第5章大数据安全标准体系..435.1大数据安全标准化需求435.2大数据安全标准分类..44..455.2.1标准主题分类..5.2.2标准类型分类......475.2.3其它分类..485.3大数据安全标准图谱...485.4大数据安全标准特别工作组标准工作.495.4.1标准制定项目.495.4.2标准研究项目...535.5近期重点工作方向.....555.5.1开展大数据安全参考框架研制...555.5.2完善个人信息安全相关标准研制.55.555.5.3推进数据交换共享相关安全标准研制.565.5.4加快数据出境安全相关标准研制,5.5.5推动大数据安全检测评估相关标准研制..565.5.6启动重点领域大数据安全标准研制...56第6章大数据安全标准化工作建议.58.586.1健全大数据安全法律法规体系..586.2加强大数据安全核心技术研发,6.3大力推广大数据安全标准示范应用....586.4建立大数据安全标准体系研究长效机制....586.5加强大数据安全标准化人才培养...596.6深度参与大数据安全国际标准化工作.59附录A典型领域大数据安全标准需求..60A.1安全应用大数据..60..60A.1.1安全应用大数据特点,A.1.2安全应用大数据应用领域...60A.1.3安全应用大数据标准需求...62A.2政务大数据.....62A.2.1.政务大数据特点.62A.2.2政务大数据安全风险和需求,..63A.2.3政务大数据安全标准需求..63A.3健康医疗大数据...64A.3.1健康医疗大数据特点...64A.3.2健康医疗大数据安全风险和需求..65A.3.3健康医疗大数据安全标准需求.66A.4教育大数据......67..67A.4.1教育大数据特点..A.4.2教育大数据安全风险和需求....68A.4.3教育大数据安全标准需求...68A.5金融大数据.69..69A.5.1金融大数据特点,A.5.2金融大数据安全风险和需求.70v
V 第 5 章 大数据安全标准体系 .43 5.1 大数据安全标准化需求.43 5.2 大数据安全标准分类.44 5.2.1 标准主题分类.45 5.2.2 标准类型分类.47 5.2.3 其它分类.48 5.3 大数据安全标准图谱.48 5.4 大数据安全标准特别工作组标准工作.49 5.4.1 标准制定项目.49 5.4.2 标准研究项目.53 5.5 近期重点工作方向.55 5.5.1 开展大数据安全参考框架研制.55 5.5.2 完善个人信息安全相关标准研制.55 5.5.3 推进数据交换共享相关安全标准研制.55 5.5.4 加快数据出境安全相关标准研制.56 5.5.5 推动大数据安全检测评估相关标准研制.56 5.5.6 启动重点领域大数据安全标准研制.56 第 6 章 大数据安全标准化工作建议 .58 6.1 健全大数据安全法律法规体系.58 6.2 加强大数据安全核心技术研发.58 6.3 大力推广大数据安全标准示范应用.58 6.4 建立大数据安全标准体系研究长效机制.58 6.5 加强大数据安全标准化人才培养.59 6.6 深度参与大数据安全国际标准化工作.59 附录 A 典型领域大数据安全标准需求 .60 A.1 安全应用大数据.60 A.1.1 安全应用大数据特点.60 A.1.2 安全应用大数据应用领域.60 A.1.3 安全应用大数据标准需求.62 A.2 政务大数据.62 A.2.1 政务大数据特点.62 A.2.2 政务大数据安全风险和需求.63 A.2.3 政务大数据安全标准需求.63 A.3 健康医疗大数据.64 A.3.1 健康医疗大数据特点.64 A.3.2 健康医疗大数据安全风险和需求.65 A.3.3 健康医疗大数据安全标准需求.66 A.4 教育大数据.67 A.4.1 教育大数据特点.67 A.4.2 教育大数据安全风险和需求.68 A.4.3 教育大数据安全标准需求.68 A.5 金融大数据.69 A.5.1 金融大数据特点.69 A.5.2 金融大数据安全风险和需求.70
