文 │ 中国电子技术标准化研究院 徐羽佳 胡影 上官晓丽

数据安全国家标准是开展数据安全监管,规范行业数据安全要求,指导网络运营者提升数据安全能力的重要抓手,对促进数据应用规范化、提升数据活动安全性有着重要意义。本文介绍了我国数据安全标准化现状,梳理了现有及在研的数据安全国家标准,并介绍了数据安全国家标准的验证试点及推广应用工作。

一、标准化组织——全国信息安全标准化技术委员会概述

全国信息安全标准化技术委员会(SAC/TC260,简称“信安标委”)是在信息安全技术专业领域内,从事信息安全标准化工作的技术工作组织。信安标委于2002年由国家标准化管理委员会(简称“国标委”)批复成立,业务上受中央网信办指导,主要工作范围包括安全技术、安全机制、安全服务、安全管理、安全评估等领域的标准化技术工作。

TC260下设7个工作组,其中,大数据安全标准特别工作组(SWG-BDS)负责大数据和云计算相关的安全标准研制工作,具体职责包括调研急需标准化需求,研究提出标准研制路线图,明确年度标准研制方向,组织开展关键标准研制工作。SWG-BDS于2016年成立,截至目前,SWG-BDS成员单位已达227家。

二、我国数据安全标准化情况

为落实《网络安全法》中“国家鼓励开发网络数据安全保护和利用技术,促进公共数据资源开放”及“国家建立和完善网络安全标准体系”等要求,响应《大数据发展行动纲要》中“健全大数据安全保障体系,强化安全支撑;完善法规制度和标准体系,科学规范利用大数据,切实保障数据安全”的主要任务,2016年,TC260成立大数据安全标准化特别工作组,成功启动了第一批大数据安全标准编制和预研工作。

目前,TC260已开展9项数据安全标准研制项目,其中,已发布标准4项,在研标准5项。

安全要求类标准包括GB/T 35274-2017《信息安全技术 大数据服务安全能力要求》、GB/T 37932-2019《信息安全技术 数据交易服务安全要求》及《信息安全技术 政务信息共享 数据安全技术要求》,分别针对大数据服务、数据交易及政务信息共享的情景提出了安全要求。

实施指南类标准中,GB/T 27973-2019《信息安全技术 大数据安全管理指南》提出了大数据安全管理基本概念,重点阐述了大数据安全管理的目标、主要内容、角色与责任;《信息安全技术 健康医疗数据安全指南》提出了健康医疗领域的信息安全框架,并给出健康医疗信息控制者在保护健康医疗信息时可采取的管理和技术措施;《信息安全技术 电信领域大数据安全防护实现指南》提出了电信领域大数据安全实现参考框架,针对电信领域大数据平台建设运维,数据全生命周期运营过程中面临的通用安全风险,给出了平台建设运维,数据安全运营相关指南。

检测评估类标准中,GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》提出了数据安全能力成熟度框架,明确了成熟度各等级的数据安全要求及相关评估方法;《信息安全技术 数据出境安全评估指南》给出了个人信息和重要数据出境安全评估的流程、要点和方法;《信息安全技术 数据安全管理认证规范》对网络运营者为保障数据安全所应采取的管理活动提出了要求。

三、现有的数据安全标准

自SWG-BDS成立以来,经过三年多的研究,截至2019年12月,已有四项数据安全国家标准正式发布。

1.GB/T 35274-2017《信息安全技术 大数据服务安全能力要求》

本标准针对我国大数据产品发展需求和大数据服务面临的安全问题,结合国内主要互联网企业和测评机构在大数据服务安全方面的实践基础,提出了有组织、有数据和有大数据系统的大数据服务提供商的大数据服务安全能力要求。落实了《网络安全法》中关于大数据安全保护的相关要求,为其落地实施提供了标准化支撑。

本标准于2017年发布,主要用于对大数据服务提供者的安全能力进行规范,同时也为我国大数据安全审查和评估工作提供参考,为提升我国大数据服务提供者的基础服务安全能力、数据生命周期相关的数据服务安全能力和大数据平台与应用安全运行相关的系统服务安全能力提供指引。

2.GB/T 37932-2019《信息安全技术 数据交易服务安全要求》

本标准提出了数据交易服务的参考框架和安全原则,将交易参与方分为数据供方、数据需方及数据交易服务机构,规定了各交易参与方的安全要求;从禁止交易数据、数据质量要求、个人信息安全保护及重要数据安全保护四个方面提出了交易对象的安全要求;将交易过程定义为交易申请、交易磋商、交易实施、交易结束四个阶段,并规定了数据交易过程各阶段的安全要求。

