《GB/T 35274-2017大数据服务安全能力要求》 标准在2017年12月29日已正式发布,并将在2018年7月1日正式实施。该标准由清华大学、中国电子技术标准化研究院、中国软件评测中心、华为、阿里巴巴、京东、联想等多家单位共同起草。
截至目前,该标准是国内首个直接与大数据相关的安全标准,标志着我国正式进入大数据安全审查实践阶段。该标准的制定与发布弥补了我国在大数据方向缺乏安全审查的支撑性相关依据。对大数据服务机构的安全能力建设与第三方机构的大数据服务能力安全审查与评估工作提供指导依据,并促进了大数据安全实践工作的开展。
《GB/T 35274-2017大数据服务安全能力要求》的核心内容解读:
(1)该标准重点规定的审查评估对象是大数据服务提供者(即提供大数据服务的机构);
(2)从基础安全要求和数据服务安全要求两个方面进行安全要求规定。基础安全要求主要涉及大数据服务提供者提供大数据服务时建立的安全策略和规程,数据与资产管理、组织与人员管理、服务规划管理、数据供应链管理和合规性管理;数据服务安全要求主要涵盖数据全生命处理周期过程中的安全要求,从数据采集、数据传输、数据存储、数据处理、数据交换到数据销毁六个方面;
(3)对大数据服务机构进行分级,分为一般要求保护级和增强要求保护级。划分依据主要考察大数据服务中涉及的数据是否重要数据,大数据服务中断或遭到破环时对社会利益和国家安全造成的影响程度。凡涉及重要数据,影响到社会利益或国家安全的,采用增强级安全要求。
(4)适用对象。政府部门和企事业单位建设大数据服务的机构、大数据服务提供者(提供大数据服务的机构)、三方安全审查评估者。
中国软件评测中心大数据与人工智能实验室专家建议:
(1)该标准涉及的大数据服务安全要求,大数据的系统和应用层安全应参照《GB/T》
22239-2008信息安全技术 信息系统安全等级保护基本要求》和《GB/T 31168-2014信息安全技术 云计算服务安全能力要求》;
(2)凡通过了信息安全等级保护测评的机构,三级以下应该遵循该标准的一般级要求、三级以上的应该按照该标准的增强级要求进行自查和安全能力建设,并积极申报、配合第三方审查评估机构开展安全审查工作,取得大数据服务能力的安全合规报告和认定证书;
(3)对于互联网企业,平台上都运行大量的网络数据信息,需要加强大数据服务的安全能力的自查和自我建设,同时积极申报、配合第三方审查评估机构开展安全审查工作,定期面向全社会公布其审查结果。
中国软件评测中心,作为国内权威的第三方软、硬件产品及系统质量安全与可靠性检测机构,是直属于工业和信息化部的一类科研事业单位。数据安全测评方面,提供数据全生命周期安全咨询与测评、个人信息保护咨询与测评、大数据服务安全能力咨询审与审查评估、数据出境安全咨询与测评、数据安全能力成熟度评估、数据交易服务安全咨询与测评等。
