全国信息技术安全标准化委员会(简称信安标委或TC260)在2021年通过了编制组申请的GB/T 35274-2017《信息安全技术 大数据服务安全能力要求》修订项目, 新版标准报批稿在2022年年底提交给国标委进行最后的形式化审查,从国标委标准进展情况看,GB/T 35274-2023近期即将发布。下面就该标准修订情况及标准内容进行解读,本标准牵头单位是清华大学,参与单位有北京大学,中国电子技术标准化研究院等33家单位,共45人参与编制。
本文内容包括四个方面,首先简单回顾GB/T 35274-2023标准的修订背景和修订过程,重点解读标准修订内容,最后探讨标准应用思考。
本标准基于信安标委印发的《2021年网络安全国家标准项目申报指南》进行修订。编制组在2021年4月提交了GB/T 35274-2017标准修订立项项目申报材料,2021年5月11日在信安标委大数据安全特别工作组组织的标准化会议周上编制组对项目立项情况进行了汇报,2021年8月信安标委秘书处最后告知同意了本项目的立项。因此编制组按照信安标委标准制修订流程在2021年9月启动了本标准工作草案的修订工作。
一、修订背景
在介绍本标准内容之前,我们先回顾下2016年GB/T 35274-2017标准立项背景和编制组确定的编制原则与编制依据。
先回顾下当时标准立项背景:
为促进我国大数据产业发展,确保国家安全和数据安全,信安标委(TC260)在2016年4月7日成立了大数据安全标准特别工作组。该工作组主要针对云计算、大数据、物联网等新型信息技术制定相关的网络安全标准。所以GB/T 35274-2017标准制定目标主要是响应2015年9月国务院印发的《促进大数据发展行动纲要》 ,按照大数据产业发展需标准先行原则,和全国信息技术标准化委员会(TC28)一起在大数据产业发展过程中分别启动了大数据和大数据安全相关国家标准的研制。
作为2016年信安标委(TC260)大数据安全标准特别工作组成立后立项的第一个大数据安全标准,在标准申请立项成功后,编制组确定了三个方面的标准编制原则:
1)采取自主编制,自底向上的原则,为此标准编制组在系统梳理了阿里、腾讯、华为、蚂蚁、京东、中移动等我国大数据服务企业在数据安全,特别是大数据安全方面的最佳实践,希望通过对我国互联网服务厂商的最佳实践总结形成具有我国特色的大数据服务安全能力要求,一方面指导我国企业大数据服务安全能力的提升,另一方面保证本标准内容实施的可操作性;
2)在标准内容框架方面尽量与国际标准接轨,例如在ISO/IEC 20547-4 :大数据互操作框架-安全和隐私保护中,针对大数据安全,ISO/IEC 20547-4提出了概念安全的概念,将传统的保密性、完整性和可用性(简称CIA特性)修改为保密性、真实性和可用性(CAA特性),将安全控制措施区分为面向大数据生态系统业务运营相关的操作安全和系统技术相关的安全控制活动;
3)确保本标准内容能服务于国家网络安全审查相关工作,特别是大数据安全评估、个人信息保护和重要数据出境等相关的网络安全审查工作。
最后我们回顾下当时编制标准的依据:由于本标准是我国第一部面向大数据安全的国家标准,因此编制在充分分析和利用阿里、腾讯、华为、蚂蚁、京东、中移动等企业最佳实践外,还参照了以下三大类资料:
1)相关国家标准,如面向大数据服务的技术系统安全标准GB/T 31168-2014 《信息安全技术 云计算服务安全能力要求》和面向大数据服务组织管理的管理体系标准GB/T 22080—2016 《信息技术 安全技术 信息安全管理体系 要求》;
2)大数据安全相关国外标准,包括美国国家标准与技术研究院(NIST)正在制定中的NIST SP1500 《大数据互操作框架 系列标准》和ISO/IEC 20547-4 《第4部分:安全和隐私保护》;
3)2016年网信办启动的大数据安全自评估等工作文档。
GB/T 35274-2017标准经过五年的实践,我们国家数据安全相关的法律法规已经逐步建立起来,本标准修订的第一个目标:内容要与法律法规相符合。
本标准修订依据的法律法规主要包括三个层次:
一是GB/T 35274-2017制定时依据的网络安全审查办法已多次修订,例如自2017年GB/T 35274颁布以来,《网络安全审查办法》已先后形成三个版本,包括2017年5月日颁布的《网络产品和服务安全审查办法(试行)》,2020年4月13日颁布的《网络安全审查办法》和2020年4月13日颁布的《网络安全审查办法》,因此本标准有关内容需要与时俱进;
