全国信息技能安全规范化委员会(简称信安标委或TC260)在2021年经过了编制组请求的GB/T 35274-2017《信息安全技能 大数据服务安全才能要求》修订项目, 新版规范报批稿在2022年年末提交给国标委进行最终的形式化查看,从国标委规范展开状况看,GB/T 35274-2023近期行将发布。下面就该规范修订状况及规范内容进行解读,本规范牵头单位是清华大学,参加单位有北京大学,我国电子技能规范化研究院等33家单位,共45人参加编制。
本文内容包含四个方面,首要简略回忆GB/T 35274-2023规范的修订布景和修订进程,要点解读规范修订内容,最终讨论规范运用考虑。
本规范根据信安标委印发的《2021年网络安全国家规范项目申报攻略》进行修订。编制组在2021年4月提交了GB/T 35274-2017规范修订立项项目申报资料,2021年5月11日在信安标委大数据安全特别作业组安排的规范化会议周上编制组对项目立项状况进行了陈述,2021年8月信安标委秘书处最终奉告赞同了本项意图立项。因而编制组依照信安标委规范制修订流程在2021年9月发动了本规范作业草案的修订作业。
在介绍本规范内容之前,咱们先回忆下2016年GB/T 35274-2017规范立项布景和编制组确认的编制准则与编制根据。
为促进我国大数据工业展开,确保国家安全和数据安全,信安标委(TC260)在2016年4月7日树立了大数据安全规范特别作业组。该作业组首要针对云核算、大数据、物联网等新式信息技能拟定相关的网络安全规范。所以GB/T 35274-2017规范拟定方针首要是呼应2015年9月国务院印发的《促进大数据展开举动大纲》 ,依照大数据工业展开需规范先行准则,和全国信息技能规范化委员会(TC28)一同在大数据工业展开进程中别离发动了大数据和大数据安全相关国家规范的研发。
作为2016年信安标委(TC260)大数据安全规范特别作业组树立后立项的第一个大数据安全规范,在规范请求立项成功后,编制组确认了三个方面的规范编制准则:
1)采纳自主编制,自底向上的准则,为此规范编制组在体系梳理了阿里、腾讯、华为、蚂蚁、京东、中移动等我国大数据服务企业在数据安全,特别是大数据安全方面的最佳实践,期望经过对我国互联网服务厂商的最佳实践总结构成具有我国特征的大数据服务安全才能要求,一方面辅导我国企业大数据服务安全才能的提高,另一方面确保本规范内容施行的可操作性;
2)在规范内容结构方面尽量与国际规范接轨,例如在ISO/IEC 20547-4 :大数据互操作结构-安全和隐私维护中,针对大数据安全,ISO/IEC 20547-4提出了概念安全的概念,将传统的保密性、完整性和可用性(简称CIA特性)修正为保密性、真实性和可用性(CAA特性),将安全操控方法区别为面向大数据生态体系事务运营相关的操作安全和体系技能相关的安全操控活动;
3)确保本规范内容能服务于国家网络安全查看相关作业,特别是大数据安全点评、个人信息维护和重要数据出境等相关的网络安全查看作业。
最终咱们回忆下其时编制规范的根据:由于本规范是我国第一部面向大数据安全的国家规范,因而编制在充沛剖析和运用阿里、腾讯、华为、蚂蚁、京东、中移动等企业最佳实践外,还参照了以下三大类资料:
1)相关国家规范,如面向大数据服务的技能体系安全规范GB/T 31168-2014 《信息安全技能 云核算服务安全才能要求》和面向大数据服务安排办理的办理体系规范GB/T 22080—2016 《信息技能 安全技能 信息安全办理体系 要求》;
2)大数据安全相关国外规范,包含美国国家规范与技能研究院(NIST)正在拟定中的NIST SP1500 《大数据互操作结构 系列规范》和ISO/IEC 20547-4 《第4部分:安全和隐私维护》;
GB/T 35274-2017规范经过五年的实践,咱们国家数据安全相关的法律法规现已逐渐树立起来,本规范修订的第一个方针:内容要与法律法规相契合。
一是GB/T 35274-2017拟守时根据的网络安全查看方法已屡次修订,例如自2017年GB/T 35274公布以来,《网络安全查看方法》已先后构成三个版别,包含2017年5月日公布的《网络产品和服务安全查看方法(试行)》,2020年4月13日公布的《网络安全查看方法》和2020年4月13日公布的《网络安全查看方法》,因而本规范有关内容需求与时俱进;