A.5.3金融大数据安全标准需求..71A.6互联网金融大数据..72..72A.6.1互联网金融大数据特点...A.6.2互联网金融大数据安全风险和需求.73A.6.3互联网金融大数据安全标准需求....74A.7电信大数据..75A.7.1电信大数据特点....75A.7.2电信大数据安全风险和需求.75A.7.3电信大数据安全标准需求..76A.8能源大数据....77A..8..能源大数据特点.....77A.8.2能源大数据安全风险和需求.77A.8.3能源大数据安全标准需求...78A.9交通大数据....78A.9.1交通大数据特点.78A.9.2交通大数据安全风险和需求..79A.9.3交通大数据安全标准需求....80A.10电商大数据....80A.10.1电商大数据特点..80A.10.2电商大数据安全风险和需求...81A.10.3电商大数据安全标准需求..81附录B大数据安全标准应用实践....83B.1360企业安全集团大数据安全标准应用实践..83B.2IBM大数据安全标准应用实践.84B.3阿里巴巴大数据安全标准应用实践...87..90B.4海信交通大数据安全标准应用实践B.5联想大数据安全标准应用实践....92..94B.6蚂蚁金服大数据安全标准应用实践..B.7南大通用大数据安全标准应用实践....96B.8启明星辰能源大数据安全标准应用实践....98B.9勤智数码互联网金融大数据安全标准应用实践.101B.10三未信安大数据安全标准应用实践...102B.11腾讯云大数据安全标准应用实践,.104B.12医渡云大数据安全标准应用实践...107B.13中电长城网际大数据安全标准应用实践.111B.14中国移动大数据安全标准应用实践.113附录C其它相关资源介绍.116C.1大数据安全报告...116C.2安全管理及框架..116C.3数据分类........117C.4个人信息保护.117C.5数据驻留和跨境流动.118C.6行业数据安全..118C.7标准文本..118VI
VI A.5.3 金融大数据安全标准需求.71 A.6 互联网金融大数据.72 A.6.1 互联网金融大数据特点.72 A.6.2 互联网金融大数据安全风险和需求.73 A.6.3 互联网金融大数据安全标准需求.74 A.7 电信大数据.75 A.7.1 电信大数据特点.75 A.7.2 电信大数据安全风险和需求.75 A.7.3 电信大数据安全标准需求.76 A.8 能源大数据.77 A.8.1 能源大数据特点.77 A.8.2 能源大数据安全风险和需求.77 A.8.3 能源大数据安全标准需求.78 A.9 交通大数据.78 A.9.1 交通大数据特点.78 A.9.2 交通大数据安全风险和需求.79 A.9.3 交通大数据安全标准需求.80 A.10 电商大数据.80 A.10.1 电商大数据特点.80 A.10.2 电商大数据安全风险和需求.81 A.10.3 电商大数据安全标准需求.81 附录 B 大数据安全标准应用实践.83 B.1 360 企业安全集团大数据安全标准应用实践.83 B.2 IBM 大数据安全标准应用实践 .84 B.3 阿里巴巴大数据安全标准应用实践.87 B.4 海信交通大数据安全标准应用实践.90 B.5 联想大数据安全标准应用实践.92 B.6 蚂蚁金服大数据安全标准应用实践.94 B.7 南大通用大数据安全标准应用实践.96 B.8 启明星辰能源大数据安全标准应用实践.98 B.9 勤智数码互联网金融大数据安全标准应用实践.101 B.10 三未信安大数据安全标准应用实践.102 B.11 腾讯云大数据安全标准应用实践.104 B.12 医渡云大数据安全标准应用实践.107 B.13 中电长城网际大数据安全标准应用实践.111 B.14 中国移动大数据安全标准应用实践.113 附录 C 其它相关资源介绍 .116 C.1 大数据安全报告.116 C.2 安全管理及框架.116 C.3 数据分类.117 C.4 个人信息保护.117 C.5 数据驻留和跨境流动.118 C.6 行业数据安全.118 C.7 标准文本.118
附录D大数据安全标准术语摘录.120D.1《信息安全技术个人信息安全规范》术语...120D.2《信息安全技术大数据服务安全能力要求》术语....121D.3《信息安全技术个人信息去标识化指南》术语,.122D.4《信息安全技术大数据安全管理指南》术语......124D.5《信息安全技术数据安全能力成熟度模型》术语..125D.6《信息安全技术数据交易服务安全要求》术语....126附录E信安标委标准工作程序.128E.1标准项目申请立项程序.128E.2标准项目制修订程序.128附录F缩略语..130参考文献.133VII