二是2021年6月10日全国人大常务委员会第二十九次会议通过了2021年6月10日全国人大常务委员会第二十九次会议通过,2021年8月20日全国人大常务委员会第三十次会议通过了《个人信息保护法》,2021年4月27日国务院常务会议通过了《关键信息基础设施安全保护条例》等。因此本标准已经有了明确的上位法规,标准内容必须符合这些法律法规要求;
最后一点是在GB/T 35274-2017颁布后,互联网办公室在2020年和2021年分别颁布了《数据安全管理条例》(征求意见稿)和《网络数据安全管理条例》(征求意见稿),包括2021年12月31日发布的《互联网信息服务算法推荐管理规定》及最新7部委发布的《生成式人工智能服务管理暂行办法》,因此标准中必须针对这些大数据应用中的数据管理、内容生成服务等规范大数据服务提供者的安全能力要求。
总之,不同于2016年立项遵循的“自主编制,自底向上”,这次标准修订应采用 “法规遵从、顶层设计”的原则,以确保修订后的标准内容的法规遵从性。
标准修订立项第二个目标是要确保本标准与大数据服务相关网络安全标准的一致性,分三个方面:
一是支撑大数据服务安全能力的技术与平台相关标准制定/修订已基本完成,例如GB/T 35274-2017规范性文件中两个标准修订工作已基本完成,即GB-T 22239-2019 《信息安全技术 网络安全等级保护基本要求》替代了GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》,GB/T 31168-2014 《信息安全技术 云计算服务安全能力要求》也正在修订中(GB/T 31168-2023 ),还有就是基于互联网办公室2020年颁布的《《数据安全管理条例》(征求意见稿)》等法规要求的《信息安全技术 网络数据处理安全要求》制定工作已经启动(该标准GB/T 41479在2022年发布)。因此GB/T 35274中系统平台相关的技术要求和有关数据安全管理内容必须与这些标准进行协调。
二是个人信息保护相关的系列标准制定/修订基本完成,例如与本标准一起立项,并在2017年一起颁布实施的GB/T 35273-2017《信息安全技术 个人信息安全规范》已在2020年修订完成,与GB/T 35273配套的App等个人信息保护系列标准和规范制定也基本完成,如GB/T 41391-2022 《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》等相关标准已经在国家四部门联合开始的《App违法违规收集使用个人信息专项治理》工作中得到广泛应用,原GB/T 35274中个人信息保护相关内容需要依据这些标准进行调整
三是支撑《数据安全法》《数据安全管理办法》等相关标准制定工作在2019年已经启动,在信安标委组织我国互联网服务厂商制定的网络预约汽车服务数据安全要求等六项面向领域的数据服务安全要求标准在2020年已生成报批稿,2022年陆续颁布实施,网络数据分类分级要求、软件供应链安全等数据安全法相关的配套国家标准已立项等。
综上所述,与GB/T 35274相关的技术与平台、个人信息保护和领域相关的数据服务安全要求重复条款进行删除,以保证国家标准内容之间的一致性。
本标准修订最后需要考虑的一点是要按照信安标委标准体系规划,对本标准定位进行调整。因为经过五年的大数据技术和产业发展,本标准应聚焦大数据产业发展,促进大数据服务组织的数据服务安全能力提升。我们先回顾下GB/T 35274在2016年立项时的标准定位,主要包括两个方面:
1)支撑网信办即将组织实施的《网络产品和服务安全审查办法》,例如2017年大数据安全评估、2018年大数据安全评估和数据出境安全评估等专项工作;
2)按照2015年9月国务院印发的《促进大数据发展行动纲要》,本标准能面向组织数据安全和数字经济发展,因此,信安标委基于GB/T 35274-2017的大数据服务安全能力要求制定了《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019),以评估大数据服务企业的数据安全管理能力。
综上所述,GB/T 35274-2023修订目标包括三个方面:
1)第五章的基础安全能力要与GB/T 22080等质量管理体系保持一致,因此章节标题修改为组织管理安全能力,以体现数据安全法中的各种管理制度建设等要求
