信息化觀察網(wǎng)

本文來自享法互聯(lián)網(wǎng)JoyLegal，作者/史蕾、楊玥祺。

01

前言

《GB/T 35274-2023信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》（以下簡稱“新規(guī)”）于2023年8月6日發(fā)布，2024年3月1日實施。其前身《GB/T 35274-2017信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》（簡稱“舊規(guī)”）于2017年12月29日發(fā)布，2018年7月1日實施，此次為時隔6年后的首次修訂，響應(yīng)了期間發(fā)布的《數(shù)據(jù)安全法》和《個人信息保護法》確立的數(shù)據(jù)安全與個人信息保護要求。

標準適用于大數(shù)據(jù)服務(wù)提供者在提供服務(wù)過程中，對其大數(shù)據(jù)產(chǎn)品安全能力的建設(shè)指引，也可用于第三方評估機構(gòu)對大數(shù)據(jù)服務(wù)安全能力進行評估。但值得注意的是，標準的適用范圍中并未明確說明可作為監(jiān)管依據(jù)。

具體而言，新規(guī)從大數(shù)據(jù)服務(wù)提供者的組織管理安全能力、數(shù)據(jù)處理安全能力和數(shù)據(jù)服務(wù)安全風險管理能力三大方面提出要求。該安全能力建設(shè)要求和評估體系結(jié)構(gòu)很大程度上與《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個人信息保護法》構(gòu)建的網(wǎng)絡(luò)安全與數(shù)據(jù)安全監(jiān)管要點保持一致。下文對新規(guī)的主要內(nèi)容進行介紹。

02

新舊規(guī)的主要變化

新規(guī)在體例上以及術(shù)語上都對舊規(guī)做了較大的修改，舊規(guī)主要分為概述、基礎(chǔ)安全要求與數(shù)據(jù)服務(wù)安全要求三部分。根據(jù)大數(shù)據(jù)系統(tǒng)是否承載重要數(shù)據(jù)、以及大數(shù)據(jù)服務(wù)異常可能造成的影響范圍和嚴重程度，將大數(shù)據(jù)服務(wù)安全能力區(qū)分為一般要求和增強要求，在基礎(chǔ)安全要求與數(shù)據(jù)服務(wù)安全要求部分分別說明。新規(guī)并未延續(xù)這種分類區(qū)分模式，而是將對重要數(shù)據(jù)和關(guān)鍵信息基礎(chǔ)設(shè)施運營者的特殊要求規(guī)定在具體條款中。筆者理解可能原因是舊規(guī)生效后，新規(guī)生效前頒布的《數(shù)據(jù)安全法》《個人信息保護法》對數(shù)據(jù)安全和個人信息管理的要求趨嚴，舊規(guī)中一般要求與增強要求之間的界限已不再分明，例如舊規(guī)5.5.1.2針對數(shù)據(jù)供應(yīng)鏈提出的增強要求中明確“大數(shù)據(jù)服務(wù)提供者應(yīng)定期對數(shù)據(jù)供應(yīng)鏈上下游數(shù)據(jù)活動安全風險和數(shù)據(jù)安全管理能力進行評估“，但實際上，對上游的數(shù)據(jù)間接獲取方的數(shù)據(jù)來源監(jiān)督和對下游的受托處理以及接受共享數(shù)據(jù)方的數(shù)據(jù)安全能力評估已經(jīng)被《數(shù)據(jù)安全法》《個人信息保護法》《信息安全技術(shù)個人信息安全規(guī)范》明確為一般數(shù)據(jù)處理者、個人信息處理者的義務(wù)，而非僅限于重要數(shù)據(jù)處理者的義務(wù)。

03

定義明確的概念

新規(guī)修訂后，對標《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》對部分術(shù)語進行了更新與修改，其中部分重要術(shù)語如下：

1)介紹了大數(shù)據(jù)的應(yīng)用、系統(tǒng)、服務(wù)、使用者、大數(shù)據(jù)服務(wù)提供者等主體概念。將大數(shù)據(jù)服務(wù)提供者定義為擁有或可獲得大數(shù)據(jù)服務(wù)所需數(shù)據(jù)資產(chǎn)的網(wǎng)絡(luò)運營者。進一步明確了《網(wǎng)絡(luò)安全法》的適用問題。