二是2021年6月10日全国人大常务委员会第二十九次会议经过了2021年6月10日全国人大常务委员会第二十九次会议经过,2021年8月20日全国人大常务委员会第三十次会议经过了《个人信息维护法》,2021年4月27日国务院常务会议经过了《要害信息根底设施安全维护法令》等。因而本规范现已有了明晰的上位法规,规范内容有必要契合这些法律法规要求;
最终一点是在GB/T 35274-2017公布后,互联网办公室在2020年和2021年别离公布了《数据安全办理法令》(征求意见稿)和《网络数据安全办理法令》(征求意见稿),包含2021年12月31日发布的《互联网信息服务算法引荐办理规矩》及最新7部委发布的《生成式人工智能服务办理暂行方法》,因而规范中有必要针对这些大数据运用中的数据办理、内容生成服务等规范大数据服务供给者的安全才能要求。
总归,不同于2016年立项遵照的“自主编制,自底向上”,这次规范修订应选用 “法规遵照、顶层规划”的准则,以确保修订后的规范内容的法规遵照性。
规范修订立项第二个方针是要确保本规范与大数据服务相关网络安全规范的共同性,分三个方面:
一是支撑大数据服务安全才能的技能与渠道相关规范拟定/修订已基本完结,例如GB/T 35274-2017规范性文件中两个规范修订作业已基本完结,即GB-T 22239-2019 《信息安全技能 网络安全等级维护基本要求》代替了GB/T 22239-2008 《信息安全技能 信息体系安全等级维护基本要求》,GB/T 31168-2014 《信息安全技能 云核算服务安全才能要求》也正在修订中(GB/T 31168-2023 ),还有便是根据互联网办公室2020年公布的《《数据安全办理法令》(征求意见稿)》等法规要求的《信息安全技能 网络数据处理安全要求》拟定作业现已发动(该规范GB/T 41479在2022年发布)。因而GB/T 35274中体系渠道相关的技能要求和有关数据安全办理内容有必要与这些规范进行和谐。
二是个人信息维护相关的系列规范拟定/修订基本完结,例如与本规范一同立项,并在2017年一同公布施行的GB/T 35273-2017《信息安全技能 个人信息安全规范》已在2020年修订完结,与GB/T 35273配套的App等个人信息维护系列规范和规范拟定也基本完结,如GB/T 41391-2022 《信息安全技能 移动互联网运用程序(App)搜集个人信息基本要求》等相关规范现已在国家四部分联合开端的《App违法违规搜集运用个人信息专项办理》作业中得到广泛运用,原GB/T 35274中个人信息维护相关内容需求根据这些规范进行调整。
三是支撑《数据安全法》《数据安全办理方法》等相关规范拟定作业在2019年现已发动,在信安标委安排我国互联网服务厂商拟定的网络预定轿车服务数据安全要求等六项面向范畴的数据服务安全要求规范在2020年已生成报批稿,2022年连续公布施行,网络数据分类分级要求、软件供应链安全等数据安全法相关的配套国家规范已立项等。
综上所述,与GB/T 35274相关的技能与渠道、个人信息维护和范畴相关的数据服务安全要求重复条款进行删去,以确保国家规范内容之间的共同性。
本规范修订最终需求考虑的一点是要依照信安标委规范体系规划,对本规范定位进行调整。由于经过五年的大数据技能和工业展开,本规范应聚集大数据工业展开,促进大数据服务安排的数据服务安全才能提高。咱们先回忆下GB/T 35274在2016年立项时的规范定位,首要包含两个方面:
1)支撑网信办行将安排施行的《网络产品和服务安全查看方法》,例如2017年大数据安全点评、2018年大数据安全点评和数据出境安全点评等专项作业;
2)依照2015年9月国务院印发的《促进大数据展开举动大纲》,本规范能面向安排数据安全和数字经济展开,因而,信安标委根据GB/T 35274-2017的大数据服务安全才能要求拟定了《信息安全技能 数据安全才能成熟度模型》(GB/T 37988-2019),以点评大数据服务企业的数据安全办理才能。
1)第五章的根底安全才能要与GB/T 22080等质量办理体系坚持共同,因而章节标题修正为安排办理安全才能,以表现数据安全法中的各种办理准则建造等要求