2)第六章的数据服务安全能力修改为数据处理活动安全能力,以符合数安法、个保法、数安条例等法规要求的数据处理活动(数据生命周期)
3)增加第七章数据服务安全风险管理能力,以体现大数据服务过程中数据流传等数据动态变化引起的安全风险管理能力要求
二、修订过程概述
按照信安标委标准制修订工作流程,本标准计划在18个月内完成,因此编制组在2021年4月提交立项申请后,2021年8月就收到信安标委秘书处的立项成功通知,经过1年多的努力,本标准在2022年11月通过了秘书处组织的全体委员投票,标准报送稿在2022年12月提交国标委进行形式化审查,国标委近期将发布修订后的GB/T 35274-2023。
标准修订详细过程如图所示:
1)上面是信安标委秘书处按照国家标准制修订周期协调组织的标准修订里程碑节点内容,包括项目申报、编制单位征集、标准征求意见稿专家评审、标准公开征求意见、标准送审稿专家评审和报批稿的专家投票等环节。
2)下面是信安标委大数据安全特别工作组协调组织的标准修订里程碑节点内容,围绕信安标委每年两次组织的网络安全标准周的标准修订工作进展报告,以及工作组提交信安标委秘书处之前其工作组内成员单位对本标准的反馈建议和投票表决等环节。
三、标准内容解读
2022年12月28日,按照信安标委工作安排,编制组完成了本标准报批所有材料的准备工作。因此下面我们重点就标准内容变化进行概述和解读。
在解读标准内容前我们先概述下新版与旧版三个最大的变化内容:
一是删除了原标准中的安全能力要求分级,以更好的本标准与网络安全等级保护相关标准、云计算服务安全能力要求标准或关键信息基础实施等相关标准条款分级进行衔接;
二是原标准第六章的数据服务安全能力要求的数据生命周期概念与数据安全法等法规存在不一致,因此我们对第六章的大数据处理活动及其数据操作按照最新法规进行了合规性调整;
三是按照数据安全法等数据安全风险评估要求,标准内容增加了“大数据服务安全风险管理能力”(第七章),以更好的评估大数据服务提供者在大数据系统运营和数据服务方面的数据安全风险管控能力。
PPT中能看到标准各章节的具体变化内容概述,例如:
1)第二章规范性引用文件:删除两个技术标准,增加了GB/T 5271《信息技术 词汇》(所有部分);
2)第三章术语与定义:删除了5个术语和定义,修改了7个术语和定义,增加了11个术语和定义;
3)第四章标准内容概述:删除了总体要求(原标准两个引用标准)和要求分级,重组了原标准标准结构内容概述;
4)第五章大数据组织管理安全能力(基础安全要求):删除了原标准中的5.4、5.5和5.6节内容,对照ISO/IEC 27002-2022版对5.1、5.2和5.2节内容进行了优化,以体现大数据组织的管理安全能力;
5)第六章大数据处理安全能力(数据服务安全要求):按照数据安全法和个人信息保护法重组了原标准中大数据生命周期相关数据处理活动安全能力要求;
6)第七章大数据服务安全风险管理能力:本次修订新添加的大数据服务提供者安全能力要求,遵循ISO 31000《风险管理》等标准,从风险识别、安全防护、安全监测、安全检查、安全响应和安全恢复环节新增了大数据服务提供者的数据安全风险管理能力要求。
数据处理相关标准GB/T 5271,来自于ISO相关的标准。
第七章大数据服务安全风险管理能力要求遵循《ISO31000风险管理标准》。
第二章规范性引用文件主要变化是:
1)删除大数据服务系统相关的两个规范性引用文件:GB/T 31168 《云计算服务安全能力要求》和GB/T 22239 《信息安全技术 网络安全等级保护基本要求》,这是因为在GB/T 35274-2017版本第四章的4.1节的总体要求中,明确要求大数据服务提供者应依据GB/T 31168—2014和GB/T 22239—2008标准,从信息技术角度提出大数据服务基础设施应采取必要的安全管控措施,保障大数据平台和应用的系统服务安全可靠地运行和大数据服务的业务使命。在本次修订中增加了第七章大数据服务安全风险管理能力要求,因此,有关数据风险评估相关的系统要求已在本标准的数据服务安全风险管理中明确列示,且关键信息基础设施等安全要求标准也有大数据系统安全要求内容。故将这两个规范性引用文件调整到本标准参考文献。
2)更新了两个规范性引用文件:GB/T 35273—2017 《信息安全技术 个人信息安全规范》和GB/T 25069-2010 《信息安全技术 术语 》,因为这两个标准在这五年当中都进行了修订和发布。