2)大數(shù)據(jù)為體量巨大、來源多樣、生成極快、宜多變，且難以用傳統(tǒng)數(shù)據(jù)體系結(jié)構(gòu)有效處理的包含大量數(shù)據(jù)集的數(shù)據(jù)。

3)數(shù)據(jù)供應(yīng)鏈為大數(shù)據(jù)服務(wù)中，數(shù)據(jù)處理涉及數(shù)據(jù)需求及供應(yīng)關(guān)系目的的上游與下游組織的數(shù)據(jù)資源及數(shù)據(jù)操作所形成的鏈接集。

4)對標明確了數(shù)據(jù)全生命周期各個環(huán)節(jié)的概念，包括數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開到銷毀等環(huán)節(jié)的概念。對在以往標準文件中尚未明確的定義進行了清晰。

——數(shù)據(jù)使用指在特定的數(shù)據(jù)權(quán)屬、目的和范圍內(nèi)，在進行訪問控制的前提下進行的對數(shù)據(jù)資產(chǎn)的讀取、檢索以及展示。在注釋部分明確應(yīng)對數(shù)據(jù)的種類、范圍、處理方式及目的以及訪問權(quán)限進行控制。

——數(shù)據(jù)加工則強調(diào)通過對原始數(shù)據(jù)的一系列數(shù)據(jù)操作，生成新的數(shù)據(jù)的過程。

——數(shù)據(jù)傳輸指通過信息通信設(shè)備將數(shù)據(jù)從一個網(wǎng)絡(luò)節(jié)點傳送到一個或多個網(wǎng)絡(luò)節(jié)點的數(shù)據(jù)處理活動，其中網(wǎng)絡(luò)節(jié)點可以是計算機、程序、終端設(shè)備、存儲器、信息系統(tǒng)等。強調(diào)數(shù)據(jù)傳輸?shù)墓?jié)點控制。

——強調(diào)了數(shù)據(jù)銷毀的類型分為數(shù)據(jù)刪除和介質(zhì)銷毀兩種，對應(yīng)邏輯刪除和物理刪除。

04

大數(shù)據(jù)組織管理安全能力

該部分從策略與規(guī)程、組織與人員、資產(chǎn)管理三大方面，對標《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》和《個人信息保護法》對大數(shù)據(jù)服務(wù)提供者（實際為擁有大數(shù)據(jù)服務(wù)所需數(shù)據(jù)資產(chǎn)的網(wǎng)絡(luò)運營者）提出了要求。

1.策略和規(guī)程方面

——要求制定網(wǎng)絡(luò)安全和數(shù)據(jù)安全等管理制度以及相匹配的大數(shù)據(jù)平臺和大數(shù)據(jù)應(yīng)用安全技術(shù)機制及實施細則，并要求相關(guān)職能部門、崗位和人員進行制度學習。

——建立數(shù)據(jù)供應(yīng)鏈安全管理規(guī)程，通過協(xié)議與數(shù)據(jù)供應(yīng)鏈上下游組織明確數(shù)據(jù)共享交換的情況以及雙方的數(shù)據(jù)安全責任和義務(wù)

——建立數(shù)據(jù)安全風險評估和個人信息保護影響評估規(guī)程及實施細則

——同時強調(diào)了建立和實施數(shù)據(jù)安全和個人信息保護投訴舉報機制

——落實數(shù)據(jù)安全和個人信息保護責任考核制度

——建立機器可讀的數(shù)據(jù)安全策略與規(guī)程履行機制等

2.組織人員方面

——基于大數(shù)據(jù)服務(wù)提供者處理海量數(shù)據(jù)的前提，對標《數(shù)據(jù)安全法》第二十七條關(guān)于重要數(shù)據(jù)處理者的組織要求，要求大數(shù)據(jù)服務(wù)提供者明確數(shù)據(jù)安全負責人；

——明確系統(tǒng)規(guī)劃、建設(shè)和使用相關(guān)的工作職能部門，制定部門網(wǎng)絡(luò)安全責任清單及追責制度，明確數(shù)據(jù)安全風險評估及數(shù)據(jù)安全應(yīng)急處置等工作職能部門，建立匯報和溝通機制以及監(jiān)督考核機制；

