标准规范下载简介

GBT 37973-2019 信息安全技术 大数据安全管理指南.pdf简介：

GBT 37973-2019《信息安全技术 大数据安全管理指南》是中国国家标准，由国家标准化管理委员会和中国信息安全测评认证中心发布。该标准于2019年发布，主要目的是为了规范和指导大数据领域的信息安全管理工作，提高大数据安全的保障水平。

该指南主要涵盖了以下几个方面：

1. 适用范围：标准适用于大数据的采集、处理、存储、分析、应用等全生命周期的安全管理，包括但不限于企业、政府、科研机构等组织在大数据处理过程中的信息安全要求。

2. 安全管理框架：提出了大数据安全管理的总体框架，包括组织与管理、风险评估、安全防护、安全监控、应急响应和安全审计等环节。

3. 安全策略和措施：指南详细规定了大数据安全的策略和具体措施，如数据分类、访问控制、数据加密、安全审计等，以确保大数据的安全性、完整性和可用性。

4. 合规性要求：针对国家和行业的法律法规，如《网络安全法》等，以及国际标准，如ISO/IEC 27001，提出了大数据安全管理的具体合规要求。

5. 安全培训和教育：强调了对相关人员的安全培训和意识提升的重要性，以应对不断变化的安全威胁。

总的来说，GBT 37973-2019《信息安全技术 大数据安全管理指南》是一个全面的指南，旨在帮助组织建立和实施有效的大数据安全管理机制，保障大数据的安全运行。

GBT 37973-2019 信息安全技术 大数据安全管理指南.pdf部分内容预览：

信息安全技术大数据安全管理指南

本标准提出了大数据安全管理基本原则，规定了大数据安全需求、数据分类分级、大数据活动的安 全要求、评估大数据安全风险。 本标准适用于各类组织进行数据安全管理，也可供第三方评估机构参考

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文 件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T7027一2002信息分类和编码的基本原则与方法 GB/T20984—2007 信息安全技术信息安全风险评估规范 GB/T250692010 信息安全技术 术语 GB/T 31167—2014 信息安全技术 云计算服务安全指南 GB/T35274—2017 信息安全技术 大数据服务安全能力要求

GB/T25069一2010、GB/T20984一2007和GB/T35274一2017界定的以及下列术语和定义适用 于本文件。 3.1 大数据bigdata 具有数量巨大、种类多样、流动速度快、特征多变等特性，并且难以用传统数据体系结构和数据处理 技术进行有效组织、存储、计算、分析和管理的数据集。 3.2 组织 organization 由作用不同的个体为实施共同的业务目标而建立的结构。 注：组织可以是一个企业、事业单位、政府部门等。 3.3 大数据平台 bigdataplatform 采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件 集合。 3.4 大数据环境bigdataenvironment 开展大数据活动所涉及的数据、平台、规程及人员等的要素集合。 3.5 大数据活动 bigdataactivity 组织针对大数据开展的一组特定任务的集合。 注，大数据活动主要包括采集、存储、处理、分发、删除等活动

GB/T 250692010,GB/ 于本文件。 3.1 大数据bigdata 具有数量巨大、种类多样、流动速度快、特征多变等特性巨型张弦桁架铸钢节点支撑架法安装技术，并且难以用传统数据体系结构和数据处理 技术进行有效组织、存储、计算、分析和管理的数据集。 3.2 组织organization 由作用不同的个体为实施共同的业务目标而建立的结构。 注：组织可以是一个企业、事业单位、政府部门等。 3.3 大数据平台bigdataplatform 采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件 集合。 3.4 大数据环境bigdataenvironment 开展大数据活动所涉及的数据、平台、规程及人员等的要素集合。 3.5 大数据活动 bigdataactivity 组织针对大数据开展的一组特定任务的集合。 注：大数据活动主要包括采集、存储、处理、分发、删除等活动