VII 附录 D 大数据安全标准术语摘录 .120 D.1 《信息安全技术 个人信息安全规范》术语.120 D.2 《信息安全技术 大数据服务安全能力要求》术语.121 D.3 《信息安全技术 个人信息去标识化指南》术语.122 D.4 《信息安全技术 大数据安全管理指南》术语.124 D.5 《信息安全技术 数据安全能力成熟度模型》术语.125 D.6 《信息安全技术 数据交易服务安全要求》术语.126 附录 E 信安标委标准工作程序.128 E.1 标准项目申请立项程序.128 E.2 标准项目制修订程序.128 附录 F 缩略语.130 参考文献 .133
第1章导论1.1背景随着大数据时代的到来,数据已经成为与物质资产和人力资本同样重要的基础生产要素。2013年7月,习近平总书记指出:“大数据是工业社会的“自由,资源,谁掌握了数据,谁就掌握了主动权”。2014年2月27日,习近平总书记在中央网络安全和信息化领导小组第一次会议义进一步强调:“网络信息是跨国界流动的,信息流引领技术流、资金流、人才流,信息资源日益成为重要生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志”。2017年10月18日,习近平同志代表第十八届中央委员会向党的十九大作报告指出:“加快建设制造强国,加快发展先进制造业,推动互联网、大数据、人工智能和实体经济深度融合,在中高端消费、创新引领、绿色低碳、共享经济、现代供应链、人力资本服务等领域培育新增长点、形成新动能。”国家拥有的数据规模及运用能力已逐步成为综合国力的重要组成部分,对数据的占有权和控制权将成为陆权、海权、空权之外的国家核心权力。大数据正在重塑世界新格局,被誉为是“21世纪的钻石矿”,更是国家基础性战略资源,正逐步对国家治理能力、经济运行机制、社会生活方式产生深刻影响,国家竞争焦点也已经从资本、土地、人口、资源的争夺扩展到对大数据的竞争。在大数据时代,机遇与挑战并存,大数据开辟了国家治理的新路径,国家社会管理现代化面临着由碎片型向整体型、由应急型向预防型、由管控型向参与型、由粗放型向精细型,以及由静态型向动态型转变的五位一体的全面变革。大数据可以通过对海量、动态、高增长、多元化、多样化数据的高速处理,快速获得有价值信息,提高公共决策能力,从而逐步改变国家治理架构和模式。2016年10月9日,习近平同志主持中共中央政治局第三十六次集体学习指出,我们要深刻认识互联网在国家管理和社会治理中的作用,以推行电子政务、建设新型智慧城市等为抓手,以数据集中和共享为途径,建设全国一体化的国家大数据中心,推进技术融合、业务融合、数据融合,实现跨层级、跨地域、跨系统、跨部门、跨业务的协同管理和服务。要强化互联网思维,利用互联网扁平化、交互式、快捷性优势,推进政府决策科学化、社会治理精准化、公共服务高效化,用信息化手段更好感知社会态势、畅通沟通渠道、辅助决策施政。2016年12月,国务院印发《“十三五”国家信息化规划》(以下称《“十三五”规划》)建议提出:“实施国家大数据战略,推进数据资源开放共享。”因此,必须要正视大数据安全对社会发展带来的挑战,在大数据应用推广过程中,坚持安全与发展并重的方针,既充分发挥大数据价值,又避免数据泄露和个人隐私暴露等带来的安全问题,从而构建大数据安全保障体系,完善大数据社会管理体制机制建设和大数据国家战略,促进大数据时代的社会发展。大数据作为产业发展的创新要素,不仅在数据科学与技术层面,而且在商业模式、产业格局、生态价值与教育层面,均带来了新理念和新思维。大数据与现有产业深度融合,在人工智能、自动驾驶、金融商业服务、医疗健康管理、科学研究等领域展现出广阔的前景,使得生产更加绿色智能、生活更加便捷高1
1 第 1 章 导论 1.1 背景 随着大数据时代的到来,数据已经成为与物质资产和人力资本同样重要的 基础生产要素。2013 年 7 月,习近平总书记指出:“大数据是工业社会的‘自 由’资源,谁掌握了数据,谁就掌握了主动权”。2014 年 2 月 27 日,习近平总 书记在中央网络安全和信息化领导小组第一次会议又进一步强调:“网络信息是 跨国界流动的,信息流引领技术流、资金流、人才流,信息资源日益成为重要 生产要素和社会财富,信息掌握的多寡成为国家软实力和竞争力的重要标志”。 2017 年 10 月 18 日,习近平同志代表第十八届中央委员会向党的十九大作报告 指出:“加快建设制造强国,加快发展先进制造业,推动互联网、大数据、人工 智能和实体经济深度融合,在中高端消费、创新引领、绿色低碳、共享经济、 现代供应链、人力资本服务等领域培育新增长点、形成新动能。”