3)因为本次标准修订定位在组织数据处理活动,涉及到很多数据处理相关的技术术语,所以增加了GB/T 5271《信息技术 术语》标准这个更通用的来自于ISO/IEC的技术标准,以使本标准与信息技术相关标准技术术语相一致。
术语定义是一份标准区别其他标准的关键标志,因此编制组特别重视本标准的术语定义。我们先看看删除的5个术语和定义。
1)一是数据生命周期在数据数据安全法当中已经明确了是数据处理相关的数据活动,原标准定义的六个数据活动与数据安全法明确的数据处理活动不一致,所以这次修订删除了该术语。
2)二是删除了数据服务,这次因为GB/T 35274-2017的大数据服务术语定义是基于数据服务。随着数据要素等概念的提出,传统的从云计算服务角度定义的数据服务以不能体现当下大数据服务内涵,这是因为现在的数据服务内容已经变化很多,数据驱动的各种服务存在很多风险,所以这次修订删除了该术语。
3)三是数据交换和数据共享这与数据生命周期相关技术术语,在数据安全法中已经规范化为数据提供和数据公开,所以这次修订删除了这两个术语。
4)最后需要说明的是,在新的信安标委数据安全标准体系当中,重要数据和核心数据都会有相关标准,所以本标准也不涉及这方面的安全要求,这次修订就删除了该术语。
在标准修订过程当中,争论比较多的是数据使用和数据加工的不同,数据删除和数据销毁这四个术语:
1)一是数据安全法和个人信息保护法第一次区分了数据使用和数据加工这两个数据处理活动,因此本标准首次明确了这两个术语的内涵;
2)二是数据删除和数据销毁术语的选择问题:个人信息保护法和网络数据安全管理条例都使用了数据删除,数据安全法未明确数据删除活动,工信部工业大数据管理办法则使用了GB/T 35274-2017的数据销毁。经过多次专家评审后修订后的标准继续使用GB/T 35274-20217中的数据销毁术语。
前面说过一个标准的灵魂要有体系化的术语和定义,从图示 GB/T 35274-2017术语逻辑关系可看出,GB/T 35274-2017版术术语是围绕大数据服务列出相关术语的,由“数据服务”术语来定义“大数据服务”,大数据服务通过“大数据系统”提供,大数据系统包括“大数据平台”和“大数据应用”,大数据用户分“大数据服务提供者”和“大数据使用者”,大数据服务相关的几个特别数据活动术语(数据交换、数据共享等)也在该标准中进行了定义。在GB/T 35274-2017制定过程中,当时需要考虑网络安全法中提到的重要数据,因此给出了重要数据的定义。
大数据服务有数据生命周期,因此我们在原标准对数据生命周期相关的数据共享和数据交换进行了定义,包括大数据服务相关的数据供应链和大数据系统,同时也把大数据系统相关大数据应用和大数据平台进行了明确定义。
图中标红的五个术语是这次修订删除的,标蓝的7个术语在本标准修订过程中也根据标准实施过程中大家的反馈意见对其描述进行了部分修订。
下面我们先看两个修改技术术语前后版本的具体变化:大数据系统和大数据服务提供者。
1)大数据系统:原标准是术语3.9,定义为“包括大数据使用者、大数据服务提供者、大数据应用和大数据平台的信息系统”,从这个定义看出未明确大数据系统所控制的数据资产,因此修订后的大数据系统定义成“包括大数据平台、大数据应用及其所需和控制数据资产的信息系统。”,从这个新定义看出新标准明确大数据系统包括其服务所需和控制数据资产,解决了大数据服务中的数据权属关系
2)大数据服务提供者:原标准是术语3.8,是指“通过大数据平台和应用,提供大数据服务的机构”,修订后的标准将大数据服务提供者定义成“拥有大数据系统,提供大数据服务的组织”,从这个定义看出新标准明确大数据服务提供者是拥有大数据系统,不能通过第三方的大数据平台和应用提供大数据服务,另外,GB/T 35274-2017是通过机构来定义大数据服务提供者,在信息安全管理体系上一般采用“组织”这个术语,因此新版将“机构”换成“组织”。
其他五个术语基本上也是以这样的方式对相关的术语进行了修订。
关于11个新增的术语定义,主要是针对数据安全法和个人信息保护法中数据处理和个人信息处理相关数据活动在本标准中的内涵进行了定义。我们就看看“数据使用”和“数据加工”这两个术语在本标准中如何定义的:
1)数据使用是基于业界提出的使用访问控制模型,再结合数据生命周期中的数据权属关系变化和使用前后的数据使用条件变化进行定义的,因此“数据使用”定义成:依据数据权属及数据收集目的,控制组织、人员或信息技术系统等对数据资产进行授权和访问的数据处理活动,包括数据使用前条件控制和数据使用后义务履行等数据处理活动。为便于理解这个术语,我们添加了术语注释对这个术语定义中涉及的数据使用内涵、使用前置条件和使用后义务进行了解释:数据使用一般不改变数据本身,如数据读取、数据排序、数据搜索、数据分类、数据可视化等数据操作,使用过程中需对数据的用途、用法、用量及其目的等进行相应的控制。使用前条件是在使用授权规则进行授权过程中,允许主体对客体访问前必须检验的一个决策因素集。条件控制可用来检查存在的约束限制,数据权属及使用权限是否有效,哪些约束限制必须更新等。使用后义务履行是一个主体在获得对客体的访问权限后必须履行的强制需求。主体在获得权限执行数据使用操作后就应有执行获取这些权限的义务责任。
2)数据加工定义成“通过数据抽取、数据转换、数据分析等数据操作改变数据形态,生成新数据(集)的数据处理活动”。同样我们在术语注中对数据加工内涵进行了解释:数据加工一般会涉及数据自身的改变,需要先读取数据,并经过变换、转换、编码、分析、挖掘、脱敏等数据操作生成新数据(集)。
从这两个定义看出,
1)数据使用和数据加工内涵是不同的;
2)数据使用强调了访问数据前的条件约束和使用后的义务履行,因此在开放环境下满足数据生命周期管理的数据使用不同于传统的用户授权和访问控制,需要考虑数据使用的上下文环境及数据提供、数据公开等权属关系变化后的各种约束条件及其义务。这跟学术界提出使用访问控制模型概念是一致的;
3)数据安全法、个人信息保护法提出数据处理是由数据活动组成,本标准再定义成数据活动是由各种数据操作组成,因此大数据数据处理安全能力要求可围绕各数据活动的数据操作进行组织。
新版术语逻辑结构如PPT图示所示,添加的11个术语(底色标黄)中有9个来自于数据安全法,包括数据安全和8个数据活动术语,数据处理和数据保护来自于GB/T 25069-2010 《信息安全技术 术语 。不同于修订前的标准,本版本明确了大数据服务提供者在提供大数据服务时要考虑数据服务安全风险。
GB/T 35274-2017第四章有三节内容,本次修订只保留标准内容概述内容:即删除了原标准中的4.2节的要求分级,将4.1节的总体要求和4.3节的标准结构合并在一起形成本标准概述。具体变化如下:
1)删除4.2节的要求分级主要原因是GB/T 35274-2017的要求分级是参照GB/T 31168-2014的基本要求和增强要求进行分级的,新版GB/T 31168-2023将要求分为三级,加之信安标委结合数安法、数安条例等法规在规划重要数据和核心数据相关的标准规范,所以,本次修订不再对安全要求进行分级,只是必要时在描述中通过 “宜”区分某些要求较高的条款。
2)概述部分围绕法规遵从性、网络安全等级保护制度和质量管理体系等要求,从大数据组织管理安全能力、大数据处理安全能力和大数据服务安全风险管理能力三个方面明确了标准结构和内容。
从PPT图示看出,相对于GB/T 35273-2017版本,本标准最大的变化是增加了大数据服务安全风险管理能力,另外,大数据处理安全能力也是按照数安法等法规要求的数据处理活动对原标准的数据服务内容进行了重组。
GB/T 35274-2017第五章标题是“基础服务安全能力”,包括六小节,这次修订删除了大数据服务相关的5.4节的服务规划与管理和5.5节的数据供应链管理,另外随着数据安全法等法规的颁布,5.6节的合规性管理内容也细化到标准相关条款内容中,因此删除了5.6节,只保留前面三节内容,即组织数据安全管理相关的策略与规则、组织与人员和资产管理。
基于第五章章节结构的调整,本章标题修改为“大数据组织管理安全能力”。本章条款修订的依据是数据安全法、网络数据安全管理条例及信安标委最新标准,修订的基本原则是基于信息安全管理体系相关标准的(GB/T 22081(ISO/IEC 27002-2022))最新版概念简化原标准第五章相关内容,添加数据安全法等法规遵从性要求。
从这张PPT中显示的GB/T 35274-2017和GB/T 35274-2023标准条款对照看出,原标准43条要求项,在新标准中也是43条,变化较大的主要是策略与规程。因此下面我们以策略和规程解释新旧版本的详细变化。
PPT右边是新旧版本“策略与规程”内容条款的内容变化详情:原标准有5条一般要求和2条增强要求,修订后共10条要求项,其中有2个“宜”要求,换句话说修订后的策略与规程隐含了两个增强要求(PPT中标红部分)。
