信息安全技术 大数据服务安全能力要求-编制说明

前言 IV引言 V1范围 12规范性引用文件 13术语、定义和缩略语 13.1术语和定义 13.2缩略语 34大数据服务安全 34.1大数据服务安全目标 34.1.1概念安全目标 34.1.2业务安全目标 44.2大数据服务安全能力 54.3本标准结构 65基础安全要求 65.1策略与规程 65.2资产安全 75.2.1数据资产 75.2.2系统资产 75.3组织和人员 75.3.1组织结构 75.3.2人员管理 85.3.3角色管理 85.3.4人员培训 95.4制度和流程 95.5数据供应链 95.6元数据管理 95.7合规性管理 105.7.1数据跨境传输 105.7.2个人信息保护 105.7.3重要数据保护 115.7.4密码支持 116数据生命周期安全要求 126.1数据收集 126.1.1收集原则 126.1.2数据分类 126.1.3数据采集 126.1.4数据清洗与转换 136.1.5数据加载 136.1.6质量监控 136.2数据传输 146.3数据存储 146.3.1数据存储架构安全 146.3.2数据逻辑存储安全 146.3.3数据存储访问控制 156.3.4数据副本安全管理 156.3.5数据时效性管理 166.4数据处理 166.4.1分布处理安全 166.4.2数据分析安全 166.4.3数据正当使用 176.4.4数据加密处理 176.4.5数据处理溯源 176.4.6数据归档处理 186.4.7终端数据安全 186.4.8安全处理监控 186.5数据共享 196.5.1数据脱敏 196.5.2数据导入安全 196.5.3数据导出安全 206.5.4数据共享安全 206.5.5数据迁移安全 216.5.6数据披露安全 216.5.7隐私与合规要求 226.5.8操作监控 226.6数据销毁 226.6.1数据销毁处置 226.6.2介质销毁处置 237平台与应用安全要求 237.1安全规划 237.1.1战略规划 227.1.2需求分析 247.1.3方案评估 247.2开发部署 247.2.1安全架构 247.2.2功能规范 257.2.3开发与交付 257.2.4安全部署 267.2.5边界防护 267.2.6服务接口 267.2.7文档管理 277.3应用安全 277.3.1应用程序管理 277.3.2缺省配置安全 287.3.3身份凭证存储 287.3.4身份标识与鉴别 297.3.5平台资源获取 297.3.6授权与访问控制 307.3.7多租户数据安全 307.3.8敏感数据处理 317.3.9数据导入导出 317.3.10用户隐私保护 327.3.11应用行为监测 327.4安全运维 337.4.1系统配置管理 337.4.2系统补丁管理 337.4.3IT供应链安全 347.4.4外部组件使用 347.4.5安全事件管理 347.4.6安全风险评估 357.4.7系统备份与容灾 357.4.8系统应急响应 367.4.9业务连续性计划 367.4.10密钥管理与服务 377.4.11服务水平协议 377.4.12介质访问和使用 387.5安全审计 387.5.1审计策略管理 387.5.2审计数据产生 397.5.3审计数据保护 397.5.4审计分析报告 39附录A（资料性附录）大数据服务模式与角色 41参考文献 45六、与相关法律法规及国家有关规定、国内相关标准的关系本标准规范了大数据服务提供商在基础安全能力、数据生命周期安全管理能力和应用与平台服务安全能力方面的要求。本标准为评估大数据服务提供商的安全能力提供了依据，对于提升我国大数据服务提供商的数据安全和系统保护能力具有十分重要的参考意义。本标准与正在制定的《信息安全技术大数据安全管理指南》以及已经发布的GB/T31168《信息安全技术云计算服务安全能力要求》一起，旨在推动大数据服务安全保障体系的建立。重大分歧意见的处理经过和依据详见标准意见汇总处理表。国家标准作为强制性国家标准或推荐性国家标准的建议建议本标准作为推荐性国家标准发布实施。贯彻国家标准的要求和措施建议（包括组织措施、技术措施、过渡办法等内容）本标准主要用于对大数据服务提供商的安全能力进行规范，有助于提升我国大数据服务提供商的数据安全管理和系统安全运维能力，同时也有利于为我国大数据安全审查提供支撑。其他事项说明本标准不涉及专利。国家标准《信息安全技术大数据服务安全能