国家拥有的数 据规模及运用能力已逐步成为综合国力的重要组成部分,对数据的占有权和控 制权将成为陆权、海权、空权之外的国家核心权力。大数据正在重塑世界新格 局,被誉为是“21 世纪的钻石矿”,更是国家基础性战略资源,正逐步对国家 治理能力、经济运行机制、社会生活方式产生深刻影响,国家竞争焦点也已经 从资本、土地、人口、资源的争夺扩展到对大数据的竞争。 在大数据时代,机遇与挑战并存,大数据开辟了国家治理的新路径,国家 社会管理现代化面临着由碎片型向整体型、由应急型向预防型、由管控型向参 与型、由粗放型向精细型,以及由静态型向动态型转变的五位一体的全面变革。 大数据可以通过对海量、动态、高增长、多元化、多样化数据的高速处理,快 速获得有价值信息,提高公共决策能力,从而逐步改变国家治理架构和模式。 2016 年 10 月 9 日,习近平同志主持中共中央政治局第三十六次集体学习指出, 我们要深刻认识互联网在国家管理和社会治理中的作用,以推行电子政务、建 设新型智慧城市等为抓手,以数据集中和共享为途径,建设全国一体化的国家 大数据中心,推进技术融合、业务融合、数据融合,实现跨层级、跨地域、跨 系统、跨部门、跨业务的协同管理和服务。要强化互联网思维,利用互联网扁 平化、交互式、快捷性优势,推进政府决策科学化、社会治理精准化、公共服 务高效化,用信息化手段更好感知社会态势、畅通沟通渠道、辅助决策施政。 2016 年 12 月,国务院印发《“十三五”国家信息化规划》(以下称《“十三五” 规划》)建议提出:“实施国家大数据战略,推进数据资源开放共享。”因此,必 须要正视大数据安全对社会发展带来的挑战,在大数据应用推广过程中,坚持 安全与发展并重的方针,既充分发挥大数据价值,又避免数据泄露和个人隐私 暴露等带来的安全问题,从而构建大数据安全保障体系,完善大数据社会管理 体制机制建设和大数据国家战略,促进大数据时代的社会发展。 大数据作为产业发展的创新要素,不仅在数据科学与技术层面,而且在商 业模式、产业格局、生态价值与教育层面,均带来了新理念和新思维。大数据 与现有产业深度融合,在人工智能、自动驾驶、金融商业服务、医疗健康管理、 科学研究等领域展现出广阔的前景,使得生产更加绿色智能、生活更加便捷高
效。大数据已经逐渐成为企业升级转型发展的有力引擎,在提升产业竞争力和推动商业模式创新方面发挥越来越重要的作用。为坚持技术创新与应用创新协同共进,国家战略加快经济社会各领域的大数据开发与利用,催生出更多的新产业、新业态、新模式,推动国家、行业、企业在数据的应用需求和发展水平方面进入新的阶段。在内部技术条件成熟、外部政策因素推动的激励下,我压涌现出一批从传统业务扩展甚至转型到大数据业务的企业,尤其是大数据细分市场,新应用新模式层出不穷,大数据产业呈现出蓬勃发展的态势。在此背景下,在跟踪研究大数据,提升对大数据的认知和理解的同时,也要充分意识到大数据安全与大数据应用是一体之两翼、驱动之双轮,必须从国家网络空间安全战略的高度认真研究与应对当前大数据安全面临的复杂问题。大数据安全标准是大数据安全保障体系的基础组成部分,对大数据安全保障体系的实施起到引领和指导作用,主要体现在如下方面:一是规范大数据系统所有者、建设者、运营者对大数据平台和应用的安全建设、运维和风险管理;二是指导数据控制者完善数据采集、传输、存储、处理、交换、销毁等大数据全生命周期的管理,防控来自组织内外部的安全风险;三是通过规范大数据服务组织的基础安全管理、数据安全管理、系统安全建设、安全运维,提升系统防范安全风险的能力;四是规范行业大数据安全体系。在构建大数据安全标准体系时,须统筹考虑数据在行业之间或组织之间的交换与共享问题,以指导各行业的大数据安全建设和运营,支撑行业大数据应用的快速发展。为此,驱待从技术和产业发展角度加快推进大数据安全标准化工作,为我国大数据产业的健康发展提供有效支撑。党中央、国务院高度重视大数据安全及其标准化工作,将其作为国家发展战略予以推动。2015年9月,国务院发布《促进大数据发展行动纲要》(以下称《纲要》),要求“完善法规制度和标准体系”并“推进大数据产业标准体系建设”。2016年8月,中央网信办、国家质检总局、国家标准委联合印发了《关于加强国家网络安全标准化工作的若干意见》,其中对加强网络安全标准化工作做出部署,要求围绕国家战略需求,开展关键信息基础设施保护、网络安全审查、工业控制系统安全、大数据安全、个人信息保护、网络安全信息共享等领域标准研制工作,从而提升标准信息服务能力和标准符合性测试能力,并在政策文件制定、相关工作部署时积极采用国家标准,积极参与制定相关国际标准并发挥作用。