CCS L 80 ICS 35.030 中华人民共和国国家标准 GB/T35274-2023 代替GB/T35274-2017 数据安全技术 大数据服务安全能力要求 Data security technology- Security capability requirements for big data services 2023-08-06发布 2024-03-01实施 国家市场监督管理总局 国家标准化管理委员会 发布
GB/T 35274-2023 目 次 1范围 2规范性引用文件 3术语和定义 4述. 5大数据组织管理安全能力 5.1策略与规程 5.2组织与人员 5.3资产管理 6大数据处理安全能力 6.1 数据收集 6.2数据存储 6.3 数据使用 6.4 数据加工. 6.5 数据传输 12 6.6 数据提供 6.7 数据公开. 13 6.8数据销毁 14 7大数据服务安全风险管理能力 14 7.1风险识别 14 7.2安全防护.. 15 7.3安全监测 17 7.4安全检查. 18 7.5安全响应 18 7.6安全恢复 02 参考文献 21
GB/T 35274-2023 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
本文件代替GB/T35274-2017《信息安全技术大数据服务安全能力要求》,与GB/T35274一 2017相比除结构调整和编辑性改动外,主要技术变化如下: a)删除了数据生命周期、数据服务、数据交换、数据共享和重要数据(见2017年版的第3章)5个 术语和定义,增加了数据处理、数据安全、数据保护、数据收集、数据存储、数据使用、数据加工、 数据传输、数据提供、数据公开和数据销毁(见第3章)11个术语和定义,修改了大数据平台、 大数据应用、大数据系统、大数据使用者、大数据服务、大数据服务提供者和数据供应链(见第 3章,2017年版的第3章)7个术语和定文的描述: b)删除了总体要求(见2017年版的4.1)和要求分级(见2017年版的4.2),对标准整体内容进行 了梳理(见第4章,2017年版的4.3); c)删除了服务规划与管理(见2017年版的5.4)、数据供应链管理(见2017年版的5.5)和合规性 管理(见2017年版的5.6),修改了策略与规程、组织和人员以及资产管理安全能力要求(见 5.1、5.2、5.3,2017年版的 5.1、5.3、5.2); d)重组并更改了数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁的数据活动安全 要求,按照数据安全法和个人信息保护法要求的数据收集、存储、使用、加工、传输、提供、公开 和销毁的数据处理过程明确了大数据服务提供者的大数据处理安全能力要求(见第6章,2017 年版的第6章); e)增加了“大数据服务安全风险管理能力”,从风险识别、安全防护、安全监测、安全检查、安全响 应和安全恢复环节,规定了大数据服务提供者在大数据系统运营中的数据安全风险管理能力 (见第7章): f)删除了附录A中(见2017年版的附录A).
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由全国网络安全标准化技术委员会(SAC/TC260)提出并归口.
本文件起草单位:清华大学、北京大学、中国电子技术标准化研究院、中国网络安全审查技术与认证 中心、中国信息安全测评中心、国家计算机网络应急技术处理协调中心、深信服科技股份有限公司、浙江 蚂蚁小微金融服务集团有限公司、北京快手科技有限公司、阿里巴巴(中国)有限公司、腾讯云计算(北 京)有限责任公司、中国科学院信息工程研究所、华控清交信息科技(北京)有限公司、北京天融信网络安 全技术有限公司、北京火山引擎科技有限公司、长扬科技(北京)股份有限公司、上海观安信总技术股份 有限公司、华为技术有限公司、北京奇虎科技有限公司、启明星辰信息技术集团股份有限公司、中国软件 评测中心(工业和信息化部软件与集成电路促进中心)北京数安行科技有限公司、上海赴源科技服务有 限公司、杭州世平信息科技有限公司、北京信安世纪科技股份有限公司、联想(北京)有限公司、杭州安恒 信总技术股份有限公司、成都卫土通信息产业股份有限公司、上海三零卫土信总安全有限公司、陕西省 信息化工程研究院、上海商汤智能科技有限公司、北京神州绿盟科技有限公司、北京百度网讯科技有限 公司、浙江大华技术股份有限公司、北京腾云天下科技有限公司.
本文件主要起草人:叶晓俊、谢安明、吴迪、王建民、赵英华、徐羽佳、刘贤刚、陈兴蜀、赵芸伟、 宋博韬、白晓媛、落红卫、陈驰、靳晨、叶润国、陈星、查海平、谢江、刘玉红、李娇娇、张亚京、兰安娜、 李世奇、胡影、金涛、闵京华、王永霞、葛小宇、张屹、都婧、周润松、陈洪运、杨保磊、丁国徽、吴高、望娅露、 II
GB/T 35274-2023 徐浩、王海棠、张宇、马红霞、刘玉岭、王庆磊、瓮辉辉、潘正泰、葛梦莹.
本文件及其所代替文件的历次版本发布情况为: 2017年首次发布为GB/T35274-2017; 本次为第一次修订.
GB/T 35274-2023 数据安全技术 大数据服务安全能力要求 1范围 本文件规定了大数据服务提供者的大数据服务安全能力要求,包括大数据组织管理安全能力、大数 据处理安全能力和大数据服务安全风险管理能力的要求.
本文件适用于指导大数据服务提供者的大数据服务安全能力建设,也适用于第三方机构对大数据 服务提供者的大数据服务安全能力进行评估.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文 件,仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于 本文件.
GB/T5271(部分)信息技术词汇 GB/T25069-2022信息安全技术术语 GB/T35273-2020信息安全技术个人信息安全规范 GB/T35295-2017信息技术大数据术语 3术语和定义 GB/T5271(部分)、GB/T25069-2022、GB/T35273-2020和GB/T35295-2017界定的以 及下列术语和定义适用于本文件.
3.1 大数据bigdata 具有体量巨大、来源多样、生成极快、宜多变等特征,并且难以用传统数据体系结构有效处理的包含 大量数据集的数据.
[来源:GB/T 35295-2017 2.1.1] 3.2 数据处理datahandling 数据操作的系统执行,以实现特定目的的数据收集、存储、使用、加工、传输、提供、公开、销毁等 活动.
注:数据操作如数据的数学运算或逻辑运算,数据的归并或分类,文本的操作、存储、检索、量示或打印,数据的挖据 分析、数据可视化等.
[来源:GB/T5271.1-2000 01.01.06,有修改] 3.3 数据收集data collection 根据特定的目的和要求,从一种或多种数据源选择和获取数据,并对数据进行清洗、标识、加载等数
