關于設計并制定大數據產業(yè)數據安全規(guī)范的思路與建議

◆周 濱

（貴州大學管理學院 貴州 550025）

關于設計并制定大數據產業(yè)數據安全規(guī)范的思路與建議

◆周 濱

（貴州大學管理學院 貴州 550025）

為推動和促進貴州省大數據運用的健康發(fā)展，保障大數據運用產業(yè)有效可靠運行，提高大數據服務及應用的安全管理能力和安全意識，根據國家及貴州省相關法律、法規(guī)及其對數據安全保護的規(guī)定和要求，結合貴州省的實際，探索和思考對有關大數據安全規(guī)范的設定。

大數據；產業(yè)；安全；規(guī)范

0 前言

在全球大數據產業(yè)迅速發(fā)展的今天，大數據已成為大產業(yè)、大機遇、大變革、大紅利，數據信息正成為人們關注的新熱點，產業(yè)發(fā)展的新方向。到2015年，大數據被提高到了國家戰(zhàn)略層面，從國家層面制定了大數據發(fā)展規(guī)劃，推動全國開展大數據標準化研究以及大數據資源的建設，而對于做大數據先行者的貴州，目前已獲得國家工信部批準創(chuàng)建貴陽·貴安大數據產業(yè)發(fā)展集聚區(qū)，科技部同意并支持貴州省開展“貴陽大數據產業(yè)技術創(chuàng)新試驗區(qū)”建設試點。貴州省政府根據大數據時代的發(fā)展需求，出臺了《貴州省大數據產業(yè)發(fā)展應用規(guī)劃綱要（2014—2020年）》、《關于加快推進大數據產業(yè)發(fā)展的若干意見》等發(fā)展大數據產業(yè)的政策措施，以支持貴州省大數據產業(yè)的發(fā)展。及時制定政府部門信息采集與管控、敏感數據管理、數據交換標準和規(guī)則、個人隱私數據保護”規(guī)范的地方性法規(guī)和政府規(guī)章，具有十分重要的戰(zhàn)略意義和現實意義。

從大數據產業(yè)全球發(fā)展趨勢來看，歐美等國從數據、應用、技術三方面推進大數據發(fā)展，但大數據在全球發(fā)展還處于初級階段，技術、制度、資源都是大數據發(fā)展面臨的主要問題。我國在數據采集交換與管理、敏感與個人隱私數據保護等方面由于數據濫用、非規(guī)范的采集、非規(guī)范的數據交換、非規(guī)范的科學安全管理，導致數據中的信息被未授權用戶獲取，嚴重影響我國大數據產業(yè)發(fā)展和信息安全，因此，加快制定符合各地大數據發(fā)展的“政府部門信息采集與管控、敏感數據管理、數據交換標準和規(guī)則、個人隱私數據保護”規(guī)范的地方性法規(guī)和政府規(guī)章已迫在眉睫。

通過制定本規(guī)范，可達到以下目的：一是確保數據在采集過程中數據的原始性、真實性和規(guī)范性；二是確保數據在處理與交換過程中數據的完整性、保密性、可用性、可控性和不可抵賴性；三是確保敏感與隱私數據的安全管理與保護。所以，制定本規(guī)范不僅符合大數據時代健康發(fā)展的需要，也符合于國家戰(zhàn)略發(fā)展的需要，具有十分重要的戰(zhàn)略意義和現實意義。

1 規(guī)范制定依據、內容

1.1 規(guī)范制定依據

本規(guī)范制定將依據《中華人民共和國計算機信息系統安全保護條例》、《促進大數據發(fā)展行動綱要》（國發(fā)[2015]50號）、《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》（國發(fā)〔2012〕23號）、《中華人民共和國保守國家秘密法》、《貴州省人民政府辦公廳印發(fā)關于政府信息系統安全檢查辦法貫徹實施意見的通知》（黔府辦發(fā)〔2009〕54號）和《貴州省信息化條例》等從國家到貴州省在網絡安全與信息技術、信息保密、大數據發(fā)展等方面的法律法規(guī)、相關政策文件、國際標準及國家標準。

