ICS 35.030 CCS L 80 中华人民共和国国家标准 GB/T35274—2023 代替GB/T35274—2017 信息安全技术 大数据服务安全能力要求 Information security technology- Security capability requirements for big data services 2024-03-01实施 2023-08-06发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T 35274—2023 目 次 前言 1 范围 规范性引用文件 2 3 术语和定义 概述 大数据组织管理安全能力 5.1 策略与规程 5.2 组织与人员 5.3 资产管理 大数据处理安全能力 6 6.1 数据收集 6.2 数据存储 6.3 数据使用 6.4 数据加工 10 6.5 数据传输 12 6.6 数据提供 12 6.7 数据公开： 6.8 数据销毁 14 7大数据服务安全风险管理能力， 14 7.1 风险识别 14 7.2 安全防护 15 7.3 安全监测 7.4 安全检查· 18 7.5 安全响应 18 7.6 安全恢复 20 参考文献 21 GB/T35274—2023 前言 起草。 本文件代替GB/T35274一2017《信息安全技术天数据服务安全能力要求》，与GB/T35274- 2017相比，除结构调整和编辑性改动外，主要技术变化如下： 删除了数据生命周期、数据服务、数据交换、数据共享和重要数据（见2017年版的第3章）5个 术语和定义，增加了数据处理、数据安全、数据保护、数据收集、数据存储、数据使用、数据加工、 数据传输、数据提供、数据公开和数据销毁（见第3章）11个术语和定义，修改了大数据平台、 大数据应用、大数据系统、大数据使用者、大数据服务、大数据服务提供者和数据供应链（见第 3章，2017年版的第3章）7个术语和定义的描述； b) 删除了总体要求（见2017年版的4.1）和要求分级（见2017年版的4.2），对标准整体内容进行 了梳理（见第4章，2017年版的4.3）； c） 管理（见2017年版的5.6），修改了策略与规程、组织和人员以及资产管理安全能力要求（见 5.1、5.2、5.3，2017年版的5.1、5.3、5.2）； d) 重组并更改了数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁的数据活动安全 要求，按照数据安全法和个人信息保护法要求的数据收集、存储、使用、加工、传输、提供、公开 和销毁的数据处理过程明确了大数据服务提供者的大数据处理安全能力要求（见第6章，2017 年版的第6章）； e) 增加了“大数据服务安全风险管理能力”，从风险识别、安全防护、安全监测、安全检查、安全响 应和安全恢复环节，规定了大数据服务提供者在大数据系统运营中的数据安全风险管理能力 （见第7章）； f)） 删除了附录A中（见2017年版的附录A）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。 本文件由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。 本文件起草单位：清华大学、北京大学、中国电子技术标准化研究院、中国网络安全审查技术与认证 中心、中国信息安全测评中心、国家计算机网络应急技术处理协调中心、深信服科技股份有限公司、浙江 蚂蚁小微金融服务集团有限公司、北京快手科技有限公司、阿里巴巴（中国）有限公司、腾讯云计算（北 京）有限责任公司、中国科学院信息工程研究所、华控清交信息科技（北京）有限公司、北京天融信网络安 全技术有限公司、北京火山引擎科技有限公司、长扬科技（北京）股份有限公司、上海观安信息技术股份 评测中心（工业和信息化部软件与集成电路促进中心）、北京数安行科技有限公司、上海赴源科技服务有 限公司、杭州世平信息科技有限公司、北京信安世纪科技股份有限公司、联想（北京）有限公司、杭州安恒 信息技术股份有限公司、成都卫士通信息产业股份有限公司、上海三零卫王信息安全有限公司、陕西省 信息化工程研究院、上海商汤智能科技有限公司、北京神州绿盟科技有限公司、北京百度网讯科技有限 公司、浙江大华技术股份有限公司、北京腾云天下科技有限公司。 本文件主要起草人：叶晓俊、谢安明、吴迪、王建民、赵英华、徐羽佳、刘贤刚、陈兴蜀、赵芸伟、 李世奇、胡影、金涛、闵京华、王永霞、葛小宇、张屹、都婧、周润松、陈洪运、杨保磊、丁国徽、吴高、望娅露、 GB/T35274—2023 徐浩、王海棠、张宇、马红霞、刘玉岭、王庆磊、瓮辉辉、潘正泰、葛梦莹。 本文件及其所代替文件的历次版本发布情况为： 2017年首次发布为GB/T35274—2017； 一本次为第一次修订。 