3、GB/T 37973-2019 信息安全技术 大数据安全管理指南
（1）了解本标准的范围、术语和定义，了解大数据安全需求、大数据分类
分级、大数据活动及安全要求、大数据安全风险评估等方面的内容。

3. 术语和定义

3.1 大数据 big data

具有数量巨大、种类多样、流动速度快、特征多变等特性，并且难以用传统数据体系结构和数据处理技术进行有效组织 、存储、计算、分析和管理的数据集。

3.2 组织 organization

由作用不同的个体为实施共同的业务目标而建立的结构。
注：组织可以是一个企业、事业单位、政府部门等。

3.3 大数据平台 big data platform

采用分布式存储和计算技术,提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件集合。

3.4 大数据环境 big data environment

开展大数据活动所涉及的数据、平台、规程及人员等的要素集合。

3.5 大数据活动 big data activity

组织针对大数据开展的一组特定任务的集合。
注：大数据活动主要包括采集、存储、处理、分发、删除等活动。

6. 大数据安全需求

6.1 保密性

大数据环境下的保密性需求应考虑以下几个方面：
a） 数据传输的保密性，使用不同的安全协议保障数据采集、分发等操作中的传输保密要求；
b）数据存储的保密性，例如使用访问控制、加密机制等；
c）加密数据的运算，例如使用同态加密等算法；
d）数据汇聚时敏感性保护，例如通过数据隔离等机制确保汇聚大量数据时不暴露敏感信息；
e）个人信息的保护，例如通过数据匿名化使得个人信息主体无法被识别；
f）密钥的安全,应建立适合大数据环境的密钥管理系统。

6.2 完整性

大数据环境下的完整性需求应考虑以下方面：
a）数据来源验证,应确保数据来自于已认证的数据源；
b）数据传输完整性，应确保大数据活动中的数据传输安全；
c）数据计算可靠性，应确保只对数据执行了期望的计算；
d）数据存储完整性，应确保分布式存储的数据及其副本的完整性；
e）数据可审计,应建立数据的细粒度审计机制。

6.3 可用性

大数据环境下的可用性需求应考虑以下方面：
a）大数据平台抗攻击能力；
b）基于大数据的安全分析能力，如安全情报分析、数据驱动的误用检测、安全事件检测等；
c） 大数据平台的容灾能力。

6.4 其他需求

大数据安全除了考虑信息系统的保密性、完整性和可用性，还应针对大数据的特点组织还应从大数据活动的其他方面分析安全需求,包括但不限于：
a）与法律法规、国家战略、标准等的合规性；
b）可能产生的社会和公共安全影响，与文化的包容性；
c）跨组织之间数据共享；
d）跨境数据流动；
e）知识产权保护及数据价值保护。

7. 数据分类分级

7.1 数据分类分级原则

数据分类分级应满足以下原则：

a） 科学性。按照数据的多维特征及其相互问逻辑关联进行科学和系统地分类，按照大数据安全需求确定数据的安全等级。
b）稳定性。应以数据最稳定的特征和属性为依据制定分类和分级方案。
c）实用性。数据分类要确保每个类下要有数据，不设没有意义的类目,数据类目划分要符合对数据分类的普遍认识。数据分级要确保分级结果能够为数据保护提供有效信息,应提出分级安全要求。
d）扩展性。数据分类和分级方案在总体上应具有概括性和包容性，能够针对组织各种类型数据开展分类和分级，并满足将来可能出现的数据的分类和分级要求。

7.2 数据分类分级流程

组织应结合自身业务特点,针对采集、存储和处理的数据,制定数据分类分级规范，规范应包含但不限于以下内容：
a）数据分类方法及指南；
b）数据分级详细清单，包含每类数据的初始安全级别；
c）数据分级保护的安全要求。

组织应按照图1的流程对数据进行分类分级。组织应根据数据分类分级规范对数据进行分类;为分类的数据设定初始安全级别;综合分析业务、安全风险、安全措施等因素后,评估初始安全级别是否满足大数据安全需求，对不怡当的数据分级进行调整，并确定数据的最终安全级别。附录 A提供运营商对数据分级的实践案例。

数据分级实施步骤.png

7.3 数据分类方法

组织应按照 GB/T 7027—2002 中的第6 章进行数据分类,可按数据主体、主题、业务等不同的属性进行分类。

7.4 数据分级方法

组织应对已有数据或新采集的数据进行分级，数据分级需要组织的主管领导、业务专家、安全专家等共同确定。政府数据分级应按照 GB/T 31167-2014 中6.3 的规定，将非涉密数据分为公开 敏感数据。个人信息和个人敏感信息应参照 GB/T 35273-2017 中的附录 A 和附录 B执行。

