本文来自享法互联网JoyLegal,作者/史蕾、杨玥祺。
01
前言
《GB/T 35274-2023信息安全技术大数据服务安全能力要求》(以下简称“新规”)于2023年8月6日发布,2024年3月1日实施。其前身《GB/T 35274-2017信息安全技术大数据服务安全能力要求》(简称“旧规”)于2017年12月29日发布,2018年7月1日实施,此次为时隔6年后的首次修订,响应了期间发布的《数据安全法》和《个人信息保护法》确立的数据安全与个人信息保护要求。
标准适用于大数据服务提供者在提供服务过程中,对其大数据产品安全能力的建设指引,也可用于第三方评估机构对大数据服务安全能力进行评估。但值得注意的是,标准的适用范围中并未明确说明可作为监管依据。
具体而言,新规从大数据服务提供者的组织管理安全能力、数据处理安全能力和数据服务安全风险管理能力三大方面提出要求。该安全能力建设要求和评估体系结构很大程度上与《网络安全法》《数据安全法》和《个人信息保护法》构建的网络安全与数据安全监管要点保持一致。下文对新规的主要内容进行介绍。
02
新旧规的主要变化
新规在体例上以及术语上都对旧规做了较大的修改,旧规主要分为概述、基础安全要求与数据服务安全要求三部分。根据大数据系统是否承载重要数据、以及大数据服务异常可能造成的影响范围和严重程度,将大数据服务安全能力区分为一般要求和增强要求,在基础安全要求与数据服务安全要求部分分别说明。新规并未延续这种分类区分模式,而是将对重要数据和关键信息基础设施运营者的特殊要求规定在具体条款中。笔者理解可能原因是旧规生效后,新规生效前颁布的《数据安全法》《个人信息保护法》对数据安全和个人信息管理的要求趋严,旧规中一般要求与增强要求之间的界限已不再分明,例如旧规5.5.1.2针对数据供应链提出的增强要求中明确“大数据服务提供者应定期对数据供应链上下游数据活动安全风险和数据安全管理能力进行评估“,但实际上,对上游的数据间接获取方的数据来源监督和对下游的受托处理以及接受共享数据方的数据安全能力评估已经被《数据安全法》《个人信息保护法》《信息安全技术个人信息安全规范》明确为一般数据处理者、个人信息处理者的义务,而非仅限于重要数据处理者的义务。
03
定义明确的概念
新规修订后,对标《数据安全法》《网络安全法》对部分术语进行了更新与修改,其中部分重要术语如下:
1)介绍了大数据的应用、系统、服务、使用者、大数据服务提供者等主体概念。将大数据服务提供者定义为拥有或可获得大数据服务所需数据资产的网络运营者。进一步明确了《网络安全法》的适用问题。
2)大数据为体量巨大、来源多样、生成极快、宜多变,且难以用传统数据体系结构有效处理的包含大量数据集的数据。
3)数据供应链为大数据服务中,数据处理涉及数据需求及供应关系目的的上游与下游组织的数据资源及数据操作所形成的链接集。
4)对标明确了数据全生命周期各个环节的概念,包括数据收集、存储、使用、加工、传输、提供、公开到销毁等环节的概念。对在以往标准文件中尚未明确的定义进行了清晰。
——数据使用指在特定的数据权属、目的和范围内,在进行访问控制的前提下进行的对数据资产的读取、检索以及展示。在注释部分明确应对数据的种类、范围、处理方式及目的以及访问权限进行控制。
——数据加工则强调通过对原始数据的一系列数据操作,生成新的数据的过程。
——数据传输指通过信息通信设备将数据从一个网络节点传送到一个或多个网络节点的数据处理活动,其中网络节点可以是计算机、程序、终端设备、存储器、信息系统等。强调数据传输的节点控制。
——强调了数据销毁的类型分为数据删除和介质销毁两种,对应逻辑删除和物理删除。
04
大数据组织管理安全能力
该部分从策略与规程、组织与人员、资产管理三大方面,对标《数据安全法》《网络安全法》和《个人信息保护法》对大数据服务提供者(实际为拥有大数据服务所需数据资产的网络运营者)提出了要求。
1.策略和规程方面
——要求制定网络安全和数据安全等管理制度以及相匹配的大数据平台和大数据应用安全技术机制及实施细则,并要求相关职能部门、岗位和人员进行制度学习。
——建立数据供应链安全管理规程,通过协议与数据供应链上下游组织明确数据共享交换的情况以及双方的数据安全责任和义务
——建立数据安全风险评估和个人信息保护影响评估规程及实施细则
——同时强调了建立和实施数据安全和个人信息保护投诉举报机制
——落实数据安全和个人信息保护责任考核制度
——建立机器可读的数据安全策略与规程履行机制等
2.组织人员方面
——基于大数据服务提供者处理海量数据的前提,对标《数据安全法》第二十七条关于重要数据处理者的组织要求,要求大数据服务提供者明确数据安全负责人;
——明确系统规划、建设和使用相关的工作职能部门,制定部门网络安全责任清单及追责制度,明确数据安全风险评估及数据安全应急处置等工作职能部门,建立汇报和沟通机制以及监督考核机制;