GB/T 379732019

4.1大数据安全管理目标

组织实现大数据价值的同时，确保数据安全。组织应： a）满足个人信息保护和数据保护的法律法规、标准等要求； b）满足大数据相关方的数据保护要求； 通过技术和管理手段，保证自身控制和管理的数据安全风险可控。

1.2大数据安全管理的主要内容

大数据安全管理主要包含以下内容： a）明确数据安全需求。组织应分析大数据环境下数据的保密性、完整性和可用性所面临的新问 题，分析大数据活动可能对国家安全、社会影响、公共利益、个人的生命财产安全等造成的影 响，并明确解决这些问题和影响的数据安全需求。 b 数据分类分级。组织应先对数据进行分类分级，根据不同的数据分级选择适当的安全措施。 c 明确大数据活动安全要求。组织应理解主要大数据活动的特点，可能涉及的数据操作，并明确 各大数据活动的安全要求。 d 评估大数据安全风险。组织除开展信息系统安全风险评估外，还应从大数据环境潜在的系统 的脆弱点、恶意利用、后果等不利因素，以及应对措施等评估大数据安全风险

4.3大数据安全管理角色及责任

组织应建立大数据安全管理组织架构，根据组织的规模、大数据平台的数据量、业务发展及规划等 月确不同角色及其职责，至少包含以下角色： a）大数据安全管理者：对组织大数据安全负责的个人或团队。大数据安全管理者负责数据安全 相关领域和环节的决策，制定并审议数据安全相关制度，监督执行和组织落实业务部门数据安 全相关工作。 b）大数据安全执行者：是执行组织数据安全相关工作的个人或团队。大数据安全执行者负责数 据安全相关领域和环节工作的执行，制定数据安全相关细则，落实各项安全措施，配合大数据 安全管理者开展各项工作。 大数据安全审计者：负责大数据审计相关工作的个人或团队。大数据安全审计者对安全策略 的适当性进行评价，帮助检测安全违规，并生成安全审计报告

4.3.2大数据安全管理者的职责

大数据安全管理者的具体职责有： a）确定数据的分类分级初始值，制定数据分类分级指南。与提供大数据的业务部门合作，确定数 据的安全级别。 b 综合考虑法律法规、政策、标准、大数据分析技术水平、组织所处行业特殊性等因素，评估数据 安全风险，制定数据安全基本要求。 对数据访问进行授权，包括授权给组织内部的业务部门、外部组织等。 建立相应的数据安全管理监督机制，监视数据安全管理机制的有效性。 e） 负责组织的大数据安全管理过程，并对外部相关方（如：数据安全的主管部门、数据主体等）

4.3.3大数据安全执行者的职责

4.3.4大数据安全审计者的职责

GB/T379732019

大数据安全审计者的主要职责有： 审核数据活动的主体、操作及对象等数据相关属性，确保数据活动的过程和相关操作符合安全 要求； b）定期审核数据的使用情况

组织应明确不同角色和其大数据活动的安全责任。组织应： 设立大数据安全管理者。根据组织使命、数据规模与价值、组织业务等因素，组织应明确担任 大数据安全管理者角色的人员或部门，可由业务负责人、法律法规专家、IT安全专家、数据安 全专家组成，为组织的数据及其应用安全负责。 明确角色的安全职责。组织应明确大数据安全管理者，大数据安全执行者，大数据安全审计 者，以及数据安全相关的其他角色的安全职责。 明确主要活动的实施主体。组织应明确大数据主要活动的实施主体及安全责任

组织应制定策略和规程确保数据的各项活动满足合规要求。组织应： a）理解并遵从数据安全相关的法律法规、合同、标准等； b）正确处理个人信息、重要数据： c）实施了合理的跨组织数据保护的策略和实践

组织在采集和处理数据的过程中应确保数据质量。组织应： 1 采取适当的措施确保数据的准确性、可用性、完整性和时效性； b） 建立数据纠错机制； c）建立定期检查数据质量的机制