右边通过颜色区分标准内容的变化,标黑的是原标准当中的条款内容,标蓝的是修订增加的条款内容,标红的是新增加的条款内容。
策略与规程具体变化说明如下:
1)原标准中条款保留情况:(a)和(c)要求合并成一条(条例最后标明了修订后条款与原标准条款的对应关系),(e)和增强(a)合并成条款(g)(下页PPT),换句话说原标准中7条在新标准中保留成5条,新标准增加了5条法规相关的要求(包括在条款(c)和条款(j)中隐含的两个增强要求,所以严格来讲新版策略与规程有12个要求项)
2)保留条款内容修订情况:新版条款内容也与时俱进对照法规要求进行了修改,例如原标准条款(b)强调“策略与规程覆盖组织的全部数据处理活动”(PPT中标蓝部分)以体现数据安全法中要求组织的数据全生命周期管理要求,原标准条款(d))的技术与措施实施细则增加了数据安全法中的“数据安全管理制度”和“供应链安全管控规程”等。修改部分PPT中通过字体颜色标蓝部分能看出条款的具体变化内容。
3)法规遵从性新增条款:新增条款参见PPT中全部标注蓝色的条款,如条款(c)是来自于删除的原标准5.5节的数据供应链管理内容,对照数据安全法完善后的条款内容,其中对于涉及重要数据和敏感个人信息供应链管理的,增加了“包括大数据服务相关网络产品和服务筛选机制、筛选指标和评价方法”的增强要求(使用宜的标红部分)。
4)条款(e)和(f)新增条款来自于我国数据安全相关法规要求,包括工信部的安全风险评估报告报送办法。
本页PPT解释了条款(g)到(j)内容变化,其中:
1)条款(g)合并了原标准条款基本要求(e)和增强要求(a),从条款描述看出,新标准将数据安全法中“数据安全管理制度”和“供应链安全管理”等内容反映到该条款;
2)条款(h)是对原标准条款增强要求(b)内容的完善,明确大数据服务安全能力持续提升计划和实施机制的内容和方式,内容包括组织数据安全管理制度、数据安全策略和规程、大数据系统安全保护措施,方式是定期通过信息安全管理体系认证、网络安全等级保护测评、数据安全风险评估等方式。从该条款看出网络安全等级保护制度和网络安全管理体系认证在大数据服务安全中的地位。换句话说,该条款大数据服务提供者需要不断地通过网络等级保护制度和网络安全管理体系认证。
3)条款(i)和条款(j)都是这次修订新增条款内容;条款(i)来自于法规要求,包括“建立落实数据安全和个人信息保护法律法规及相关数据安全保护责任考核制度,涉及敏感个人信息处理、重要数据出境等应依据合规性要求做出安全责任的承诺”。
条款(j)是跟随数字化技术的发展,对大数据处理过程安全审计和合规性取证自动化等提出的能力要求,本条款隐含一个增强要求(标红部分)。
GB/T 35274-2017数据服务安全能力要求按照国内外标准及企业最佳实践对数据服务涉及的六个数据活动将数据服务安全能力分六小节组织(PPT所示),从数据安全法、个人信息保护法和网络数据安全管理条例定义的数据处理包含的数据活动看,原标准中的数据活动与这些法规中数据生命周期或数据处理活动有冲突:
先看原标准的6个数据服务相关的数据活动,首先原标准的数据处理活动与法规要求的数据处理不一致,只包含了法规中的数据使用和数据加工,二是数据交换在法规中区分数据提供和数据公开。因此数据处理和数据交换活动需要按照法规进行修改。另外数据采集活动在法规中使用的是数据收集术语。
争论比较大的数据删除和数据销毁,由于工信部的工业数据安全管理办法里面特别强调数据销毁与数据删除的不同,编制组经过专家认可后,保留了原标准当中数据销毁这个数据处理活动术语。
修订后的第六章大数据处理的8个数据处理活动(PPT所示)符合数安法、个保法、数安条例等法规要求,主要变化如下:
1)原标准“数据采集”数据处理活动修改为“数据收集”,数据传输、数据存储和数据销毁活动保留。
2)最大的变化是将原标准中的“数据处理”和“数据交换”两个数据处理活动重组为“数据使用”、“数据加工”、“数据提供”和“数据公开”四个数据处理活动。
相关要求项进行优化,将原标准当中156条要求项合并成114条,原标准当中43条增强要求合并成15个宜。
下面看看在2023版中修改为“数据收集”活动条款的具体变化内容:
1)前面说过“数据采集”活动按照数据安全法中数据处理定义修改为“数据收集”活动,其中数据分类分级有相关标准,因此本标准不再提具体要求,只在第七章的数据安全风险识别部分要求对收集数据进行分类分级。另外原标准中的“质量监控”也调整到第七章的数据服务安全风险。为此在2023版中的“数据收集” 只保留原标准中的“数据收集和获取”、“数据清洗、转换和加载”条款内容,我们按照数据收集过程分为数据获取、数据清晰、数据标识和数据加载四类数据操作。