2)第六章的数据服务安全才能修正为数据处理活动安全才能,以契合数安法、个保法、数安法令等法规要求的数据处理活动(数据生命周期)
3)添加第七章数据服务安全危险办理才能,以表现大数据服务进程中数据撒播等数据动态改动引起的安全危险办理才能要求
依照信安标委规范制修订作业流程,本规范方案在18个月内完结,因而编制组在2021年4月提交立项请求后,2021年8月就收到信安标委秘书处的立项成功告诉,经过1年多的尽力,本规范在2022年11月经过了秘书处安排的整体委员投票,规范报送稿在2022年12月提交国标委进行形式化查看,国标委近期将发布修订后的GB/T 35274-2023。
1)上面是信安标委秘书处依照国家规范制修订周期和谐安排的规范修订里程碑节点内容,包含项目申报、编制单位搜集、规范征求意见稿专家评定、规范揭露征求意见、规范送审稿专家评定和报批稿的专家投票等环节。
2)下面是信安标委大数据安全特别作业组和谐安排的规范修订里程碑节点内容,环绕信安标委每年两次安排的网络安全规范周的规范修订作业展开陈述,以及作业组提交信安标委秘书处之前其作业组内成员单位对本规范的反应主张和投票表决等环节。
2022年12月28日,依照信安标委作业安排,编制组完结了本规范报批一切资料的准备作业。因而下面咱们要点就规范内容改动进行概述和解读。
一是删去了原规范中的安全才能要求分级,以更好的本规范与网络安全等级维护相关规范、云核算服务安全才能要求规范或要害信息根底施行等相关规范条款分级进行联接;
二是原规范第六章的数据服务安全才能要求的数据生命周期概念与数据安全法等法规存在不共同,因而咱们对第六章的大数据处理活动及其数据操作依照最新法规进行了合规性调整;
三是依照数据安全法等数据安全危险点评要求,规范内容添加了“大数据服务安全危险办理才能”(第七章),以更好的点评大数据服务供给者在大数据体系运营和数据服务方面的数据安全危险管控才能。
1)第二章规范性引证文件:删去两个技能规范,添加了GB/T 5271《信息技能 词汇》(一切部分);
2)第三章术语与界说:删去了5个术语和界说,修正了7个术语和界说,添加了11个术语和界说;
3)第四章规范内容概述:删去了整体要求(原规范两个引证规范)和要求分级,重组了原规范规范结构内容概述;
4)第五章大数据安排办理安全才能(根底安全要求):删去了原规范中的5.4、5.5和5.6节内容,对照ISO/IEC 27002-2022版对5.1、5.2和5.2节内容进行了优化,以表现大数据安排的办理安全才能;
5)第六章大数据处理安全才能(数据服务安全要求):依照数据安全法和个人信息维护法重组了原规范中大数据生命周期相关数据处理活动安全才能要求;
6)第七章大数据服务安全危险办理才能:本次修订新添加的大数据服务供给者安全才能要求,遵照ISO 31000《危险办理》等规范,从危险辨认、安全防护、安全监测、安全查看、安全呼应和安全康复环节新增了大数据服务供给者的数据安全危险办理才能要求。
第七章大数据服务安全危险办理才能要求遵照《ISO31000危险办理规范》。
1)删去大数据服务体系相关的两个规范性引证文件:GB/T 31168 《云核算服务安全才能要求》和GB/T 22239《信息安全技能网络安全等级维护基本要求》,这是由于在GB/T 35274-2017版别第四章的4.1节的整体要求中,明晰要求大数据服务供给者应根据GB/T 31168—2014和GB/T 22239—2008规范,从信息技能视点提出大数据服务根底设施应采纳必要的安全管控方法,确保大数据渠道和运用的体系服务安全可靠地运转和大数据服务的事务任务。在本次修订中添加了第七章大数据服务安全危险办理才能要求,因而,有关数据危险点评相关的体系要求已在本规范的数据服务安全危险办理中明晰列示,且要害信息根底设施等安全要求规范也有大数据体系安全要求内容。故将这两个规范性引证文件调整到本规范参考文献。
2)更新了两个规范性引证文件:GB/T 35273—2017 《信息安全技能 个人信息安全规范》和GB/T 25069-2010 《信息安全技能 术语 》,由于这两个规范在这五年傍边都进行了修订和发布。