本标准于2019年发布,适用于数据交易服务机构进行安全自评估,也可供第三方测评机构对数据交易服务机构进行安全评估时参考。

3.GB/T 37973-2019 《信息安全技术 大数据安全管理指南》

本标准首先提出了大数据安全管理基本概念,明确了大数据安全管理的基本原则(包括职责明确、合规、质量保障、数据最小化、责任不随数据转移、最小授权、确保安全和可审计,这些原则是组织实施大数据安全管理的基本原则),提出了大数据安全需求(包括保密性、完整性、可用性及其他需求);其次介绍了数据分类分级的原则、流程及方法,从组织开展大数据安全管理活动的角度定义了数据采集、数据存储、数据处理、数据分发、数据删除等活动,描述了每个活动的基本概念以及常见的子活动,并针对每个子活动提出了安全要求;最后给出了指导组织评估大数据安全风险的方法。

本标准于2019年发布,用于指导拥有处理大数据的政府部门、企事业单位、非盈利机构等组织做好大数据的安全管理、风险评估等工作,安全应用大数据,采用有效技术和管理措施保障数据安全。

4.GB/T 37988-2019 《信息安全技术 数据安全能力成熟度模型》

本标准给出了组织机构数据安全能力的成熟度模型架构。该模型分为数据安全过程、安全能力及能力成熟度等级三个维度,重点强调对组织机构的数据安全能力成熟度的评判。模型侧重以数据为中心,在数据安全过程维度,将数据生命周期分为数据采集、数据传输、数据处理、数据交换、数据销毁六个阶段,每个阶段划分为若干个不同的安全过程域。同时,与各阶段都相关的过程以通用安全过程域表示。对于每一个过程域,从安全能力维度(即组织建设、制度流程、技术工具、人员能力)分别提出各成熟度等级要求,同时给出了组织数据安全能力成熟度等级的评估方法。

本标准于2019年发布,适用于对组织机构数据安全能力进行评估,也可供组织机构开展数据安全能力建设时参考。

四、在研的数据安全标准

1.《信息安全技术 政务信息共享 数据安全技术要求》

本标准提出了政务信息共享数据安全框架,该框架由数据安全技术要求和基础设施安全技术要求两部分组成。数据安全技术要求体系涵盖共享数据准备、共享数据交换和共享数据使用三个阶段中各功能集合所需的安全技术要求;基础设施安全技术要求明确了政务信息共享交换业务的基础网络环境、云平台、运行设备和开放网站等方面的安全防护要求,为政务信息共享交换业务提供基础安全保障支撑。

本标准已推进到报批稿阶段,适用于指导各级政务信息共享交换平台数据安全体系建设,规范各级政务部门使用政务信息共享交换平台交换非涉及国家秘密政务信息共享数据时的数据安全保障工作。

2.《信息安全技术 健康医疗数据安全指南》

本标准首先给出了健康医疗信息安全的框架,明确了安全目标及使用披露原则,以及实现前述安全目标应的实施方法;其次给出了保障健康医疗信息安全可使用的基本控制措施集,可供健康医疗信息控制者选择使用;再次从不同用户出于不同目的,在不同环境下使用不同数据的角度区分了数据使用场景,并明确控制者需要根据场景选择相应的保障措施以保障个人健康医疗信息的安全;最后描述了八个典型场景及相应场景下涉及的相关方、数据,并给出了相应的重点安全措施。

本标准已推进到报批稿阶段,适用于指导健康医疗信息控制者对健康医疗信息进行安全保护,也可供健康医疗、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗信息的安全监督管理与评估等工作时参考。

3.《信息安全技术 数据出境安全评估指南》

本标准定义了个人信息和重要数据出境安全评估的流程、要点和方法。提出了数据出境目的应满足合法性、正当性和必要性的要求,出境安全风险应从出境的数据内容(个人信息或重要数据)的特点,数据发送方、接接收方的安全保护能力,及数据接收方所在国家或区域的政治法律环境等方面综合分析。

本标准已推进到报批稿阶段,适用于网络运营者开展个人信息和重要数据出境安全自评估,以及国家网信部门、行业主管部门组织开展个人信息和重要数据出境安全评估。

4.《信息安全技术 电信领域大数据安全防护实现指南》

本标准提出了电信领域大数据安全实现参考框架,提出了电信领域大数据平台系统安全防护方法,涵盖大数据相关平台系统安全规划、建设、运行及系统软件安全配置与加固方法;提出了电信领域大数据全生命周期安全实现方法,涵盖大数据采集、传输、存储、使用、共享、销毁等管控措施。主要应用于电信领域大数据安全产品设计、研发,平台系统采购、建设与运维,大数据安全评估检测等场景。

