1 范圍

      本標準提出了大數據安全管理基本原則，規定了大數據安全需求、數據分類分級、大數據活動的安全要求、評估大數據安全風險。

      本標準適用于各類組織進行數據安全管理，也可供第三方評估機構參考。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 7027-2002 信息分類和編碼的基本原則與方法

      GB/T 20984-2007 信息安全技術 信息安全風險評估規范

      GB/T 25069-2010 信息安全技術 術語

      GB/T 31167-2014 信息安全技術 云計算服務安全指南

      GB/T 35274-2017 信息安全技術 大數據服務安全能力要求

3 術語和定義

      GB/T 25069-2010、GB/T 20984-2007和GB/T 35274-2017 界定的以及下列術語和定義適用于本文件。

3.1

      大數據 big data

      具有數量巨大、種類多樣、流動速度快、特征多變等特性，并且難以用傳統數據體系結構和數據處理技術進行有效組織、存儲、計算、分析和管理的數據集。

3.2

      組織 organization

      由作用不同的個體為實施共同的業務目標而建立的結構。

      注：組織可以是一個企業、事業單位、政府部門等。

3.3

      大數據平臺 big data platform

      采用分布式存儲和計算技術，提供大數據的訪問和處理，支持大數據應用安全高效運行的軟硬件集合。

3.4

      大數據環境 big data environment

      開展大數據活動所涉及的數據、平臺、規程及人員等的要素集合。

3.5

      大數據活動 big data activity

      組織針對大數據開展的一組特定任務的集合。

      注：大數據活動主要包括采集、存儲、處理、分發、刪除等活動。

4 大數據安全管理概述

4.1 大數據安全管理目標

      組織實現大數據價值的同時，確保數據安全。組織應：

      a）滿足個人信息保護和數據保護的法律法規、標準等要求；

      b）滿足大數據相關方的數據保護要求；

      c）通過技術和管理手段，保證自身控制和管理的數據安全風險可控。

4.2 大數據安全管理的主要內容

      大數據安全管理主要包含以下內容：

      a）明確數據安全需求。組織應分析大數據環境下數據的保密性、完整性和可用性所面臨的新問題，分析大數據活動可能對國家安全、社會影響、公共利益、個人的生命財產安全等造成的影響，并明確解決這些問題和影響的數據安全需求。

      b）數據分類分級。組織應先對數據進行分類分級，根據不同的數據分級選擇適當的安全措施。

      c）明確大數據活動安全要求。組織應理解主要大數據活動的特點，可能涉及的數據操作，并明確各大數據活動的安全要求。

      d）評估大數據安全風險。組織除開展信息系統安全風險評估外，還應從大數據環境潛在的系統的脆弱點、惡意利用、后果等不利因素，以及應對措施等評估大數據安全風險。

4.3 大數據安全管理角色及責任

4.3.1 概述

      組織應建立大數據安全管理組織架構，根據組織的規模、大數據平臺的數據量、業務發展及規劃等明確不同角色及其職責，至少包含以下角色：

      a）大數據安全管理者：對組織大數據安全負責的個人或團隊。大數據安全管理者負責數據安全相關領域和環節的決策，制定并審議數據安全相關制度，監督執行和組織落實業務部門數據安全相關工作。

      b）大數據安全執行者：是執行組織數據安全相關工作的個人或團隊。大數據安全執行者負責數據安全相關領域和環節工作的執行，制定數據安全相關細則，落實各項安全措施，配合大數據安全管理者開展各項工作。

      c）大數據安全審計者：負責大數據審計相關工作的個人或團隊。大數據安全審計者對安全策略的適當性進行評價，幫助檢測安全違規，并生成安全審計報告。

4.3.2 大數據安全管理者的職責

      大數據安全管理者的具體職責有：

      a）確定數據的分類分級初始值，制定數據分類分級指南。與提供大數據的業務部門合作，確定數據的安全級別。

      b）綜合考慮法律法規、政策、標準、大數據分析技術水平、組織所處行業特殊性等因素，評估數據安全風險，制定數據安全基本要求。

      c）對數據訪問進行授權，包括授權給組織內部的業務部門、外部組織等。

      d）建立相應的數據安全管理監督機制，監視數據安全管理機制的有效性。

      e）負責組織的大數據安全管理過程，并對外部相關方（如：數據安全的主管部門、數據主體等）

負責。

4.3.3 大數據安全執行者的職責

      大數據安全執行者的主要職責有：

      a）根據大數據安全管理者的要求實施安全措施；

      b）為大數據安全管理者授權的相關方分配數據訪問權限和機制；

      c）配合大數據安全管理者處置安全事件；

      d）記錄數據活動的相關日志。

4.3.4 大數據安全審計者的職責

      大數據安全審計者的主要職責有：

      a）審核數據活動的主體、操作及對象等數據相關屬性，確保數據活動的過程和相關操作符合安全要求；

      b）定期審核數據的使用情況。

5 大數據安全管理基本原則

5.1 職責明確

      組織應明確不同角色和其大數據活動的安全責任。組織應：

      a）設立大數據安全管理者。根據組織使命、數據規模與價值、組織業務等因素，組織應明確擔任大數據安全管理者角色的人員或部門，可由業務負責人、法律法規專家、IT安全專家、數據安全專家組成，為組織的數據及其應用安全負責。

      b）明確角色的安全職責。組織應明確大數據安全管理者，大數據安全執行者，大數據安全審計者，以及數據安全相關的其他角色的安全職責。

      c）明確主要活動的實施主體。組織應明確大數據主要活動的實施主體及安全責任。

5.2 安全合規

      組織應制定策略和規程確保數據的各項活動滿足合規要求。組織應：

      a）理解并遵從數據安全相關的法律法規、合同、標準等；

      b）正確處理個人信息、重要數據；

      c）實施了合理的跨組織數據保護的策略和實踐。

5.3 質量保障

      組織在采集和處理數據的過程中應確保數據質量。組織應：

      a）采取適當的措施確保數據的準確性、可用性、完整性和時效性；

      b）建立數據糾錯機制；

      c）建立定期檢查數據質量的機制。

5.4 數據最小化

      組織應保證只采集和處理滿足目的所需的最小數據。組織應：

      a）在采集數據前，明確數據的使用目的及所需數據范圍。

      b）提供適當的管理和技術措施保證只采集和處理與目的相關的數據項和數據量。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。