本文件规定了大数据服务提供者的数据服务安全能力要求,包括组织管理安全能力、数据处理活动 安全能力和数据服务安全风险管理能力。本文件适用于指导大数据服务提供者的数据服务安全能力建设,也适用于第三方机构对大数据服务 提供者的数据服务安全风险进行评估。
大数据服务是针对数量巨大、种类多样、流动速度快、特征多变等特性的数据集,通过底层可伸缩 的大数据平台和上层多种多样的大数据应用,为大数据使用者提供价值的一种网络信息服务。大数据服 务提供者在开展大数据服务时,需要依照数据安全和个人信息相关的法律、法规的规定,并按照网络安 全等级保护制度确保大数据系统安全可靠地运行,满足大数据使用者的数据处理活动服务需求。大数据服务提供者通过落实网络安全等级保护制度,建立、执行并持续改进信息安全管理体系等方 式,建设组织管理安全能力;通过识别数据和供应链安全风险,采取风险应对措施对大数据平台、大数 据应用及大数据服务中的数据处理活动进行安全防护,提高数据处理活动安全可控能力;通过对大数据 服务进行安全监测,发现其使用的网络产品和服务潜在的缺陷和脆弱性,或者威胁国家安全、危害公共 利益等大数据服务风险,及时采取恰当的风险处置措施,必要时启动应急响应机制,依法及时向相关主 管部门报告,提高数据服务安全风险管理能力。因此本文件面向有大数据系统和大数据服务所需数据资源的组织,从组织管理安全能力、数据处理 活动安全能力和数据服务风险管理安全能力三个方面规定了大数据服务提供者的大数据服务安全能力 建设要求,其中:
a) 组织管理安全能力:按照信息安全管理体系要求制定大数据安全策略与规程,从大数据服务组 织与人员的安全管理,以及大数据组织数据资产与系统资产管理维度,确保大数据服务提供者 的数据安全管理制度满足数据安全合规及数据安全风险管控要求。
b) 数据处理活动安全能力:针对数据收集、存储、使用、加工、传输、提供、公开、销毁等数据 处理活动,从大数据平台和大数据应用业务及技术层面实施数据安全保护措施,满足大数据服 务中数据处理活动相关的数据安全保护要求。
c) 数据服务安全风险管理能力:按照大数据服务中数据业务流转过程和数据处理活动安全能力要 求,从风险识别、安全防护、安全监测、安全响应和安全恢复五个环节建立数据服务风险管理 的安全能力,采取风险应对措施确保大数据系统运营中的数据服务及其数据资产始终处于安全 保护状态,同时保障大数据服务的可持续性。
大数据服务提供者依据被保护数据资产和系统资产的重要性,以及大数据服务遭受破坏可能导致的 危害程度,结合自身的服务模式、服务目标和支撑大数据服务的软硬件设施、大数据平台与大数据应用 功能,参考本文件的安全能力要求项进行组织管理安全能力、数据处理活动安全能力和数据服务风险管 理安全能力的建设和评估,确保大数据服务中数据业务连续性和数据服务安全风险的可控性。