政策彙總 | 最全面的大資料安全領域標準法規
摘要: 資訊保安產業快速發展,據前瞻產業研究院釋出的《中國資訊保安行業發展前景預測與投資戰略規劃分析報告》顯示,2019年,中國資訊保安行業規模將達到千億量級。其中,大資料安全的規模佔比越來越大。 隨著大資料應用範圍越來越廣泛,各領域都離不開資料和數字基礎設施,各類大...
資訊保安產業快速發展,據前瞻產業研究院釋出的《中國資訊保安行業發展前景預測與投資戰略規劃分析報告》顯示,2019年,中國資訊保安行業規模將達到千億量級。其中, ofollow,noindex">大資料安全 的規模佔比越來越大。
隨著大資料應用範圍越來越廣泛,各領域都離不開資料和數字基礎設施,各類大資料平臺承載著海量的資料資源,大量敏感資源和重要資料的安全保護尤為重要。
而在大資料環境下,作為生產資料的資料資源具有資料量巨大、資料變化快等特徵,會導致大資料分析及應用場景更為複雜,因此必須遵守一定的法律法規以及道德標準,同時政府部門需要進一步完善法律法規,保障資料不被竊取、破壞和濫用,以及確保大資料系統的安全可靠執行,併發揮大資料的最大作用和價值。
由國家和各行業在政策、法律等層面的一系列舉措可見,對於網路空間安全的重視正在不斷升級。自2017年《網路安全法》頒佈以來,資訊保安的立法程序越來越緊湊,今天我們重點關注大資料安全領域國家或者地方紛紛出臺的一系列的政策、法律法規。
《貴陽市大資料安全管理條例》
全國首部大資料安全地方法規,明確措施防範資料洩露。
作為全國首部大資料安全管理的地方法規,《貴陽市大資料安全管理條例》(以下簡稱《條例》)即將於今年10月1日正式施行。該《條例》分別對大資料安全定義、防風險安全保障措施、監測預警與應急處置、投訴舉報等方面做出規定。
本法規的頒佈對大資料安全使用提出了要求:安全責任單位應當建立大資料安全審計制度,記錄並儲存資料分類、採集、清洗、查詢和銷燬等操作過程,定期進行安全審計分析,詳細記錄資料全生命週期活動,防範資料偽造、洩露或者被竊取、篡改、非法使用等風險,以保障資料安全。
除此之外,在大資料安全立法領域,站在國家層面,覆蓋各個方面、細粒度更高的若干標準制定專案已經蔚為有序,這些政策法規將助力大資料安全建設,從而為建設網路安全強國貢獻力量。
《資訊保安技術 個人資訊保安規範》
《資訊保安技術 個人資訊保安規範》明確定義了個人敏感資訊。
其中,全國資訊保安標準化技術委員會2017年12月29日正式釋出的規範《資訊保安技術 個人資訊保安規範》(標準號:GBT 35273-2017)已於2018年5月1日正式實施。本標準針對個人資訊面臨的安全問題,規範個人資訊控制者在收集、儲存、使用、共享、轉讓、公開披露等資訊處理環節中的相關行為,旨在遏制個人資訊非法收集、濫用、洩漏等亂象,最大程度地保障個人的合法權益和社會公共利益。對標準中的具體事項,法律法規另有規定的,需遵照其規定執行。
本規範針對個人資訊和個人敏感資訊加以定義,其中個人敏感資訊 personal sensitive information指一旦洩露、非法提供或濫用可能危害人身和財產安全,極易導致個人名譽、身心健康受到損害或歧視性待遇等的個人資訊。個人敏感資訊包括身份證件號碼、個人生物識別資訊、銀行賬號、通訊記錄和內容、財產資訊、徵信資訊、行蹤軌跡、住宿資訊、健康生理資訊、交易資訊、14 歲以下(含)兒童的個人資訊等。
《資訊保安技術 大資料服務安全能力要求》
《資訊保安技術 大資料服務安全能力要求》考察大資料服務安全能力。
《資訊保安技術 大資料服務安全能力要求》(標 準 號:GB/T 35274-2017)於 2017年12月29日釋出,2018年7月1日實施,本標準規定了大資料服務提供者應具有的組織相關基礎安全能力和資料生命週期相關的資料服務安全能力。
本標準適用於對政府部門和企事業單位建設大資料服務安全能力,也適用於第三方機構對大資料服務提供者的大資料服務安全能力進行審查和評估。