——组织范围内的数据安全培训;
——岗位职责方面,强调涉及重要数据的组织应设立专职的数据安全管理岗位;
——人员管理方面,强调了人员入离调转等阶段的安全管理操作规程建设以及访问权限管理及记录、明确重要岗位的考核要求、背景调查和保密要求;强调第三方人员的安全管理制度、保密协议签订以及安全审查。
——培训管理方面,要求制定数据开发利用和数据安全保护相关培训计划,每年定期开展培训;同时强调对重要数据和敏感个人信息等重要岗位在上岗、转岗、晋升等职务变动等特定阶段的教育培训要求以及实践考核要求。
3.资产管理方面
分为数据资产与系统资产两类资产提出了合规要求,主要包括安全管理制度与操作规程建设、资产清单管理与标记以及自动化管理等。
数据资产方面,要求:
——建立数据资产安全管理规范,并定期审核与更新
——建立数据分类分级制度和操作规程,变更审核流程及机制
——建立数据资产清单及操作审计机制,建立数据资产管理平台,实现数据资产数字化管理
——建立安全属性标记策略与操作规程
系统资产方面,要求:
——建立系统资产安全管理规范
——建立系统资产建设和运营管控措施,明确安全要求
——建立系统资产登记制度,形成系统资产清单,建立系统资产分类和标记规程
——对系统资产管理进行自动化管理与持续更新
05
大数据处理安全能力
该部分具体到数据全生命周期的各个阶段提出细化安全要求。
——数据收集阶段,从数据获取、数据清洗、数据标识与数据加载方面进行了具体要求,其中数据获取方面主要强调了获取来源和渠道的安全性以及知识产权保护内容;数据清洗、数据标识与数据加载均从全流程保护的角度,强调了事前规则制定、事中技术安全保障措施与事后的安全删除机制建设等。
——数据存储阶段,规定了存储架构、数据副本与备份、数据归档、数据留存、密钥管理以及多租户数据存储等方面的安全要求,亦提出了技术层面的管理要求。
——数据使用阶段,从合规管理、访问控制以及数据展示三个角度进行了详细阐释。
——数据加工阶段,从分布式计算、大数据分析、密文计算以及数据脱敏等角度进行了规定。重申了算法推荐服务的管理和审核要求。
——数据传输阶段,区分安全区域内外的数据传输场景分别制定安全策略,构建符合国家密码管理规定的密钥管理和操作接口规范等。
——数据提供阶段,分为组织内提供、跨组织提供两方面明确要求,对跨组织提供数据规定了更严格的要求,但相关规定基本对标现行法律法规、国家标准等要求,不再赘述。
——数据公开,分为数据发布和数据访问两种公开形式。
——数据销毁,分为数据删除与介质管理,对应逻辑删除与物理删除。
06
大数据服务安全风险管理能力
该部分从风险识别、事前安全防控与检测检查、事后安全响应与安全恢复等方面对对数据处理者安全风险管理能力提出了要求。
——风险识别方面,分为数据安全风险识别与供应链安全风险识别。重申了针对应用于关键信息基础设施的平台,应通过主管部门认可的第三方评估机构评估。相关法规《网络数据安全管理条例(征求意见稿)》第三十四条国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。
——安全防护方面,从区域边界防护、计算环境防护、数据操作防护、数据服务接口防护、威胁信息分析等方面提出了细化要求。其中提到大数据服务提供者应当具备防范网络爬虫技术、数据分析技术等从网络和应用层获取重要数据和个人信息的能力。
——安全检测方面,从数据处理监测、系统运行监测、服务持续监测提出要求,要求存储安全存储监控日志、安全存储系统运行日志等6个月以上。
——安全检查方面,要求定期以及不定期对大数据系统的安全控制措施进行检查。在获得授权同意以及做好风险管理以及应急预案前提下,方能采取渗透性测试的分线评估方式。涉及重要数据的大数据系统,应获得主管部门批准后方可实施漏洞探测与渗透性测试等安全检查评估活动。
——应急响应方面,从应急预案管理、安全事件处置、事件归因分析与安全风险报送等角度进行了细化规定。
——安全恢复方面,明确了数据恢复和业务恢复要求。
07
结语
新规也具有不少亮点,例如将数据供应链的管理纳入大数据服务提供者的管理要求中,对数据资产的建立流程、标记与审计等做出了指引,在数据收集环节,从数据资产化的角度明确了数据清洗、数据标识与数据加载等环节的要求。
建议企业自查是否属于大数据服务提供者,即是否属于拥有大数据系统,提供大数据服务的组织;若属于大数据服务提供者,则在进行制度建设、组织建设、系统建设、数据处理以及安全风险阶段,可以参照该标准的规定进行合规建设。该标准虽然并非强制性标准,也并未在适用范围部分明确可能作为监管依据,但实际上细观该标准提出的要求,大多对标《数据安全法》《网络安全法》和《个人信息保护法》构建的数据安全与网络安全评估体系提出,因此大数据服务提供者可将该标准作为数据合规建设的参照性文件进行合规设计。