3)由于本次规范修订定位在安排数据处理活动,触及到许多数据处理相关的技能术语,所以添加了GB/T 5271《信息技能 术语》规范这个更通用的来自于ISO/IEC的技能规范,以使本规范与信息技能相关规范技能术语相共同。
术语界说是一份规范差异其他规范的要害标志,因而编制组特别注重本规范的术语界说。咱们先看看删去的5个术语和界说。
1)一是数据生命周期在数据数据安全法傍边现已明晰了是数据处理相关的数据活动,原规范界说的六个数据活动与数据安全法明晰的数据处理活动不共同,所以这次修订删去了该术语。
2)二是删去了数据服务,这次由于GB/T 35274-2017的大数据服务术语界说是根据数据服务。跟着数据要素等概念的提出,传统的从云核算服务视点界说的数据服务以不能表现当下大数据服务内在,这是由于现在的数据服务内容现已改动许多,数据驱动的各种服务存在许多危险,所以这次修订删去了该术语。
3)三是数据交换和数据同享这与数据生命周期相关技能术语,在数据安全法中现已规范化为数据供给和数据揭露,所以这次修订删去了这两个术语。
4)最终需求阐明的是,在新的信安标委数据安全规范体系傍边,重要数据和中心数据都会有相关规范,所以本规范也不触及这方面的安全要求,这次修订就删去了该术语。
在规范修订进程傍边,争辩比较多的是数据运用和数据加工的不同,数据删去和数据毁掉这四个术语:
1)一是数据安全法和个人信息维护法第一次区别了数据运用和数据加工这两个数据处理活动,因而本规范初次明晰了这两个术语的内在;
2)二是数据删去和数据毁掉术语的挑选问题:个人信息维护法和网络数据安全办理法令都运用了数据删去,数据安全法未明晰数据删去活动,工信部工业大数据办理方法则运用了GB/T 35274-2017的数据毁掉。经过屡次专家评定后修订后的规范继续运用GB/T 35274-20217中的数据毁掉术语。
前面说过一个规范的魂灵要有体系化的术语和界说,从图示 GB/T 35274-2017术语逻辑联系可看出,GB/T 35274-2017版术术语是环绕大数据服务列出相关术语的,由“数据服务”术语来界说“大数据服务”,大数据服务经过“大数据体系”供给,大数据体系包含“大数据渠道”和“大数据运用”,大数据用户分“大数据服务供给者”和“大数据运用者”,大数据服务相关的几个特别数据活动术语(数据交换、数据同享等)也在该规范中进行了界说。在GB/T 35274-2017拟定进程中,其时需求考虑网络安全法中说到的重要数据,因而给出了重要数据的界说。
大数据服务有数据生命周期,因而咱们在原规范对数据生命周期相关的数据同享和数据交换进行了界说,包含大数据服务相关的数据供应链和大数据体系,一同也把大数据体系相关大数据运用和大数据渠道进行了明晰认义。
图中标红的五个术语是这次修订删去的,标蓝的7个术语在本规范修订进程中也根据规范施行进程中咱们的反应意见对其描绘进行了部分修订。
下面咱们先看两个修正技能术语前后版别的详细改动:大数据体系和大数据服务供给者。
1)大数据体系:原规范是术语3.9,界说为“包含大数据运用者、大数据服务供给者、大数据运用和大数据渠道的信息体系”,从这个界说看出未明晰大数据体系所操控的数据财物,因而修订后的大数据体系界说成“包含大数据渠道、大数据运用及其所需和操控数据财物的信息体系。”,从这个新界说看出新规范明晰大数据体系包含其服务所需和操控数据财物,处理了大数据服务中的数据权属联系
2)大数据服务供给者:原规范是术语3.8,是指“经过大数据渠道和运用,供给大数据服务的安排”,修订后的规范将大数据服务供给者界说成“具有大数据体系,供给大数据服务的安排”,从这个界说看出新规范明晰大数据服务供给者是具有大数据体系,不能经过第三方的大数据渠道和运用供给大数据服务,别的,GB/T 35274-2017是经过安排来界说大数据服务供给者,在信息安全办理体系上一般选用“安排”这个术语,因而新版将“安排”换成“安排”。
关于11个新增的术语界说,首要是针对数据安全法和个人信息维护法中数据处理和个人信息处理相关数据活动在本规范中的内在进行了界说。咱们就看看“数据运用”和“数据加工”这两个术语在本规范中怎么界说的:
1)数据运用是根据业界提出的运用拜访操控模型,再结合数据生命周期中的数据权属联系改动和运用前后的数据运用条件改动进行界说的,因而“数据运用”界说成:根据数据权属及数据搜集意图,操控安排、人员或信息技能体系等对数据财物进行授权和拜访的数据处理活动,包含数据运用前条件操控和数据运用后职责实行等数据处理活动。为便于了解这个术语,咱们添加了术语注释对这个术语界说中触及的数据运用内在、运用前置条件和运用后职责进行了解说:数据运用一般不改动数据本身,如数据读取、数据排序、数据查找、数据分类、数据可视化等数据操作,运用进程中需对数据的用处、用法、用量及其意图等进行相应的操控。运用前条件是在运用授权规矩进行授权进程中,答应主体对客体拜访前有必要查验的一个决议方案要素集。条件操控可用来查看存在的束缚束缚,数据权属及运用权限是否有用,哪些束缚束缚有必要更新等。运用后职责实行是一个主体在取得对客体的拜访权限后有必要实行的强制需求。主体在取得权限实行数据运用操作后就应有实行获取这些权限的职责职责。
2)数据加工界说成“经过数据抽取、数据转化、数据剖析等数据操作改动数据形状,生成新数据(集)的数据处理活动”。相同咱们在术语注中对数据加工内在进行了解说:数据加工一般会触及数据本身的改动,需求先读取数据,并经过改换、转化、编码、剖析、发掘、脱敏等数据操作生成新数据(集)。
2)数据运用着重了拜访数据前的条件束缚和运用后的职责实行,因而在敞开环境下满意数据生命周期办理的数据运用不同于传统的用户授权和拜访操控,需求考虑数据运用的上下文环境及数据供给、数据揭露等权属联系改动后的各种束缚条件及其职责。这跟学术界提出运用拜访操控模型概念是共同的;
3)数据安全法、个人信息维护法提出数据处理是由数据活动组成,本规范再界说成数据活动是由各种数据操作组成,因而大数据数据处理安全才能要求可环绕各数据活动的数据操作进行安排。
新版术语逻辑结构如PPT图示所示,添加的11个术语(底色标黄)中有9个来自于数据安全法,包含数据安全和8个数据活动术语,数据处理和数据维护来自于GB/T 25069-2010《信息安全技能术语 。不同于修订前的规范,本版别明晰了大数据服务供给者在供给大数据服务时要考虑数据服务安全危险。
GB/T 35274-2017第四章有三节内容,本次修订只保存规范内容概述内容:即删去了原规范中的4.2节的要求分级,将4.1节的整体要求和4.3节的规范结构兼并在一同构本钱规范概述。详细改动如下:
1)删去4.2节的要求分级首要原因是GB/T 35274-2017的要求分级是参照GB/T 31168-2014的基本要求和增强要求进行分级的,新版GB/T 31168-2023将要求分为三级,加之信安标委结合数安法、数安法令等法规在规划重要数据和中心数据相关的规范规范,所以,本次修订不再对安全要求进行分级,仅仅必要时在描绘中经过 “宜”区别某些要求较高的条款。
2)概述部分环绕法规遵照性、网络安全等级维护准则和质量办理体系等要求,从大数据安排办理安全才能、大数据处理安全才能和大数据服务安全危险办理才能三个方面明晰了规范结构和内容。
从PPT图示看出,相关于GB/T 35273-2017版别,本规范最大的改动是添加了大数据服务安全危险办理才能,别的,大数据处理安全才能也是依照数安法等法规要求的数据处理活动对原规范的数据服务内容进行了重组。
GB/T 35274-2017第五章标题是“根底服务安全才能”,包含六末节,这次修订删去了大数据服务相关的5.4节的服务规划与办理和5.5节的数据供应链办理,别的跟着数据安全法等法规的公布,5.6节的合规性办理内容也细化到规范相关条款内容中,因而删去了5.6节,只保存前面三节内容,即安排数据安全办理相关的战略与规矩、安排与人员和财物办理。
根据第五章章节结构的调整,本章标题修正为“大数据安排办理安全才能”。本章条款修订的根据是数据安全法、网络数据安全办理法令及信安标委最新规范,修订的基本准则是根据信息安全办理体系相关规范的(GB/T 22081(ISO/IEC 27002-2022))最新版概念简化原规范第五章相关内容,添加数据安全法等法规遵照性要求。
从这张PPT中显现的GB/T 35274-2017和GB/T 35274-2023规范条款对照看出,原规范43条要求项,在新规范中也是43条,改动较大的首要是战略与规程。因而下面咱们以战略和规程解说新旧版别的详细改动。