《資訊保安技術 大資料安全管理指南》
2017年5月24日,全國資訊保安標準化技術委員會祕書處釋出了國家標準《資訊保安技術 大資料安全管理指南》徵求意見稿,公開徵求意見。該徵求意見稿規定:大資料安全管理原則;大資料安全管理基本概念;制定大資料安全目標、戰略和策略;明確大資料安全管理角色與責任;管理大資料安全風險;管理大資料平臺執行安全。
同時,徵求意見稿附錄部分還就電信行業資料分類分級、國家基礎資料、生命科學大資料風險分析以及大資料安全風險給出了示例和說明。
《資訊保安技術 個人資訊保安影響評估指南》
2018年6月13日,全國資訊保安標準化技術委員會發布國家標準《資訊保安技術 個人資訊保安影響評估指南》徵求意見稿徵求意見的通知。標準規定了個人資訊保安影響評估的基本概念、框架、方法和流程,並提出了特定場景下進行評估的具體方法。
適用於各類組織自行開展個人資訊保安影響評估工作。同時為國家主管部門、第三方測評機構等開展個人資訊保安監管、檢查、評估等工作提供的指導和依據。
《資訊保安技術 個人資訊去標識化指南》
2017年9月,國標《資訊保安技術個人資訊去標識化指南》徵求意見稿在全國資訊保安標準化技術委員會官網上釋出。
該標準在內容上汲取了當前國內個人資訊處理機構、安全測評機構和研究機構的最新成果,並借鑑了國外個人資訊去標識化的最新研究理論,提煉了業內當前通行的最佳實踐,通過研究個人資訊去標識化的目標、原則、技術、模型、過程和組織措施,提出能科學有效地抵禦安全風險、符合資訊化發展需要的個人資訊去標識化指南,旨在保障個人資訊保安的前提下,推動資料的共享開放,充分發揮大資料的價值。
《資訊保安技術 資料安全 能力成熟度模型》
2017年中旬,全國資訊保安標準化技術委員會等部門協同各方著手製定了一套用於組織機構 資料安全 能力的評估標準——《大資料安全能力成熟度模型》。“大資料安全能力成熟度模型“這項國家標準的研究課題2016年6月立項,2018年,送審稿修訂工作完成啟動。
《資訊保安技術 資料安全 能力成熟度模型》DSMM旨在幫助各行業、組織機構基於統一標準來評估其 資料安全 能力,發現數據安全能力短板,查漏補缺,促進大資料參與方的資料安全能力評估與提升,促進大資料在組織間的交換、共享與流轉,發揮大資料的價值,促進我國大資料產業的健康發展。同時,也可以有效地支撐《中國人民共和國網路安全法》、國務院《促進大資料發展行動綱要》、國家十三五規劃綱要等國家政策和法規的有效落地。
《資訊保安技術 大資料交易服務安全要求》
習總書記在2017年12月8日強調,要制定資料資源確權、開放、流通、交易相關制度,完善資料產權保護制度。我國加快了制定資料交易等制度的步伐,尤其是在安全領域。國家標準化管理委員會在2018年1月9日下達制定國家標準計劃《資訊保安技術 大資料交易服務安全要求》的任務,計劃號:20173591-T-469。
該標準即將成為我國首個大資料交易安全國家標準,有助於理清資料交易安全界限,促進資料交易行為合法合規。其出臺勢必會推動我國資料交易機構的安全建設,促進資料交易行為合法合規,使得全國資料要素有序流通,充分釋放資料紅利,助力“數字中國”建設。
《資訊保安技術 資料出境安全評估指南》
2017年,全國信安標委祕書處釋出《資訊保安技術 資料出境安全評估指南》、《資訊保安技術 網路產品和服務安全通用要求》等六項國家標準,完成徵詢意見反饋。
該指南規定了資料出境安全評估流程、評估要點、評估方法等內容,適用於網路運營者開展的個人資訊和重要資料出境安全自評估,以及國家網信部門、行業主管部門組織開展的個人資訊和重要資料出境安全評估。一旦發現存在的安全問題和風險,及時採取措施,防止個人資訊未經使用者同意向境外提供,損害個人資訊主體合法利益,防止國家重要資料未經安全評估和相應主管部門批准儲存在境外,給國家安全造成不利影響。據悉,這是“我國的資料出境安全管理辦法之中非常重要的檔案”。