ICS35040

L80.

中華人民共和國國家標準

GB/T35274—2017

信息安全技術

大數據服務安全能力要求

Informationsecuritytechnology—

Securitycapabilityrequirementsforbigdataservices

2017-12-29發布2018-07-01實施

中華人民共和國國家質量監督檢驗檢疫總局發布

中國國家標準化管理委員會

GB/T35274—2017

目次

前言

…………………………Ⅲ

引言

…………………………Ⅳ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

概述

4………………………2

總體要求

4.1……………2

要求分級

4.2……………3

基礎安全要求

5……………3

策略與規程

5.1…………………………3

數據與系統資產

5.2……………………4

組織和人員管理

5.3……………………4

服務規劃與管理

5.4……………………6

數據供應鏈管理

5.5……………………7

合規性管理

5.6…………………………8

數據服務安全要求

6………………………9

數據采集

6.1……………9

數據傳輸

6.2……………10

數據存儲

6.3……………11

數據處理

6.4……………13

數據交換

6.5……………15

數據銷毀

6.6……………17

附錄資料性附錄大數據服務模式用戶角色與業務目標

A()、………19

參考文獻

……………………24

Ⅰ

GB/T35274—2017

前言

本標準按照給出的規則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位清華大學中國電子技術標準化研究院中國信息安全測評中心阿里巴巴北京

:、、、()

軟件服務有限公司中國移動通信集團公司浙江螞蟻小微金融服務集團有限公司阿里云計算有限公

、、、

司啟明星辰信息技術集團股份有限公司聯想北京有限公司四川大學工業和信息化部計算機與微

、、()、、

電子發展研究中心中國軟件評測中心華為技術有限公司中國電子科技網絡信息安全有限公司深

()、、、

圳市騰訊計算機系統有限公司中電長城網際系統應用有限公司陜西省信息化工程研究院廣州賽寶

、、、

認證中心服務有限公司天津南大通用數據技術股份有限公司西安未來國際信息股份有限公司深信

、、、

服科技股份有限公司中國科學院信息工程研究所信息安全國家重點實驗室中國科學院軟件研究

、()、

所北京京東叁佰陸拾度電子商務有限公司國家信息技術安全研究中心北京匡恩網絡科技有限責任

、、、

公司騰訊云計算北京有限責任公司北京奇虎科技有限公司北京數聚世界信息技術有限公司西北

、()、、、

大學

。

本標準主要起草人葉曉俊葉潤國謝安明王建民劉賢剛陳興蜀胡影陳星陳雪秀李克鵬

:、、、、、、、、、、

江為強閔京華張勇王禹周波孫茵茵程廣明黃少青任蘭芳王永霞葛小宇望婭露落紅衛

、、、、、、、、、、、、、

梅婧婷趙偉李汝鑫金濤劉璘郭曉雷馬紅霞劉玉嶺張輝文劉伯仲李小丁都婧代威陳錦

、、、、、、、、、、、、、、

任望孫騫張濱馮運波羅永剛鮑旭華朱紅儒周潤松孫彥

、、、、、、、、。

Ⅲ

GB/T35274—2017

引言

大數據服務是針對數量巨大種類多樣流動速度快特征多變等特性的數據集通過底層可伸縮的

、、、,

大數據平臺和上層多種大數據應用提供覆蓋數據生命周期相關數據活動的一種網絡信息服務大數

,。

據服務提供者要確保大數據平臺與應用安全可靠地運行滿足保密性完整性可用性等大數據服務安

,、、

全目標

。

本標準將大數據服務安全能力分為一般要求和增強要求兩個級別一般要求是指大數據服務提供

。

者在開展大數據服務時能夠抵御或應對常見的威脅能將大數據服務受到破壞后的損失控制在有限的

,,

范圍和程度內具備基本的事件追溯能力增強要求是指在大數據服務涉及國家安全或對經濟發展和

,。,

社會公共利益有較大影響時大數據服務提供者具備一定的主動識別并防范潛在攻擊的能力能高效應

,,

對安全事件并將其損失控制在較小范圍內能保證安全事件追溯的有效性大數據服務的可靠性可擴

,、、

展性和可伸縮性根據所承載數據的重要性和大數據服務不能正常提供服務或遭受到破壞時可能造成

。

的影響范圍和嚴重程度大數據服務提供者的安全能力要求也各不相同

,。

Ⅳ

GB/T35274—2017

信息安全技術

大數據服務安全能力要求

1范圍

本標準規定了大數據服務提供者應具有的組織相關基礎安全能力和數據生命周期相關的數據服務

安全能力

。

本標準適用于對政府部門和企事業單位建設大數據服務安全能力也適用于第三方機構對大數據

,

服務提供者的大數據服務安全能力進行審查和評估

。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術信息系統安全等級保護基本要求

GB/T22239—2008

信息安全技術術語

GB/T25069—2010

信息安全技術云計算服務安全能力要求

GB/T31168—2014

信息安全技術個人信息安全規范

GB/T35273—2017

信息技術大數據術語

GB/T35295—2017

3術語和定義

和界定的以及下列術語和定義適用于本文件

GB/T25069—2010GB/T35295—2017。

31

.

大數據bigdata

具有數量巨大種類多樣流動速度快特征多變等特性并且難以用傳統數據體系結構和數據處理

、、、,

技術進行有效組織存儲計算分析和管理的數據集

、、