IV GB/T35274-—2023 信息安全技术 大数据服务安全能力要求 1范围 本文件规定了大数据服务提供者的大数据服务安全能力要求，包括大数据组织管理安全能力，大数 据处理安全能力和大数据服务安全风险管理能力的要求。 本文件适用于指导大数据服务提供者的大数据服务安全能力建设，也适用于第三方机构对大数据 服务提供者的大数据服务安全能力进行评估。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 本文件。 GB/T5271（所有部分）信息技术词汇 GB/T25069一2022信息安全技术术语 GB/T35273—2020信息安全技术个人信息安全规范 GB/T35295—2017信息技术大数据术语 3术语和定义 GB/T5271（所有部分）、GB/T25069—2022、GB/T35273—2020和GB/T35295—2017界定的以 及下列术语和定义适用于本文件。 3.1 大数据bigdata 具有体量巨大、来源多样、生成极快、宜多变等特征，并且难以用传统数据体系结构有效处理的包含 大量数据集的数据。 ［来源：GB/T35295—2017,2.1.1] 3.2 数据处理，datahandling 数据操作的系统执行，以实现特定目的的数据收集、存储、使用、加工、传输、提供、公开、销毁等 活动。 注：数据操作如数据的数学运算或逻辑运算，数据的归并或分类，文本的操作、存储、检索、显示或打印，数据的挖掘 分析、数据可视化等。 ［来源：GB/T5271.1—2000,01.01.06，有修改 3.3 数据收集datacollection 根据特定的目的和要求，从一种或多种数据源选择和获取数据，并对数据进行清洗、标识、加载等数 1 GB/T35274—2023 据操作，形成数据资产的数据处理活动。 3.4 数据存储data storage 将数据持久化保存在硬盘等存储介质中的数据处理活动。 3.5 数据使用 datausage 依据数据权属及收集和使用数据的目的和范围，以及确定的授权和访问控制策略，控制组织、人员 或信息系统等主体对数据资产进行读取、检索、展示等操作的数据处理活动。 注：数据使用需对数据的种类、范围、处理方式及其目的等进行相应的控制，包括数据使用前条件控制和数据使用 后义务履行。使用前条件是访问控制引擎在授权过程中，允许主体访问或使用客体数据前需核验的决策因素 集。条件控制是用来检查存在的约束限制，数据权属及使用权限是否有效，哪些约束限制需更新等。使用后义 务履行是主体在获得对客体的数据使用权限后要执行的要求。主体在获得权限执行数据使用操作后有执行获 取这些权限的义务责任。 3.6 数据加工dataprocessing 通过数据变换、数据转换、数据编码、数据计算、数据压缩、数据分析等数据操作，生成新数据（集）的 数据处理活动。 注：数据加工一般会涉及数据自身的改变，需要先读取数据，并经过变换、转换、纠错、编码、分析、挖掘、脱敏等数据 操作生成新数据（集）。 3.7 数据传输datatransmission 通过信息通信设备将数据从一个网络节点传送到一个或多个网络节点的数据处理活动。 注：网络节点可以是计算机、程序、终端设备、存储器、信息系统等。 ［来源：GB/T5271.9—2001，09.01.02，有修改］ 3.8 数据提供 dataprovision 向组织内其他责任主体或其他组织提供所控制的数据资产的数据处理活动 据的权益归属、数据跨境安全评估以及个人信息保护影响评估等数据操作。 3.9 数据公开datadisclosure 向其他组织、个人或指定范围公开所控制的数据资产的数据处理活动，使其可合规地获取所公开的 数据。 3.10 数据销毁datadestruction 抹去或覆盖存储介质中的数据或销毁存储介质的数据处理活动。 注：数据销毁分为数据删除和介质销毁两种。数据删除是指在所涉及的信息系统及数据存储设备中抹去数据或者 覆盖存储的数据，使其不可被检索、访问的状态；介质销毁则采用物理破坏、化学腐蚀等方法直接销毁存储数据 的介质，以达到彻底删除数据的目的。 3.11 大数据平台bigdataplatform 采用分布式存储和计算技术，提供大数据处理功能，支持大数据应用安全高效运行的软硬件集 2 GB/T35274—2023 合，包括监视数据输入/输出、控制数据处理活动等软硬件基础设施及其所控制的数据资产。 注：平台指由一组子系统和技术形成的软硬件设施组成，通过一些接口和使用工具提供一组一致的功能，任何由它 所支持的应用都可以使用平台的功能而不必关心其实现细节。 3.12 大数据应用 bigdataapplication 由大数据平台支撑，执行数据处理活动，提供大数据服务的应用系统。 3.13 大数据系统bigdata system