搜索结果: GB/T 35274-2023, GB/T35274-2023, GBT 35274-2023, GBT35274-2023
| 标准编号 | GB/T 35274-2023 (GB/T35274-2023) | | 中文名称 | 信息安全技术 大数据服务安全能力要求 | | 英文名称 | Information security technology - Security capability requirements for big data services | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.030 | | 字数估计 | 26,289 | | 发布日期 | 2023-08-06 | | 实施日期 | 2024-03-01 | | 旧标准 (被替代) | GB/T 35274-2017 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 35274-2023: 信息安全技术 大数据服务安全能力要求
ICS 35.030
CCSL80
中华人民共和国国家标准
代替GB/T 35274-2017
信息安全技术
大数据服务安全能力要求
2023-08-06发布
2024-03-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 概述 3
5 大数据组织管理安全能力 4
5.1 策略与规程 4
5.2 组织与人员 5
5.3 资产管理 6
6 大数据处理安全能力 7
6.1 数据收集 7
6.2 数据存储 8
6.3 数据使用 9
6.4 数据加工 10
6.5 数据传输 12
6.6 数据提供 12
6.7 数据公开 13
6.8 数据销毁 14
7 大数据服务安全风险管理能力 14
7.1 风险识别 14
7.2 安全防护 15
7.3 安全监测 17
7.4 安全检查 18
7.5 安全响应 18
7.6 安全恢复 20
参考文献 21
前言
本文件按照GB/T 1.1-2020《标准化工作导则 第1部分:标准化文件的结构和起草规则》的规定
起草。
本文件代替GB/T 35274-2017《信息安全技术 大数据服务安全能力要求》,与GB/T 35274-
2017相比,除结构调整和编辑性改动外,主要技术变化如下:
a) 删除了数据生命周期、数据服务、数据交换、数据共享和重要数据(见2017年版的第3章)5个
术语和定义,增加了数据处理、数据安全、数据保护、数据收集、数据存储、数据使用、数据加工、
数据传输、数据提供、数据公开和数据销毁(见第3章)11个术语和定义,修改了大数据平台、
大数据应用、大数据系统、大数据使用者、大数据服务、大数据服务提供者和数据供应链(见第
3章,2017年版的第3章)7个术语和定义的描述;
b) 删除了总体要求(见2017年版的4.1)和要求分级(见2017年版的4.2),对标准整体内容进行
了梳理(见第4章,2017年版的4.3);
c) 删除了服务规划与管理(见2017年版的5.4)、数据供应链管理(见2017年版的5.5)和合规性
管理(见2017年版的5.6),修改了策略与规程、组织和人员以及资产管理安全能力要求(见
5.1、5.2、5.3,2017年版的5.1、5.3、5.2);
d) 重组并更改了数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁的数据活动安全
要求,按照数据安全法和个人信息保护法要求的数据收集、存储、使用、加工、传输、提供、公开
和销毁的数据处理过程明确了大数据服务提供者的大数据处理安全能力要求(见第6章,2017
年版的第6章);
e) 增加了“大数据服务安全风险管理能力”,从风险识别、安全防护、安全监测、安全检查、安全响
应和安全恢复环节,规定了大数据服务提供者在大数据系统运营中的数据安全风险管理能力
(见第7章);
f) 删除了附录A中(见2017年版的附录A)。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。
本文件由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本文件起草单位:清华大学、北京大学、中国电子技术标准化研究院、中国网络安全审查技术与认证
中心、中国信息安全测评中心、国家计算机网络应急技术处理协调中心、深信服科技股份有限公司、浙江
蚂蚁小微金融服务集团有限公司、北京快手科技有限公司、阿里巴巴(中国)有限公司、腾讯云计算(北
京)有限责任公司、中国科学院信息工程研究所、华控清交信息科技(北京)有限公司、北京天融信网络安
全技术有限公司、北京火山引擎科技有限公司、长扬科技(北京)股份有限公司、上海观安信息技术股份
有限公司、华为技术有限公司、北京奇虎科技有限公司、启明星辰信息技术集团股份有限公司、中国软件
评测中心(工业和信息化部软件与集成电路促进中心)、北京数安行科技有限公司、上海赴源科技服务有
限公司、杭州世平信息科技有限公司、北京信安世纪科技股份有限公司、联想(北京)有限公司、杭州安恒
信息技术股份有限公司、成都卫士通信息产业股份有限公司、上海三零卫士信息安全有限公司、陕西省
信息化工程研究院、上海商汤智能科技有限公司、北京神州绿盟科技有限公司、北京百度网讯科技有限
公司、浙江大华技术股份有限公司、北京腾云天下科技有限公司。
本文件主要起草人:叶晓俊、谢安明、吴迪、王建民、赵英华、徐羽佳、刘贤刚、陈兴蜀、赵芸伟、
宋博韬、白晓媛、落红卫、陈驰、靳晨、叶润国、陈星、查海平、谢江、刘玉红、李娇娇、张亚京、兰安娜、
李世奇、胡影、金涛、闵京华、王永霞、葛小宇、张屹、都婧、周润松、陈洪运、杨保磊、丁国徽、吴高、望娅露、
徐浩、王海棠、张宇、马红霞、刘玉岭、王庆磊、瓮辉辉、潘正泰、葛梦莹。
本文件及其所代替文件的历次版本发布情况为:
---2017年首次发布为GB/T 35274-2017;
---本次为第一次修订。
信息安全技术
大数据服务安全能力要求
1 范围
本文件规定了大数据服务提供者的大数据服务安全能力要求,包括大数据组织管理安全能力、大数
据处理安全能力和大数据服务安全风险管理能力的要求。
本文件适用于指导大数据服务提供者的大数据服务安全能力建设,也适用于第三方机构对大数据
服务提供者的大数据服务安全能力进行评估。
2 规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文
件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于
本文件。
GB/T 5271(所有部分) 信息技术 词汇
GB/T 25069-2022 信息安全技术 术语
GB/T 35273-2020 信息安全技术 个人信息安全规范
GB/T 35295-2017 信息技术 大数据 术语
3 术语和定义
GB/T 5271(所有部分)、GB/T 25069-2022、GB/T 35273-2020和GB/T 35295-2017界定的以
及下列术语和定义适用于本文件。
3.1
大数据 bigdata
具有体量巨大、来源多样、生成极快、宜多变等特征,并且难以用传统数据体系结构有效处理的包含
大量数据集的数据。
[来源:GB/T 35295-2017,2.1.1]
3.2
数据处理 datahandling
数据操作的系统执行,以实现特定目的的数据收集、存储、使用、加工......
|