【标准】BT 37973-2019 信息安全技术 大数据安全管理指南

国家市场监督管理总局中国国家标准化管理委员会IGB/T37973—2019 Ⅲ 12规范性引用文件 13术语和定义 14大数据安全管理概述 24.1大数据安全管理目标 2 2 2 3 3 35.3质量保障 3 3 4 45.7确保安全 45.8可审计 4 46.1保密性 46.2完整性 46.3可用性 5 5 57.1数据分类分级原则 5 57.3数据分类方法 67.4数据分级方法 6 68.1大数据的主要活动 68.2数据采集 7 78.4数据处理 8 88.6数据删除 9 9ⅡGB/T37973—2019 9.2资产识别 9.3威胁识别 9.4脆弱性识别 9.5已有安全措施确认 9.6风险分析 附录A(资料性附录)电信行业数据分类分级示例 附录B(资料性附录)生命科学大数据风险分析示例 附录C(资料性附录)大数据安全风险 Ⅲ1下列文件对于本文件的应用是必不可少的。凡是注日期的引GB/T20984—2007信息安全技术信息安全风险评估规范GB/T25069—2010信息安全技术术语GB/T31167—2014信息安全技术云计算服务安全指南GB/T35274—2017信息安全技术大数据服务安全能力要求GB/T25069—2010、GB/T20984—2007和GB/T35274—2017界定的以及下列术语和定义适用2a)明确数据安全需求。组织应分析大数据环境下数据的保密性、完整性和可用性所面临的新问d)评估大数据安全风险。组织除开展信息系统安全风险评估外，还应从大数据环境潜在的系统a)大数据安全管理者：对组织大数据安全负责的个人或团队。大数据安全管理者负责数据安全b)大数据安全执行者：是执行组织数据安全相关工作的个人或团队。大数据安全执行者负责数c)大数据安全审计者：负责大数据审计相关工作的个人或团e)负责组织的大数据安全管理过程，并对外部相关方(如：数据安全的主管部门、数据主体等)3a)根据大数据安全管理者的要求实施安全措施；b)明确角色的安全职责。组织应明确大b)建立数据纠错机制；4当前控制数据的组织应对数据负责，当数据转移给其他组织时，责任不随数据转移而转移。组a)赋予数据活动主体的最小操作权限和最小数据集；b)制定数据访问授权审批流程，对数据活动主体的数据操作权限和范围变更制定申请和审批c)解决风险评估和安全检查中所发现的安全风险和脆弱性，并对安全防护措施不当所造成b)采取有效技术措施保证对大数据活动的所有操作可追溯。5e)知识产权保护及数据价值保护。a)科学性。按照数据的多维特征及其相互间逻辑关联进行科学和系统地分类，按照大数d)扩展性。数据分类和分级方案在总体上应具有概括性和包容性，能够针对组织各组织应按照图1的流程对数据进行分类分级。组织应根据数据分类分级规范对数据进行分类；为6据。个人信息和个人敏感信息应参照GB/T35273—2017中的附录A和附录B执行。组织针对不同级别的数据应按照GB/T35274—2017第4章～第6章的规定，选择恰当的管理和c)数据处理。通过该活动履行组织的职责或实现组织的目标。处理的数据可以是组织内部持久d)数据分发。组织在满足相关规定的情况下将数据处理生71)存储架构安全；2)逻辑存储安全；3)存储访问控制；4)数据副本安全；82)数据分析安全；9 c)数据出境威胁组织应对已采取的安全措施的有效性进行确认。安全措施的选择可以参考GB/T35274—2017。表A.1数据分类类别子类及范围(A类)用户身份相关数据(A2)用户网络身份鉴权信息：(A2-1)密码及关联信息(B类)用户服务内容(B1)服务内容和资料数据：(B1-1)服务内容数据、(B1-2)联系人信息(C类)用户服务衍(C2)设备信息：(C2-1)设备标识、(C2-2)设备资料(D类)企业运营管价值，分为“核心”开”四类数据。)一般经营类数据、(D1-7)企业公开披露信息、(D1-8)企业上报信息(D3)网络运维数据：(D3-1)网络设备及IT系统密码及关联信息、(D3-2)核心网络设备及IT系统资源数据、(D3-3)重要网络设备及IT系统资源数据、(D3-4)一数据、(D3-5)公开网络设备及IT系统资源数据、(D3-6)公开网络设(D4)合作伙伴数据：(D4-1)渠道基础数据、(D4-2)CP/SP基础数据表A.2数据分级类别子类及范围极敏感级(A1-4)实体身份证明、(A1-5)用户私密资料、(A2-1)用户密码及关联信息、(D1-1)企业内部核心管理数据、(D1-4)市场核心经营类数据、(D3-1)网络设备及IT系统密码及关联信息、(D3-2)核心网络设备及IT系统资源类数据表A.2(续)类别子类及范围(A1-1)自然人身份标识、(A1-2)网络身份标识、(A1-3)用户基本资料、(B1-1)服务内容数数据、(D1-5)市场重要经营类数据、(D1-8)企业上报信息、(D2-1)重要业务运营服务数据、(D3-2)重要网络设备及IT系统资源类数据、(D4-1)渠道基础数据、(D4-2)CP/SP基础数据(C1-3)消费信息和账单、(C2-1)终端设备标识、(C2-2)终端设备资料、(D1-3)企业内部一般管理数据、(D1-6)市场一般经营类数据、(D2-2)一般业务运营服务数(C1-1)业务订购关系、(C1-5)违规记录数据、(D1-7)企业公开披露信息、(D2-3)业务运营服务数据、(D2-4)数字内容业务运营数据、(D3-5)公开网络设备表B.1展示了以下3个场景下生命科学大数据风险评估案例：——场景1:使用生物大数据来设计针对特定人群的病毒；——场景3:利用大数据技术破坏现有的病原体检测能力。场景1具有充足资源的组织和所需软件需软件和数据、具有所需的资金支持利用数据仓库、软件、网络基础设施的脆弱性的能力要求能使用公开访问的数开放访问无无析来设计有害的生物代理需要特殊的技能：微生学、生物信息学无需要特殊技能：生物信息、分子生物学、微生物基因严重后果后果很严重，造成人员当地或国际社区的攻员健康、农业、环境等险的病原体感染是否具有足够的应对能的技术措施有：访问无。IP地址跟踪、访问低中高需要实施权限管理，且用户具体的权限要求未知。面对未知的大量数据和用户，预先设置角色十分[1]GB/T19715.1—2005信息技术信息技术安全管理指南第1部分：信息技术安全概念[2]GB/T19715.2—2005信息技术信息技术安全管理指南第2部分：管理和规划信息技[4]GB/T35273—2017信息安全技术个人信息安全规范tionofISO/IEC38500tothegovernanceof[9]ITU-T