PPT右边是新旧版别“战略与规程”内容条款的内容改动概况:原规范有5条一般要求和2条增强要求,修订后共10条要求项,其间有2个“宜”要求,换句话说修订后的战略与规程隐含了两个增强要求(PPT中标红部分)。
右边经过颜分规范内容的改动,标黑的是原规范傍边的条款内容,标蓝的是修订添加的条款内容,标红的是新添加的条款内容。
1)原规范中条款保存状况:(a)和(c)要求兼并成一条(法令最终标明晰修订后条款与原规范条款的对应联系),(e)和增强(a)兼并成条款(g)(下页PPT),换句线条法规相关的要求(包含在条款(c)和条款(j)中隐含的两个增强要求,所以严厉来讲新版战略与规程有12个要求项)
2)保存条款内容修订状况:新版条款内容也与时俱进对照法规要求进行了修正,例如原规范条款(b)着重“战略与规程掩盖安排的悉数数据处理活动”(PPT中标蓝部分)以表现数据安全法中要求安排的数据全生命周期办理要求,原规范条款(d))的技能与方法施行细则添加了数据安全法中的“数据安全办理准则”和“供应链安全管控规程”等。修正部分PPT中经过字体色彩标蓝部分能看出条款的详细改动内容。
3)法规遵照性新增条款:新增条款拜见PPT中悉数标示蓝色的条款,如条款(c)是来自于删去的原规范5.5节的数据供应链办理内容,对照数据安全法完善后的条款内容,其间关于触及重要数据和灵敏个人信息供应链办理的,添加了“包含大数据服务相关网络产品和服务挑选机制、挑选方针和点评方法”的增强要求(运用宜的标红部分)。
4)条款(e)和(f)新增条款来自于我国数据安全相关法规要求,包含工信部的安全危险点评陈述报送方法。
1)条款(g)兼并了原规范条款基本要求(e)和增强要求(a),从条款描绘看出,新规范将数据安全法中“数据安全办理准则”和“供应链安全办理”等内容反映到该条款;
2)条款(h)是对原规范条款增强要求(b)内容的完善,明晰大数据服务安全才能继续提高方案和施行机制的内容和方法,内容包含安排数据安全办理准则、数据安全战略和规程、大数据体系安全维护方法,方法是定时经过信息安全办理体系认证、网络安全等级维护测评、数据安全危险点评等方法。从该条款看出网络安全等级维护准则和网络安全办理体系认证在大数据服务安全中的位置。换句话说,该条款大数据服务供给者需求不断地经过网络等级维护准则和网络安全办理体系认证。
3)条款(i)和条款(j)都是这次修订新增条款内容;条款(i)来自于法规要求,包含“树立执行数据安全和个人信息维护法律法规及相关数据安全维护职责考核准则,触及灵敏个人信息处理、重要数据出境等应根据合规性要求做出安全职责的许诺”。
条款(j)是跟从数字化技能的展开,对大数据处理进程安全审计和合规性取证自动化等提出的才能要求,本条款隐含一个增强要求(标红部分)。
GB/T 35274-2017数据服务安全才能要求依照国内外规范及企业最佳实践对数据服务触及的六个数据活动将数据服务安全才能分六末节安排(PPT所示),从数据安全法、个人信息维护法和网络数据安全办理法令界说的数据处理包含的数据活动看,原规范中的数据活动与这些法规中数据生命周期或数据处理活动有抵触:
先看原规范的6个数据服务相关的数据活动,首要原规范的数据处理活动与法规要求的数据处理不共同,只包含了法规中的数据运用和数据加工,二是数据交换在法规中区别数据供给和数据揭露。因而数据处理和数据交换活动需求依照法规进行修正。别的数据搜集活动在法规中运用的是数据搜集术语。
争辩比较大的数据删去和数据毁掉,由于工信部的工业数据安全办理方法里边特别着重数据毁掉与数据删去的不同,编制组经过专家认可后,保存了原规范傍边数据毁掉这个数据处理活动术语。
修订后的第六章大数据处理的8个数据处理活动(PPT所示)契合数安法、个保法、数安法令等法规要求,首要改动如下:
1)原规范“数据搜集”数据处理活动修正为“数据搜集”,数据传输、数据存储和数据毁掉活动保存。
2)最大的改动是将原规范中的“数据处理”和“数据交换”两个数据处理活动重组为“数据运用”、“数据加工”、“数据供给”和“数据揭露”四个数据处理活动。
相关要求项进行优化,将原规范傍边156条要求项兼并成114条,原规范傍边43条增强要求兼并成15个宜。
