GB/T 35274-2023《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》
一、標準發(fā)布與實施
發(fā)布時間:2023年8月6日
實施時間:2024年3月1日
二、標準起草單位與主要起草人
起草單位:包括清華大學(xué)、北京大學(xué)、中國電子技術(shù)標準化研究院、中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心、中國信息安全測評中心等眾多知名高校、研究機構(gòu)和科技企業(yè)。
主要起草人:葉曉俊、謝安明、吳迪等多位專家參與了標準的編制工作。
三、標準背景與目的
背景:隨著大數(shù)據(jù)技術(shù)的快速發(fā)展和應(yīng)用,大數(shù)據(jù)服務(wù)在各個領(lǐng)域得到了廣泛應(yīng)用。然而,大數(shù)據(jù)服務(wù)在帶來便利的同時,也面臨著諸多安全風(fēng)險和挑戰(zhàn)。為了保障大數(shù)據(jù)服務(wù)的安全性,國家制定了該標準。
目的:規(guī)范大數(shù)據(jù)服務(wù)提供者的安全能力要求,確保大數(shù)據(jù)服務(wù)在收集、存儲、處理、傳輸和使用過程中的安全性,保護個人隱私和企業(yè)秘密,促進大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展。
四、標準內(nèi)容
標準從大數(shù)據(jù)服務(wù)提供者的組織管理安全能力、數(shù)據(jù)處理安全能力和數(shù)據(jù)服務(wù)安全風(fēng)險管理能力三大方面提出要求:
組織管理安全能力:
要求制定網(wǎng)絡(luò)安全和數(shù)據(jù)安全等管理制度,以及相匹配的大數(shù)據(jù)平臺和大數(shù)據(jù)應(yīng)用安全技術(shù)機制及實施細則。
設(shè)立專門的數(shù)據(jù)安全管理組織,明確職責(zé)和權(quán)限,確保安全人員具備必要的知識和技能,并進行定期培訓(xùn)和考核。
對大數(shù)據(jù)資產(chǎn)進行全生命周期管理,包括資產(chǎn)的識別、分類、登記、評估、處置等,確保資產(chǎn)的安全可控。
數(shù)據(jù)處理安全能力:
涉及數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開到銷毀等全生命周期的安全要求。
在數(shù)據(jù)收集階段,要求從安全渠道獲取數(shù)據(jù),并進行必要的數(shù)據(jù)清洗、標識和加載,防止非法數(shù)據(jù)混入。
在數(shù)據(jù)存儲階段,要求采用加密存儲、訪問控制、審計跟蹤等技術(shù)手段,確保數(shù)據(jù)在存儲過程中的保密性、完整性和可用性。
在數(shù)據(jù)使用與加工階段,要求根據(jù)數(shù)據(jù)權(quán)屬及收集和使用數(shù)據(jù)的目的和范圍,實施嚴格的訪問控制策略,并對數(shù)據(jù)使用過程進行審計跟蹤,防止數(shù)據(jù)泄露和濫用。
在數(shù)據(jù)傳輸與提供階段,要求采用安全通道和加密技術(shù),確保數(shù)據(jù)的機密性和完整性,并進行必要的安全評估和控制,防止數(shù)據(jù)泄露給未經(jīng)授權(quán)的組織或個人。
數(shù)據(jù)服務(wù)安全風(fēng)險管理能力:
要求建立全面的風(fēng)險評估機制,對大數(shù)據(jù)服務(wù)過程中可能存在的安全風(fēng)險進行識別和評估。
根據(jù)風(fēng)險評估結(jié)果,采取相應(yīng)的安全防護措施,包括技術(shù)防護和管理防護,降低安全風(fēng)險。
建立安全監(jiān)測和檢查機制,對大數(shù)據(jù)服務(wù)過程中的安全事件進行及時發(fā)現(xiàn)和響應(yīng)。
制定安全事件應(yīng)急響應(yīng)計劃,確保在安全事件發(fā)生時能夠迅速響應(yīng)并采取有效措施進行恢復(fù)。
五、標準變化與特點
體例與術(shù)語修改:與舊版標準相比,新版標準在體例和術(shù)語上進行了較大的修改。新版標準更加簡潔明了,術(shù)語更加準確規(guī)范,有利于標準的推廣和實施。
對標法律法規(guī):新版標準充分對標了《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護法》等法律法規(guī),確保了標準的合規(guī)性和權(quán)威性。同時,也為大數(shù)據(jù)服務(wù)提供者在實際操作中提供了具體的指導(dǎo)和規(guī)范。
強調(diào)全生命周期管理:新版標準強調(diào)了對大數(shù)據(jù)資產(chǎn)的全生命周期管理,從數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開到銷毀等各個環(huán)節(jié)都提出了具體的安全要求,確保了大數(shù)據(jù)服務(wù)在全生命周期中的安全性。
六、標準實施與意義
該標準的實施將有助于提高大數(shù)據(jù)服務(wù)提供者的安全能力水平,保障大數(shù)據(jù)服務(wù)的安全性。同時,該標準也將促進大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展,推動大數(shù)據(jù)技術(shù)在各個領(lǐng)域的廣泛應(yīng)用。此外,該標準的制定和實施還將有助于提升我國在國際大數(shù)據(jù)安全領(lǐng)域的地位和影響力。
綜上所述,GB/T 35274-2023《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》是一項重要的國家標準,它規(guī)范了大數(shù)據(jù)服務(wù)提供者的安全能力要求,為大數(shù)據(jù)服務(wù)的安全性提供了有力保障。
中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢,檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu),儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商,法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識。
本文內(nèi)容整合網(wǎng)站:中國政府網(wǎng)、百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