2)对于“数据获得”操作,相关内容来自于将原标准中“数据收集和获取”条款,原标准中包括3个一般要求合并成一个,新版中2个增强要求合并成一个,同时增加网络数据安全管理条例中的“数据获取环境评估”(条款(b))和发生违规行为时的应急补救要求(条款(g))。具体修改内容见PPT右边的内容,修改说明如下:
1)条款(a)是对原标准条例(a)、(b)和(c)的合并;
2)条款(b)是网络数据安全管理条例中对数据获得提出的要求:
3)条款(c)是在原标准条款(d)基础上增加了“具备对超出法律法规规定和合同约定规模、范围获取数据的异常行为进行检测告警能力”的要求,这是数安法和数安条例提出的要求;
4)条款(d)是对原标准条款(f)的重新描述;
5)条款(e)是在对原标准条款(e)基础上,从数据供应链安全角度,增加了法规层面的“双方法律责任及数据安全保护责任和义务”;
6)条款(f)是对原标准条款两个增强要求的重新描述;
7)条款(g)是在数据获取过程中发生违规行为时的应急补救要求。
再如对于GB/T 35274-2017的“数据处理”活动内容的调整:我们将“数据溯源”操作要求调整到新版中的“数据存储”部分,“数据正当使用”按照数据安全法等单独分离出来提出“数据使用”相关的安全能力要求,剩余的“分布式处理”等4种数据操作安全能力要求组成“数据加工”活动。
再看看新版“数据使用”活动,一是将原标准中数据存储活动的“访问控制”要求调整到本数据处理活动,并增加了“数据展示”安全能力要求,对于GB/T 35274-2017的“数据正当使用”内容修改为“合规管理”,具体变化说明如下:
1)原标准条款(a)和(b)内容按照数据安全法等法规用语进行了简化合并,并增加了“使数据的使用不能损害相关权利人的合法权益”要求;
2)原标准条款(c)和(d)内容按照数据安全法等法规用语进行了优化(修改参见蓝色标注部分);
3)对收集和汇聚数据的授权管理机制,包括数据控制者对汇聚数据资产的控制权限等提出了合规性要求;
4)最后是对原标准的两个增强要求进行了合并,增加了数据安全法中特别强调的风险应对处置能力要求。
对于“数据加工”中的“大数据分析”,我们也按照数据安全相关法规对部分条款内容进行了完善,例如合并了原标准条款(c)和条款(d),增加了条款(d),以体现国家“互联网信息服务算法推荐管理规定”相关的要求,其他条款标蓝部分是本次标准修订增加的要求,在条款(d)中还隐含包括一条增强要求(标红部分)。
第七章是本次修订标准新增加的,主要是从“风险识别、安全防护、安全检测、安全检查、安全响应和安全恢复”六个环节,要对大数据服务安全风险进行管控。PPT中标红的是送审稿和报批稿不同的地方。
在介绍第七章具体内容前,我们先概述下增加本章内容的背景。第五章大数据服务组织管理安全能力和第六章大数据处理活动安全能力是从静态角度或业务功能角度提出大数据服务提供者安全能力要求的,本章内容是在大数据服务提供者具备前面两章安全能力基础上,要求在大数据系统运营过程中,面向组织数据服务业务或使命的跨数据活动的数据操作组合引起的数据运营或数据操作等安全风险管控要求,以便对跨数据活动或数据在不同组织或IT空间流动所引起的数据安全风险进行管控。
换句话说第七章是针对组织使命或业务目标组织的跨多个数据活动的安全风险管理能力、或者说多个数据处理活动组合在一起去完成企业某个目标时的安全风险管理能力,即数据活动组织的业务和所需数据运行起来时要控制的数据安全风险能力。因此本章结构基本是按照戴明环或ISO 31000-2018风险管理框架来组织的,包括风险识别、安全防护、安全检测、安全检查、安全响应和安全恢复六个环节。
需要说明的是编制组最初的大数据服务安全风险管理能力包括风险识别、安全防护、安全检测、安全响应和安全恢复。但在部门征求意见过程,国家网信主管部门建议将风险管理过程中的安全检查评估作为一个单独的步骤,例如在2021年年底工信部发布的《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)》明确了安全检查和风险报送的工作指引,因此在本标准报批稿编制组将安全检查独立出来,同时在安全响应环节加入安全风险报送要求,以使大数据服务安全风险管理能力条款反映我国法规相关的要求。