涉密信息的处理、保存、传输、利用按国家保密法规执行。

组织可根据法律法规、业务、组织战略、市场需求等,对敏感数据进一步分级，以提供相适应的安全管理和技术措施。

组织针对不同级别的数据应按照 GB/T 35274—2017 第4章～第6 章的规定，选择恰当的管理和技术措施对数据实施有效的安全保护。

8. 大数据活动及安全要求

8.1 大数据的主要活动

在数据生命周期中，组织可能参与数据形态的一个或多个阶段，将组织可能对数据实施的操作任务的集合，即活动划分为：数据采集、数据存储、数据处理、数据分发以及数据删除等：
a）数据采集。数据进入组织的大数据环境,数据可来源于其他组织或自身产生。
b）数据存储。将数据持久存储在存储介质上。
C）数据处理。通过该活动履行组织的职责或实现组织的目标。处理的数据可以是组织内部持久保存的数据，也可以是直接接人分析平台的实时数据流。
d）数据分发。组织在满足相关规定的情况下将数据处理生成的报告、分析结果等分发给公众或其他组织，或将组织内部的数据适当处理后进行交换或交易等。
e）数据删除。当组织决定不再使用特定数据时,组织可以删除该数据。
活动和活动之间可能存在数据流,组织应分析各活动中的安全风险,确保安全要求、策略和规程的实施。

8.2 数据采集

8.2.1 数据采集活动的概念

数据采集活动的目标是获得数据，数据采集方式包括但不限于：
a）网络数据采集。通过网络爬虫或公开 API 等方式获取数据。
b）从其他组织获取。通过线上或线下等方式从组织外获取数据。
c）通过传感器获取。传感器包括温度传感器、电视、汽车、摄像头等公共和个人的智能设备。
d）系统数据。组织内部的系统在运行过程中采集和产生的业务数据，以及各种系统、程序和服务运行产生的大量运维和日志数据等。
数据采集活动主要操作包括但不限于：发现数据源、传输数据、生成数据、缓存数据、创建元数据、数据转换、数据完整性验证等。

8.2.2 安全要求

组织开展数据采集活动时,应：
a）定义采集数据的目的和用途，明确数据采集源和采集数据范围；
b）薄循合规原则，确保数据采集的合法性、正当性和必要性：
c）遵循数据最小化原则，只采集满足业务所需的最少数据；
d）遵循质量保障原则,制定数据质量保障的策略、规程和要求；
e）遵循确保安全原则.对采集的数据进行分类分级标识，并对不同类和级別的数据实施相应的安全管理策略和保障措施。对数据采集环境、设施和技术采取必要的安全管控措施。

8.3 数据存储

8.3.1 数据存储活动的概念

数据存储指将数据静态保存在大数据平台,存储的数据包括采集的数据、分析和处理的结果数据等。存储系统可以是关系数据库、非关系数据库等，应支持对不同类型和格式的数据存储,且提供多种数据访问按口，如文件系统接口、数据库接口等。直到数据被彻底删除之前，存储的数据均应由组织提供恰当的安全保护。
组织应充分考虑使用第三方数据存储平台保存数据的安全风险。由于知识产权、法律法规等原因，组织即使能对存储系统中的数据如个人信息或健康数据等进行有效控制，但可能不是数据的拥有者,组织仍需承担数据的存储管理责任。
数据存储活动的主要操作包括但不限于：数据编解码、数据加解密、冷热数据分级存储、数据归档持久存储、数据备份、数据更新、数据访问等。

8.3.2 安全要求

组织开展数据存储活动时,应：
a) 将不同类别和级别的数据分开存储，并采取物理或逻辑隔离机制。
b) 遵守确保安全原则，主要考虑以下几个方面：

1) 存储架构安全：
2) 逻辑存储安全：
3) 存储访问控制；
4) 数据副本安全；
5) 数据归档安全；
6) 数据时效性管理。

c） 建立数据存储冗余策略和管理制度，及数据备份与恢复操作过程规范。

8.4 数据处理

8.4.1 数据处理活动的概念

数据处理活动指通过数据分析和数据可视化等技术从数据中提取信息，提炼出有用知识和价值的系列操作。

数据处理活动的主要操作包括但不限于：数据查询、数据读取、数据素引、批处理、交互式处理、流处理、数据统计分析、数据预测分析、数据关联分析、数据可视化、生成分析报告等。

8.4.2 安全要求

组织开展数据处理活动时,应：
a） 依据个人信息和重要数据保护的法律法规要求，明确数据处理的目的和范围。
b）建立数据处理的内部责任制度,保证分析处理和使用数据不超出声明的数据使用目的和范围。
c）遵循最小授权原则，提供数据细粒度访问控制机制。
d）遵循确保安全原则,主要考虑以下几个方面：