——組織范圍內(nèi)的數(shù)據(jù)安全培訓；

——崗位職責方面，強調(diào)涉及重要數(shù)據(jù)的組織應(yīng)設(shè)立專職的數(shù)據(jù)安全管理崗位；

——人員管理方面，強調(diào)了人員入離調(diào)轉(zhuǎn)等階段的安全管理操作規(guī)程建設(shè)以及訪問權(quán)限管理及記錄、明確重要崗位的考核要求、背景調(diào)查和保密要求；強調(diào)第三方人員的安全管理制度、保密協(xié)議簽訂以及安全審查。

——培訓管理方面，要求制定數(shù)據(jù)開發(fā)利用和數(shù)據(jù)安全保護相關(guān)培訓計劃，每年定期開展培訓；同時強調(diào)對重要數(shù)據(jù)和敏感個人信息等重要崗位在上崗、轉(zhuǎn)崗、晉升等職務(wù)變動等特定階段的教育培訓要求以及實踐考核要求。

3.資產(chǎn)管理方面

分為數(shù)據(jù)資產(chǎn)與系統(tǒng)資產(chǎn)兩類資產(chǎn)提出了合規(guī)要求，主要包括安全管理制度與操作規(guī)程建設(shè)、資產(chǎn)清單管理與標記以及自動化管理等。

數(shù)據(jù)資產(chǎn)方面，要求：

——建立數(shù)據(jù)資產(chǎn)安全管理規(guī)范，并定期審核與更新

——建立數(shù)據(jù)分類分級制度和操作規(guī)程，變更審核流程及機制

——建立數(shù)據(jù)資產(chǎn)清單及操作審計機制，建立數(shù)據(jù)資產(chǎn)管理平臺，實現(xiàn)數(shù)據(jù)資產(chǎn)數(shù)字化管理

——建立安全屬性標記策略與操作規(guī)程

系統(tǒng)資產(chǎn)方面，要求：

——建立系統(tǒng)資產(chǎn)安全管理規(guī)范

——建立系統(tǒng)資產(chǎn)建設(shè)和運營管控措施，明確安全要求

——建立系統(tǒng)資產(chǎn)登記制度，形成系統(tǒng)資產(chǎn)清單，建立系統(tǒng)資產(chǎn)分類和標記規(guī)程

——對系統(tǒng)資產(chǎn)管理進行自動化管理與持續(xù)更新

05

大數(shù)據(jù)處理安全能力

該部分具體到數(shù)據(jù)全生命周期的各個階段提出細化安全要求。

——數(shù)據(jù)收集階段，從數(shù)據(jù)獲取、數(shù)據(jù)清洗、數(shù)據(jù)標識與數(shù)據(jù)加載方面進行了具體要求，其中數(shù)據(jù)獲取方面主要強調(diào)了獲取來源和渠道的安全性以及知識產(chǎn)權(quán)保護內(nèi)容；數(shù)據(jù)清洗、數(shù)據(jù)標識與數(shù)據(jù)加載均從全流程保護的角度，強調(diào)了事前規(guī)則制定、事中技術(shù)安全保障措施與事后的安全刪除機制建設(shè)等。

——數(shù)據(jù)存儲階段，規(guī)定了存儲架構(gòu)、數(shù)據(jù)副本與備份、數(shù)據(jù)歸檔、數(shù)據(jù)留存、密鑰管理以及多租戶數(shù)據(jù)存儲等方面的安全要求，亦提出了技術(shù)層面的管理要求。

——數(shù)據(jù)使用階段，從合規(guī)管理、訪問控制以及數(shù)據(jù)展示三個角度進行了詳細闡釋。

——數(shù)據(jù)加工階段，從分布式計算、大數(shù)據(jù)分析、密文計算以及數(shù)據(jù)脫敏等角度進行了規(guī)定。重申了算法推薦服務(wù)的管理和審核要求。

——數(shù)據(jù)傳輸階段，區(qū)分安全區(qū)域內(nèi)外的數(shù)據(jù)傳輸場景分別制定安全策略，構(gòu)建符合國家密碼管理規(guī)定的密鑰管理和操作接口規(guī)范等。

——數(shù)據(jù)提供階段，分為組織內(nèi)提供、跨組織提供兩方面明確要求，對跨組織提供數(shù)據(jù)規(guī)定了更嚴格的要求，但相關(guān)規(guī)定基本對標現(xiàn)行法律法規(guī)、國家標準等要求，不再贅述。

