。,

件仅该日期对应的版本适用于本文件不注日期的引用文件其最新版本包括所有的修改单适用于

,;,()

本文件

。

所有部分信息技术词汇

GB/T5271()

信息安全技术术语

GB/T25069—2022

信息安全技术个人信息安全规范

GB/T35273—2020

信息技术大数据术语

GB/T35295—2017

3术语和定义

所有部分和