本标准目前处于草案阶段,可为大数据平台系统的规划、建设、运维,数据全生命周期运营的安全防护提供参考,为大数据平台建设、业务运营服务商提供参照,为各电信企业,大数据安全产品供应商,安全评估服务机构,相关监管机构提供指导。

5.《信息安全技术 数据安全管理认证规范》

本标准以个人信息(含个人敏感信息)、重要数据和组织运营(业务)数据为数据保护目标,首先提出网络运营者为保障数据安全应采取的管理措施及安全管理要求;其次提出了网络运营者在数据各生命周期涉及的活动中,应采取的管理手段和安全控制措施,涵盖了数据收集、数据传输、数据保存、数据处置、数据使用、数据共享、转让、发布和委托处理、数据出境、第三方服务接入等活动;最后为行业应用本标准提供了参考描述模型及相关示例。

本标准目前处于草案阶段,为数据安全管理认证提供依据,同时也可为网络运营者提高自身数据安全保障水平,建立数据安全管理体系提供指引,也可作为数据安全监管机构对网络运营者进行监管时参考使用。

五、标准应用推广及验证

标准的发布不是终点,标准能够落地实施、发挥作用是标准的意义所在。标准的验证试点及应用推广对提升标准的适用性、促进标准落地实施具有重要意义。TC260坚持将网络安全标准制修订工作与标准应用推广及验证工作并重,在标准研究的同时,积极探索标准的应用模式,推进标准的落地实施。

1.数据安全能力成熟度评估平台

2017年,信安标委开发了“数据安全能力成熟度评估平台”,该平台将标准内容拆解、细化,以问卷的形式与数据安全能力成熟度评估流程结合。通过该平台,网络运营者能够实现数据安全能力成熟度自评估,定位其自身数据安全能力短板,有针对性地提升自身数据安全能力水平。

将标准线上化、平台化,能够帮助使用者更好地理解、应用标准,建立了标准呈现由文本到自动化工具的新形式,丰富了标准应用的渠道,对标准的推广起到了积极作用。

2.2018年《信息安全技术 数据安全能力成熟度模型》(报批稿)试点验证

2018年,信安标委秘书处邀请了包含互联网、人工智能、医疗、金融、政务、旅游、酒店等行业的十家机构对国家标准《信息安全技术 数据安全能力成熟度模型》(报批稿)内容进行了试点。

本次试点借助数据安全能力成熟度评估平台开展。通过自评估的形式,针对十家试点单位的评估业务,验证每一条标准条款(即数据安全能力成熟度各级别的每个BP,基本实践)的适用性、符合性及数据安全能力成熟度各级别的划分水位,并对符合性统计数据进行分析,筛选出标准中对应级别要求过高、过低和普适性较低的条款;同时结合试点单位提交的自评估材料中对标准的理解,提出标准修改建议。

通过本次试点工作,验证了国家标准《信息安全技术 数据安全能力成熟度模型》(报批稿)的适用性和可实施性,总结形成了标准改进建议七十余条,推动了标准质量的提升,提高了标准的可适用性、可实施性;同时,为网络运营者深入了解企业自身的数据安全建设情况、提升数据安全能力水平提供了途径,验证了国家标准《信息安全技术 数据安全能力成熟度模型》(报批稿)对网络运营者数据安全能力的提升的积极作用,也为下一步推动国家数据安全标准落地奠定良好基础。

3.2019年国家标准GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》应用推广

2019年8月,GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》正式发布。为了探索标准在不同行业的应用模式,促进标准落地实施,信安标委秘书启动了该标准的应用推广工作。

2019年9月,信安标委秘书处通过公开征集、地方政府推荐、行业协会推荐及生态企业推荐的方式,征集了一批数据量较大、数据应用场景典型、行业特点鲜明的单位或企业,参与本标准的应用推广工作。与2018年标准报批稿的试点验证相比,本次应用推广工作的行业覆盖面更广、征集渠道更多样化。为保证工作的科学性,信安标委秘书处召集行业专家、各参与单位及技术支撑单位召开了启动会,各参与单位就各自数据安全能力建设现状与需求、对提升数据安全能力的期望进行了交流,专家组对工作进行了指导。同时,为保证后续工作的顺利进行,信安标委秘书处与技术支撑单位为参与单位详细解读了标准内容,介绍了数据安全能力成熟度测评经验。

(本文刊登于《中国信息安全》杂志2019年第12期)

声明:本文来自中国信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。