本章包括大数据服务安全风险管理六个环节共计89条安全要求,分19个小类。
7.1节的风险识别包括数据安全风险识别和供应链安全风险识别两个方面。
数据安全风险包括7个条款,其中条款(a)和条款(b)分别从资产识别及对识别资产的数据处理活动组件两个维度进行风险识别;条款(c)要求对识别的资产按照法规要求或相关标准进行分类分级提出能力要求;条款(d)是针对应用于关键信息基础设施的大数据平台提出的一些安全风险管理要求;条款(e)针对数据处理活动建立数据安全管理知识库是通用要求;条款(f)是针对大数据服务提供者对外数据处理活动及特定场景的数据安全风险识别和应对能力要求,最后一个条款(g)也是风险管理能力的通用要求。
供应链安全风险识别包括四个条款,分别从大数据服务中数据供应链上下游组织的数据交换共享、大数据服务中数据供应链上下游组织网络产品和服务、数据供应链风险及风险应对建议和数据安全风险技术和措施有效性分析评估四个方面提出了相应的要求。
7.2节安全防护和7.3节安全检测主要是在GB/T 31168和GB/T 22239 基础上,针对数据服务安全风险管理提出的一些能力要求,条款内容比较多,理解这些条款需要结合GB/T 22239和GB/T 31168一起对照解释,我们就不去细读解释了,这两部分是大数据系统运营过程中数据安全风险相关的管理能力要求。
7.4节安全检查条款主要来自我国的法规或相关标准要求,例如:
条款(a)需要结合网络安全等级保护相关标准,通过测评等方式对7.2节的数据安全防护措施进行检查
条款(b)是要求大数据服务提供者要按照上级主管部门要求、专业安全机构建议,定期安排或在爆发网络攻击、重大安全漏洞时,及时开展专项安全检查
条款(c)、(d)和(e)三个条款来自ISO 31000风险管理等相关标准,包括《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)》等法规要求。
7.5节安全响应和7.6节安全恢复都是基于ISO 31000风险管理等标准规范,针对数据处理活动提出的数据服务风险管理能力,我们就不在这里细述其条款内容及其来源了。
四、标准应用思考
本标准即将发布,下面我们就标准实施提点编制组的建议。首先我们还是要回顾本标准立项的初心是促进我国大数据产业的发展,本次修订目标一方面以保证本标准内容的合规性和与其他标准的一致性,其实最重要的还是要促进我国大数据产业发展,特别是数据驱动的大数据服务技术发展,因此修订后的标准主要是考虑组织数据安全管理能力。
不忘初心,牢记使命,我们还是要回顾大数据安全特别工作组两个标准GB/T 35274-2017《信息安全技术 大数据服务安全能力要求》和GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》。
作为GB/T 37988-2019的上位标准,GB/T 37988-2019的通用安全过程域和数据生命周期安全过程域分别来自作为GB/T 35274-2017的第五章和第六章,这两个标准在过程域上保持了一致。因此为推进本标准的实施,建议尽快启动GB/T 37988-2019的修订工作。
这次标准修订特别强调标准内容的法规合规性,因此新版中添加了很多数据安全法、网络数据安全管理条例相关法规要求。
在编制新版条目要求时,我们假设组织已经通过网络安全等级保护基本要求测评,或者通过云计算服务安全能力要求审查,在这基础上要对大数据服务提供者的数据服务安全能力要求进行评估,因此有关系统安全能力未在本标准中体现。
那么大数据服务提供者的安全能力评估的输入是什么?是否要依赖于信息安全控制、网络数据分类分级要求等标准,或信安标委发布的网络数据安全风险评估指引等,包括GB/T 41479-2022《网络数据处理安全要求》与本标准的关系是什么等。我们认为在未来的GB/T 37988修订中都需要考虑。
目前编制组的想法是,在新版当中第五章和第七章条款对所有大数据服务提供者都合适,可以直接使用。但对于第六章的大数据处理安全能力要求,因为战略不同的组织其数据处理能力是不一样的,未必能包括所有数据活动或数据活动的所有操作,可能需要有针对性选择相关的要求进行评估。后面我们会和测评机构或大数据服务提供者合作进一步去思考如何去促进本标准的实施,例如编制标准应用实施指南,出版一些标准解读白皮书等。
编辑整理:陈龙
编辑:黄继彦
校对:汪雨晴