1）分布式处理安全； 
2）数据分析安全；
3）数据加密处理；
4）数据脱敏处理；
5） 数据湖源。

e）遵循可审计原则,记录和管理数据处理活动中的操作。
f） 对数据处理结果进行风险评估，避免处理结果中包含可恢复的敏感数据。

8.5 数据分发

8.5.1 数据分发活动的概念

数据分发活动指将原始数据、处理的数据等不同形式的数据传递给组织内部其他角色、外部实体或公众等。数据分发包括线上或线下等多种方式。
数据分发的原因包括但不限于：
a） 组织内部部门间的数据交换；
b）为外部生成报告，例如政府部门的统计数据；
c） 企业间的数据交换，为客户提供使用报告等；
d）数据出售给其他组织；
e）业务实现需求。

数据分发涉及的主要操作包括但不限于：数据传输、数据导出、数据交换、数据交易、数据共享等。

8.5.2 安全要求

组织开展数据分发活动时,应：
a）遵循责任不随数据转移原则。
b）个人信息、重要数据等有出境需求时,应根据相关法律法规、政策文件和标准，执行出境安全评估。
c）在数据分发前，对数据进行风险评估，确保数据分发后的风险可承受,并通过合同明确数据接收方的数据保护责任。
d）在数据分发前,对数据的敏感性进行评估，根据评估结果对需要分发的敏感信息进行脱敏操作。
e）遵循可审计原则，记录时间、分发数据、数据接收方等相关信息。
f） 评估数据分发中的传输安全风险，确保数据传输安全。
g）提供有效的数据安全共享机制。
h）建立数据发布的审核制度，严格审核发布信息符合相关法律法规要求。明确数据发布的内容和范围。对发布的数据开展定期审核。

8.6 数据删除

8.6.1 数据删除活动的概念

数据删除活动指组织删除自有或租用的大数据平台上的数据及其副本。如果数据来自外部实时数据流,还应断开与实时数据流的链接。

数据被删除的原因包括但不限于：
a） 为了减少数据泄露的风险。避免数据被不适当的分发或处理。
b）删除不相关或不正确的数据。数据与最初使用目的不再相关，或数据不正确。
c）业务完成后的数据删除处理。数据业务完成服务目标，不再需要保存相关数据。
d）满足客户的数据删除要求。法律法规要求保留的数据除外。

数据删除活动的主要操作包括但不限于：删除元数据、删除原始数据及其副本、断开与外部实时数据流的链接、删除数据的访问接口、不可恢复的数据销毀等。

8.6.2 安全要求

组织开展数据删除活动时，应：
a）删除超出数据留存期限的相关数据，对留存期限有明确规定的，按相关规定执行；
b）依照数据分类分级建立相应的数据删除机制，明确需要进行数据销毁的数据、方式和要求，明
确销毁数据范围和流程；
c）遵守可审计原则,建立数据删除策略和管理制度，记录数据删除的操作时间、操作人、操作方式、数据内容等相关信息。

9. 评估大数据安全风险

9.1 概述

组织参照 GB/T 20984—2007 开展风险评估工作,并关注大数据环境下安全风险评估的特点。附录B是生命科学大数据风险分析示例,附录C列出了大数据面临的一些安全风险。

9.2 资产识别

组织开展资产识别时，应关注大数据的资产特点，包括但不限于：
a）个人信息；
b）重要数据；
c）大数据可视化算法与软件；
d）大数据分析算法与软件；
e）大数据处理框架，如流处理框架、交互式处理框架、离线处理框架；
f） 大数据存储框架，如分布式文件系统、非关系型数据库等；
g）大数据平台计算资源(如 CPU、内存、网络等)管理框架等。

9.3 威胁识别

组织开展威胁识别时,应关注大数据环境下的威胁特点，包括但不限于：
a）潜在的不利因素：

• 潜在攻击方具有的资源、技术能力、动机等，常见的政击方有个人、组织、国家等：
• 潜在攻击方窃取、利用和滥用数据的意图；
• 大数据访问、存储和处理所需资源；
• 直接访问数据或窃取数据的风险；
• 发起攻击、恶意利用大数据的成本与收益。
  b）恶意利用所需的科学专业知识和技能：
• 数据和结果分析需要使用的技能、专业知识；
• 数据使用和结果分析需要的技术和设备；
• 利用系统脆弱性需要的技能、技术和知识。
  c) 数据出境威胁。

9.4 脆弱性识别

组织开展脆弱性识别时,应关注大数据环境下的脆弱性特定，包括但不限于：
a）大数据存储、处理等基础软件和基础设施的脆弱性；
b）大数据相关系统的脆弱性。

9.5 己有安全措施确认

组织应对已采取的安全措施的有效性进行确认。安全措施的选择可以参考 GB/T 35274-2017。

9.6 风险分析

组织应采用适当的方法与工具确定威胁利用脆弱性导致大数据安全事件发生的可能性,综合安全事件所作用的大数据资产价值及脆弱性的严重程度,判定安全事件造成的损失对国家安全、社会公共利益、组织和个人利益的影响。