——數(shù)據(jù)公開，分為數(shù)據(jù)發(fā)布和數(shù)據(jù)訪問兩種公開形式。

——數(shù)據(jù)銷毀，分為數(shù)據(jù)刪除與介質(zhì)管理，對應(yīng)邏輯刪除與物理刪除。

06

大數(shù)據(jù)服務(wù)安全風險管理能力

該部分從風險識別、事前安全防控與檢測檢查、事后安全響應(yīng)與安全恢復等方面對對數(shù)據(jù)處理者安全風險管理能力提出了要求。

——風險識別方面，分為數(shù)據(jù)安全風險識別與供應(yīng)鏈安全風險識別。重申了針對應(yīng)用于關(guān)鍵信息基礎(chǔ)設(shè)施的平臺，應(yīng)通過主管部門認可的第三方評估機構(gòu)評估。相關(guān)法規(guī)《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例（征求意見稿）》第三十四條國家機關(guān)和關(guān)鍵信息基礎(chǔ)設(shè)施運營者采購的云計算服務(wù)，應(yīng)當通過國家網(wǎng)信部門會同國務(wù)院有關(guān)部門組織的安全評估。

——安全防護方面，從區(qū)域邊界防護、計算環(huán)境防護、數(shù)據(jù)操作防護、數(shù)據(jù)服務(wù)接口防護、威脅信息分析等方面提出了細化要求。其中提到大數(shù)據(jù)服務(wù)提供者應(yīng)當具備防范網(wǎng)絡(luò)爬蟲技術(shù)、數(shù)據(jù)分析技術(shù)等從網(wǎng)絡(luò)和應(yīng)用層獲取重要數(shù)據(jù)和個人信息的能力。

——安全檢測方面，從數(shù)據(jù)處理監(jiān)測、系統(tǒng)運行監(jiān)測、服務(wù)持續(xù)監(jiān)測提出要求，要求存儲安全存儲監(jiān)控日志、安全存儲系統(tǒng)運行日志等6個月以上。

——安全檢查方面，要求定期以及不定期對大數(shù)據(jù)系統(tǒng)的安全控制措施進行檢查。在獲得授權(quán)同意以及做好風險管理以及應(yīng)急預案前提下，方能采取滲透性測試的分線評估方式。涉及重要數(shù)據(jù)的大數(shù)據(jù)系統(tǒng)，應(yīng)獲得主管部門批準后方可實施漏洞探測與滲透性測試等安全檢查評估活動。

——應(yīng)急響應(yīng)方面，從應(yīng)急預案管理、安全事件處置、事件歸因分析與安全風險報送等角度進行了細化規(guī)定。

——安全恢復方面，明確了數(shù)據(jù)恢復和業(yè)務(wù)恢復要求。

07

結(jié)語

新規(guī)也具有不少亮點，例如將數(shù)據(jù)供應(yīng)鏈的管理納入大數(shù)據(jù)服務(wù)提供者的管理要求中，對數(shù)據(jù)資產(chǎn)的建立流程、標記與審計等做出了指引，在數(shù)據(jù)收集環(huán)節(jié)，從數(shù)據(jù)資產(chǎn)化的角度明確了數(shù)據(jù)清洗、數(shù)據(jù)標識與數(shù)據(jù)加載等環(huán)節(jié)的要求。

建議企業(yè)自查是否屬于大數(shù)據(jù)服務(wù)提供者，即是否屬于擁有大數(shù)據(jù)系統(tǒng)，提供大數(shù)據(jù)服務(wù)的組織；若屬于大數(shù)據(jù)服務(wù)提供者，則在進行制度建設(shè)、組織建設(shè)、系統(tǒng)建設(shè)、數(shù)據(jù)處理以及安全風險階段，可以參照該標準的規(guī)定進行合規(guī)建設(shè)。該標準雖然并非強制性標準，也并未在適用范圍部分明確可能作為監(jiān)管依據(jù)，但實際上細觀該標準提出的要求，大多對標《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》和《個人信息保護法》構(gòu)建的數(shù)據(jù)安全與網(wǎng)絡(luò)安全評估體系提出，因此大數(shù)據(jù)服務(wù)提供者可將該標準作為數(shù)據(jù)合規(guī)建設(shè)的參照性文件進行合規(guī)設(shè)計。