2016年11月,第十二届全国人民代表大会常务委员会通过了《中华人民共和国网络安全法》,鼓励开发网络数据安全保护和利用技术。2016年12月国家互联网信息办公室发布了《国家网络空间安全战略》,提出实施国家大数据战略、建立大数据安全管理制度、支持大数据信息技术创新和应用要求。全国人大常委会和工信部、公安部等部门为加快构建大数据安全保障体系,相继出台了《加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等一系列法规和部门规章制度。与此同时,相关标准研制机构还发布了国家和行业的网络个人信息保护相关标准,开展以数据安全为重点的网络安全防护检查。为了贯彻落实国家大数据安全标准化工作要求,全国信息安全标准化技术委员会(以下简称“全国信安标委”,委员会编号TC260)下设了大数据安全标准特别工作组(SWG-BDS),并在已开展的大数据安全相关标准工作的基础上启动了《大数据安全标准化白皮书》的编制工作。2
2 效。大数据已经逐渐成为企业升级转型发展的有力引擎,在提升产业竞争力和 推动商业模式创新方面发挥越来越重要的作用。为坚持技术创新与应用创新协 同共进,国家战略加快经济社会各领域的大数据开发与利用,催生出更多的新 产业、新业态、新模式,推动国家、行业、企业在数据的应用需求和发展水平 方面进入新的阶段。在内部技术条件成熟、外部政策因素推动的激励下,我国 涌现出一批从传统业务扩展甚至转型到大数据业务的企业,尤其是大数据细分 市场,新应用新模式层出不穷,大数据产业呈现出蓬勃发展的态势。在此背景 下,在跟踪研究大数据,提升对大数据的认知和理解的同时,也要充分意识到 大数据安全与大数据应用是一体之两翼、驱动之双轮,必须从国家网络空间安 全战略的高度认真研究与应对当前大数据安全面临的复杂问题。 大数据安全标准是大数据安全保障体系的基础组成部分,对大数据安全保 障体系的实施起到引领和指导作用,主要体现在如下方面:一是规范大数据系 统所有者、建设者、运营者对大数据平台和应用的安全建设、运维和风险管理; 二是指导数据控制者完善数据采集、传输、存储、处理、交换、销毁等大数据 全生命周期的管理,防控来自组织内外部的安全风险;三是通过规范大数据服 务组织的基础安全管理、数据安全管理、系统安全建设、安全运维,提升系统 防范安全风险的能力;四是规范行业大数据安全体系。在构建大数据安全标准 体系时,须统筹考虑数据在行业之间或组织之间的交换与共享问题,以指导各 行业的大数据安全建设和运营,支撑行业大数据应用的快速发展。为此,亟待 从技术和产业发展角度加快推进大数据安全标准化工作,为我国大数据产业的 健康发展提供有效支撑。 党中央、国务院高度重视大数据安全及其标准化工作,将其作为国家发展 战略予以推动。2015 年 9 月,国务院发布《促进大数据发展行动纲要》(以下称 《纲要》),要求“完善法规制度和标准体系”并“推进大数据产业标准体系建 设”。2016 年 8 月,中央网信办、国家质检总局、国家标准委联合印发了《关于 加强国家网络安全标准化工作的若干意见》,其中对加强网络安全标准化工作做 出部署,要求围绕国家战略需求,开展关键信息基础设施保护、网络安全审查、 工业控制系统安全、大数据安全、个人信息保护、网络安全信息共享等领域标 准研制工作,从而提升标准信息服务能力和标准符合性测试能力,并在政策文 件制定、相关工作部署时积极采用国家标准,积极参与制定相关国际标准并发 挥作用。2016 年 11 月,第十二届全国人民代表大会常务委员会通过了《中华人 民共和国网络安全法》,鼓励开发网络数据安全保护和利用技术。2016 年 12 月, 国家互联网信息办公室发布了《国家网络空间安全战略》,提出实施国家大数据 战略、建立大数据安全管理制度、支持大数据信息技术创新和应用要求。全国 人大常委会和工信部、公安部等部门为加快构建大数据安全保障体系,相继出 台了《加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等 一系列法规和部门规章制度。与此同时,相关标准研制机构还发布了国家和行 业的网络个人信息保护相关标准,开展以数据安全为重点的网络安全防护检查。 为了贯彻落实国家大数据安全标准化工作要求,全国信息安全标准化技术 委员会(以下简称“全国信安标委”,委员会编号 TC260)下设了大数据安全标 准特别工作组(SWG-BDS),并在已开展的大数据安全相关标准工作的基础上, 启动了《大数据安全标准化白皮书》的编制工作