ICS35040

L80.

中華人民共和國國家標準

GB/T37973—2019

信息安全技術大數(shù)據(jù)安全管理指南

Informationsecuritytechnology—Bigdatasecuritymanagementguide

2019-08-30發(fā)布2020-03-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T37973—2019

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術語和定義

3………………1

大數(shù)據(jù)安全管理概述

4……………………2

大數(shù)據(jù)安全管理目標

4.1………………2

大數(shù)據(jù)安全管理的主要內容

4.2………………………2

大數(shù)據(jù)安全管理角色及責任

4.3………………………2

大數(shù)據(jù)安全管理基本原則

5………………3

職責明確

5.1……………3

安全合規(guī)

5.2……………3

質量保障

5.3……………3

數(shù)據(jù)最小化

5.4…………………………3

責任不隨數(shù)據(jù)轉移

5.5…………………4

最小授權

5.6……………4

確保安全

5.7……………4

可審計

5.8………………4

大數(shù)據(jù)安全需求

6…………………………4

保密性

6.1………………4

完整性

6.2………………4

可用性

6.3………………5

其他需求

6.4……………5

數(shù)據(jù)分類分級

7……………5

數(shù)據(jù)分類分級原則

7.1…………………5

數(shù)據(jù)分類分級流程

7.2…………………5

數(shù)據(jù)分類方法

7.3………………………6

數(shù)據(jù)分級方法

7.4………………………6

大數(shù)據(jù)活動及安全要求

8…………………6

大數(shù)據(jù)的主要活動

8.1…………………6

數(shù)據(jù)采集

8.2……………7

數(shù)據(jù)存儲

8.3……………7

數(shù)據(jù)處理

8.4……………8

數(shù)據(jù)分發(fā)

8.5……………8

數(shù)據(jù)刪除

8.6……………9

評估大數(shù)據(jù)安全風險

9……………………9

Ⅰ

GB/T37973—2019

概述

9.1…………………9

資產識別

9.2……………9

威脅識別

9.3……………10

脆弱性識別

9.4…………………………10

已有安全措施確認

9.5…………………10

風險分析

9.6……………10

附錄資料性附錄電信行業(yè)數(shù)據(jù)分類分級示例

A()……………………11

附錄資料性附錄生命科學大數(shù)據(jù)風險分析示例

B()…………………13

附錄資料性附錄大數(shù)據(jù)安全風險

C()…………………14

參考文獻

……………………16

Ⅱ

GB/T37973—2019

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發(fā)布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位四川大學中國電子技術標準化研究院清華大學中國移動有限公司深圳市騰

:、、、、

訊計算機系統(tǒng)有限公司阿里云計算有限公司廣州賽寶認證中心服務有限公司中電長城網(wǎng)際系統(tǒng)應

、、、

用有限公司騰訊云計算北京有限責任公司華為技術有限公司成都超級計算中心有限公司陜西省

、()、、、

信息化工程研究院北京奇虎科技有限公司北京奇安信科技有限公司銀聯(lián)智慧信息服務上海有限

、、、()

公司北京華宇軟件股份有限公司中國電子科技網(wǎng)絡信息安全有限公司

、、。

本標準主要起草人陳興蜀羅永剛葉曉俊上官曉麗葉潤國楊露金濤閔京華常玲陳雪秀

:、、、、、、、、、、

胡影代威劉小茵楊思磊王文賢李克鵬趙蓓王永霞何軍張麗佳張勇鄭新華王建波金睿

、、、、、、、、、、、、、、

高冀鵬彭凝多

、。

Ⅲ

GB/T37973—2019

引言

大數(shù)據(jù)技術的發(fā)展和應用影響著國家的治理模式企業(yè)的決策架構商業(yè)的業(yè)務模式以及個人的生

、、

活方式我國大數(shù)據(jù)仍處于起步發(fā)展階段各地發(fā)展大數(shù)據(jù)積極性高行業(yè)應用得到快速推廣市場規(guī)

。,,,

模迅速擴大在面向大量用戶的應用和服務中數(shù)據(jù)采集者希望能獲得更多的信息以提供更加豐富

。,,、

高效的個性化服務隨著數(shù)據(jù)的聚集和應用數(shù)據(jù)價值不斷提升而伴隨大量數(shù)據(jù)集中新技術不斷涌

。,。,

現(xiàn)和應用使數(shù)據(jù)面臨新的安全風險大數(shù)據(jù)安全受到高度重視

,,。

目前擁有大量數(shù)據(jù)的組織的管理和技術水平參差不齊有不少組織缺乏技術運維等方面的專業(yè)安

,、

全人員容易因數(shù)據(jù)平臺和計算平臺的脆弱性遭受網(wǎng)絡攻擊導致數(shù)據(jù)泄露在大數(shù)據(jù)的生命周期中

,,。,

將有不同的組織對數(shù)據(jù)做出不同的操作關鍵是要加強掌握數(shù)據(jù)的組織的技術和管理能力的建設加強

,,

數(shù)據(jù)采集存儲處理分發(fā)等環(huán)節(jié)的技術和管理措施使組織從管理和技術上有效保護數(shù)據(jù)使數(shù)據(jù)的

、、、,,

安全風險可控

。

本標準指導擁有處理大數(shù)據(jù)的企業(yè)事業(yè)單位政府部門等組織做好大數(shù)據(jù)的安全管理風險評估

、、、、

等工作有效安全地應用大數(shù)據(jù)采用有效技術和管理措施保障數(shù)據(jù)安全

,、,。

Ⅳ

GB/T37973—2019

信息安全技術大數(shù)據(jù)安全管理指南

1范圍

本標準提出了大數(shù)據(jù)安全管理基本原則規(guī)定了大數(shù)據(jù)安全需求數(shù)據(jù)分類分級大數(shù)據(jù)活動的安

,、、

全要求評估大數(shù)據(jù)安全風險

、。

本標準適用于各類組織進行數(shù)據(jù)安全管理也可供第三方評估機構參考

,。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息分類和編碼的基本原則與方法

GB/T7027—2002

信息安全技術信息安全風險評估規(guī)范

GB/T20984—2007

信息安全技術術語

GB/T25069—2010

信息安全技術云計算服務安全指南

GB/T31167—2014

信息安全技術大數(shù)據(jù)服務安全能力要求

GB/T35274—2017

3術語和定義

和界定的以及下列術語和定義適用

GB/T25069—2010、GB/T20984—2007