1)前面说过“数据搜集”活动依照数据安全法中数据处理界说修正为“数据搜集”活动,其间数据分类分级有相关规范,因而本规范不再提详细要求,只在第七章的数据安全危险辨认部分要求对搜集数据进行分类分级。别的原规范中的“质量监控”也调整到第七章的数据服务安全危险。为此在2023版中的“数据搜集” 只保存原规范中的“数据搜集和获取”、“数据清洗、转化和加载”条款内容,咱们依照数据搜集进程分为数据获取、数据明晰、数据标识和数据加载四类数据操作。
2)关于“数据取得”操作,相关内容来自于将原规范中“数据搜集和获取”条款,原规范中包含3个一般要求兼并成一个,新版中2个增强要求兼并成一个,一同添加网络数据安全办理法令中的“数据获取环境点评”(条款(b))和产生违规行为时的应急弥补要求(条款(g))。详细修正内容见PPT右边的内容,修正阐明如下:
3)条款(c)是在原规范条款(d)根底上添加了“具有对超出法律法规规矩和合同约定规划、规模获取数据的反常行为进行检测告警才能”的要求,这是数安法和数安法令提出的要求;
5)条款(e)是在对原规范条款(e)根底上,从数据供应链安全视点,添加了法规层面的“两边法律职责及数据安全维护职责和职责”;
再如关于GB/T 35274-2017的“数据处理”活动内容的调整:咱们将“数据溯源”操作要求调整到新版中的“数据存储”部分,“数据合理运用”依照数据安全法等独自分离出来提出“数据运用”相关的安全才能要求,剩下的“分布式处理”等4种数据操作安全才能要求组成“数据加工”活动。
再看看新版“数据运用”活动,一是将原规范中数据存储活动的“拜访操控”要求调整到本数据处理活动,并添加了“数据展现”安全才能要求,关于GB/T 35274-2017的“数据合理运用”内容修正为“合规办理”,详细改动阐明如下:
1)原规范条款(a)和(b)内容依照数据安全法等法规用语进行了简化兼并,并添加了“使数据的运用不能危害相关权利人的合法权益”要求;
2)原规范条款(c)和(d)内容依照数据安全法等法规用语进行了优化(修正拜见蓝色标示部分);
3)对搜集和会聚数据的授权办理机制,包含数据操控者对会聚数据财物的操控权限等提出了合规性要求;
4)最终是对原规范的两个增强要求进行了兼并,添加了数据安全法中特别着重的危险应对处置才能要求。
关于“数据加工”中的“大数据剖析”,咱们也依照数据安全相关法规对部分条款内容进行了完善,例如兼并了原规范条款(c)和条款(d),添加了条款(d),以表现国家“互联网信息服务算法引荐办理规矩”相关的要求,其他条款标蓝部分是本次规范修订添加的要求,在条款(d)中还隐含包含一条增强要求(标红部分)。
第七章是本次修订规范新添加的,首要是从“危险辨认、安全防护、安全检测、安全查看、安全呼应和安全康复”六个环节,要对大数据服务安全危险进行管控。PPT中标红的是送审稿和报批稿不同的当地。
在介绍第七章详细内容前,咱们先概述下添加本章内容的布景。第五章大数据服务安排办理安全才能和第六章大数据处理活动安全才能是从静态视点或事务功用视点提出大数据服务供给者安全才能要求的,本章内容是在大数据服务供给者具有前面两章安全才能根底上,要求在大数据体系运营进程中,面向安排数据服务事务或任务的跨数据活动的数据操作组合引起的数据运营或数据操作等安全危险管控要求,以便对跨数据活动或数据在不同安排或IT空间活动所引起的数据安全危险进行管控。
换句话说第七章是针对安排任务或事务方针安排的跨多个数据活动的安全危险办理才能、或许说多个数据处理活动组合在一同去完结企业某个方针时的安全危险办理才能,即数据活动安排的事务和所需数据运转起来时要操控的数据安全危险才能。因而本章结构基本是依照戴明环或ISO 31000-2018危险办理结构来安排的,包含危险辨认、安全防护、安全检测、安全查看、安全呼应和安全康复六个环节。
需求阐明的是编制组开始的大数据服务安全危险办理才能包含危险辨认、安全防护、安全检测、安全呼应和安全康复。但在部分征求意见进程,国家网信主管部分主张将危险办理进程中的安全查看点评作为一个独自的进程,例如在2021年年末工信部发布的《工业和信息化范畴数据安全危险信息报送与同享作业指引(试行)》明晰了安全查看和危险报送的作业指引,因而在本规范报批稿编制组将安全查看独立出来,一同在安全呼应环节参加安全危险报送要求,以使大数据服务安全危险办理才能条款反映我国法规相关的要求。