组织应保证只采集和处理满足目的所需的最小数据。组织应： a）在采集数据前，明确数据的使用目的及所需数据范围。 b）提供适当的管理和技术措施保证只采集和处理与目的相关的数据项和数据量。

GB/T 379732019

5.5责任不随数据转移

组织应控制大数据活动中的数据访问权限，保证在满足业务需求的基础上最小化权限。组织应： 赋予数据活动主体的最小操作权限和最小数据集； b 制定数据访问授权审批流程，对数据活动主体的数据操作权限和范围变更制定申请和审批 流程； C 及时回收过期的数据访问权限

组织应实现对大数据平台和业务各环节的数据审计。组织应： ）记录大数据活动中各项操作的相关信息，且保证记录不可伪造和改； b）采取有效技术措施保证对大数据活动的所有操作可追溯

大数据环境下的保密性需求应考虑以下几个方面： 数据传输的保密性，使用不同的安全协议保障数据采集、分发等操作中的传输保密要求； b） 数据存储的保密性，例如使用访问控制、加密机制等； 加密数据的运算，例如使用同态加密等算法； d 数据汇聚时敏感性保护，例如通过数据隔离等机制确保汇聚大量数据时不暴露敏感信息 e） 个人信息的保护，例如通过数据匿名化使得个人信息主体无法被识别； f 密钥的安全，应建立适合大数据环境的密钥管理系统

大数据环境下的完整性需求应考虑以下方面

数据来源验证，应确保数据来自于已认证的数据源； b） 数据传输完整性，应确保大数据活动中的数据传输安全； 数据计算可靠性，应确保只对数据执行了期望的计算； d 数据存储完整性，应确保分布式存储的数据及其副本的完整性； e 数据可审计.应建立数据的细粒度审计机制

GB/T379732019

大数据安全除了考虑信息系统的保密性、完整性和可用性，还应针对大数据的特点组织还应从大数 据活动的其他方面分析安全需求，包括但不限于： 与法律法规、国家战略、标准等的合规性： b） 可能产生的社会和公共安全影响L13J12 无障碍设施，与文化的包容性； C 跨组织之间数据共享； 跨境数据流动； e 知识产权保护及数据价值保护

7.1数据分类分级原则

数据分类分级应满足以下原则： 科学性。按照数据的多维特征及其相互间逻辑关联进行科学和系统地分类，按照大数据安全 需求确定数据的安全等级。 b 稳定性。应以数据最稳定的特征和属性为依据制定分类和分级方案。 C 实用性。数据分类要确保每个类下要有数据，不设没有意义的类目，数据类目划分要符合对数 据分类的普遍认识。数据分级要确保分级结果能够为数据保护提供有效信息，应提出分级安 全要求。 d）扩展性。数据分类和分级方案在总体上应具有概括性和包容性，能够针对组织各种类型数据 开展分类和分级，并满足将来 的数据的分类和分级要求

7.2数据分类分级流程

组织应结合自身业务特点，针对采集、存储和处理的数据，制定数据分类分级规范，规范应包含但不 银于以下内容： a 数据分类方法及指南； b 数据分级详细清单，包含每类数据的初始安全级别； c 数据分级保护的安全要求。 组织应按照图1的流程对数据进行分类分级。组织应根据数据分类分级规范对数据进行分类；为

GB/T 379732019

分类的数据设定初始安全级别；综合分析业务、安全风险、安全措施等因素后，评估初始安全级别是否满 足大数据安全需求DB11／T 1322.17-2018 安全生产等级评定技术规范 第17部分：机动车维修企业.pdf，对不恰当的数据分级进行调整，并确定数据的最终安全级别。附录A提供运营商 对数据分级的实践案例

图1数据分级实施步骤

组织应按照GB/T7027一2002中的第6章进行数据分类，可按数据主体、主题、业务等不同的属 行分类。