本章包含大数据服务安全危险办理六个环节合计89条安全要求,分19个小类。
数据安全危险包含7个条款,其间条款(a)和条款(b)别离从财物辨认及对辨认财物的数据处理活动组件两个维度进行危险辨认;条款(c)要求对辨认的财物依照法规要求或相关规范进行分类分级提出才能要求;条款(d)是针对运用于要害信息根底设施的大数据渠道提出的一些安全危险办理要求;条款(e)针对数据处理活动树立数据安全办理知识库是通用要求;条款(f)是针对大数据服务供给者对外数据处理活动及特定场景的数据安全危险辨认和应对才能要求,最终一个条款(g)也是危险办理才能的通用要求。
供应链安全危险辨认包含四个条款,别离从大数据服务中数据供应链上下游安排的数据交换同享、大数据服务中数据供应链上下游安排网络产品和服务、数据供应链危险及危险应对主张和数据安全危险技能和方法有用性剖析点评四个方面提出了相应的要求。
7.2节安全防护和7.3节安全检测首要是在GB/T 31168和GB/T 22239根底上,针对数据服务安全危险办理提出的一些才能要求,条款内容比较多,了解这些条款需求结合GB/T 22239和GB/T 31168一同对照解说,咱们就不去细读解说了,这两部分是大数据体系运营进程中数据安全危险相关的办理才能要求。
条款(a)需求结合网络安全等级维护相关规范,经过测评等方法对7.2节的数据安全防护方法进行查看
条款(b)是要求大数据服务供给者要依照上级主管部分要求、专业安全安排主张,定时安排或在迸发网络进犯、严重安全漏洞时,及时展开专项安全查看
条款(c)、(d)和(e)三个条款来自ISO 31000危险办理等相关规范,包含《工业和信息化范畴数据安全危险信息报送与同享作业指引(试行)》等法规要求。
7.5节安全呼应和7.6节安全康复都是根据ISO 31000危险办理等规范规范,针对数据处理活动提出的数据服务危险办理才能,咱们就不在这里细述其条款内容及其来历了。
本规范行将发布,下面咱们就规范施行提点编制组的主张。首要咱们仍是要回忆本规范立项的初心是促进我国大数据工业的展开,本次修订方针一方面以确保本规范内容的合规性和与其他规范的共同性,其实最重要的仍是要促进我国大数据工业展开,特别是数据驱动的大数据服务技能展开,因而修订后的规范首要是考虑安排数据安全办理才能。
不忘初心,紧记任务,咱们仍是要回忆大数据安全特别作业组两个规范GB/T 35274-2017《信息安全技能 大数据服务安全才能要求》和GB/T 37988-2019《信息安全技能 数据安全才能成熟度模型》。
作为GB/T 37988-2019的上位规范,GB/T 37988-2019的通用安全进程域和数据生命周期安全进程域别离来自作为GB/T 35274-2017的第五章和第六章,这两个规范在进程域上坚持了共同。因而为推动本规范的施行,主张赶快发动GB/T 37988-2019的修订作业。
这次规范修订特别着重规范内容的法规合规性,因而新版中添加了许多数据安全法、网络数据安全办理法令相关法规要求。
在编制新版条目要求时,咱们假定安排现现已过网络安全等级维护基本要求测评,或许经过云核算服务安全才能要求查看,在这根底上要对大数据服务供给者的数据服务安全才能要求进行点评,因而有关体系安全才能未在本规范中表现。
那么大数据服务供给者的安全才能点评的输入是什么?是否要依赖于信息安全操控、网络数据分类分级要求等规范,或信安标委发布的网络数据安全危险点评指引等,包含GB/T 41479-2022《网络数据处理安全要求》与本规范的联系是什么等。咱们以为在未来的GB/T 37988修订中都需求考虑。
现在编制组的主意是,在新版傍边第五章和第七章条款对一切大数据服务供给者都适宜,能够直接运用。但关于第六章的大数据处理安全才能要求,由于战略不同的安排其数据处理才能是不一样的,未必能包含一切数据活动或数据活动的一切操作,或许需求有针对性挑选相关的要求进行点评。后边咱们会和测评安排或大数据服务供给者协作进一步去考虑怎么去促进本规范的施行,例如编制规范运用施行攻略,出书一些规范解读白皮书等。
上一篇:云核算工程师陈才:让新人“感到有光照进来” 下一篇:2022年人工智能工作方向和远景