1.2 規(guī)范涵蓋的主要內容

本規(guī)范涵蓋了信息數據產生、處理到銷毀全生命周期，由五個方面的規(guī)范要求與五個方面的管理要求組成。

（1）數據采集安全規(guī)范要求：主要內容包括數據采集申請與審批要求、數據采集環(huán)境規(guī)范（包括現場采集規(guī)范和網絡采集規(guī)范）基本要求、數據采集設備基本要求、數據采集人員規(guī)范基本要求、數據存儲及安全管理規(guī)范基本要求等內容。

（2）數據安全使用規(guī)范要求：主要內容包括數據使用申請與審批規(guī)范、原始數據與數據拷貝基本要求、數據拷貝人員基本要求、數據拷貝安全管理規(guī)范基本要求、拷貝數據回歸分析安全管理規(guī)范基本要求等內容。

（3）組織間、行業(yè)間數據安全傳輸與管理規(guī)范要求：主要內容包括數據傳輸組織與行業(yè)的可信基本要求、數據傳輸的完整性和保密性基本要求、接收數據的完整性和一致性校驗基本要求、接收數據的安全管理規(guī)范基本要求等內容。

（4）數據處理規(guī)范要求：主要內容包括數據處理操作規(guī)范基本要求、數據處理系統軟硬件基本要求、數據處理環(huán)境基本要求、數據分析存儲規(guī)范基本要求、數據分析結果安全管理基本要求等內容。

（5）敏感數據與個人隱私信息保護規(guī)范要求：主要內容包括：大數據或數據中，數據安全歸類分類的基本要求、個人隱私信息的界定及其分類、安全管理人員的安全內容與基本要求、存儲環(huán)境與備份安全管理規(guī)范與基本要求等內容。

（6）個人信息采集管理要求：強調對個人信息采集安全的若干規(guī)定與要求。

（7）政府部門信息采集管理要求：①業(yè)務數據；②內部數據；③組織人事數據；④財務數據；⑤個人信息等非社會共享數據的安全管理要求，主要強調數據的安全管理。

（8）大數據基礎設施安全等級保護要求：將按照GB17859《計算機信息系統安全保護等級劃分準則》、GB/T22239《信息系統安全等級保護基本要求》、GB50174《電子信息系統機房設計規(guī)范》和GB/T21052《信息安全技術——信息系統物理安全技術》、《2016年貴州省大數據發(fā)展應用促進條例》的要求對大數據系統基礎設施，必須實行分級、分域實施安全等級備案、評審和保護，對已建的大數據系統的基礎設施，每年必須進行一次符合性檢查（等級保護檢查），以審核其保護措施的落實；對未達到等級保護要求的組織和部門，必須進行整改；對兩年達不到要求的組織和部門，不僅在全省予以通報，若發(fā)生安全事件，根據《2016年貴州省大數據發(fā)展應用促進條例》第五章相關條款追究相關責任。

（9）第三方安全測評機構管理要求：加速培育行業(yè)組織，大力發(fā)展本地第三方安全測評機構專業(yè)服務。主要從政府加大政策引導和財政資金支持力度層面加速推進本地第三方安全測評機構的發(fā)展壯大，健全對第三方安全測評機構的監(jiān)管，明確第三方安全測評機構在大數據產業(yè)發(fā)展的定位，發(fā)揮第三方安全測評機構的作用，為大數據產業(yè)安全保護提供專業(yè)化服務。

（10）數據安全管理從業(yè)人員管理要求：主要從事數據管理人員的從業(yè)資格、職業(yè)道德、技能、任期職責、解聘約束等方面的管理規(guī)定。

（11）政府部門網絡與信息安全管理要求：主要從政府部門信息的安全管理、運行安全管理、安全事件管理等方面進行相關規(guī)定與要求，強調信息系統等級保護、信息的安全風險檢查評估、應用系統二次開發(fā)安全評估、信息安全應急事件響應演練、數據備份恢復評估等方面進行規(guī)定與要求。

（12）大數據分層分域安全管理與要求：針對目前行業(yè)數據的分散性、企業(yè)數據的商業(yè)機密性和數據分析與預測關聯性的關系，依據誰擁有數據，誰負責的指導思想，對數據如何實施分層、分域安全管理進行規(guī)定與要求。

2 規(guī)范需解決的問題

通過制定大數據的數據交換的標準與規(guī)則并實施，將有效解決大數據發(fā)展在四個方面的問題。

（1）面向政府部門信息的安全采集與管控得以保證。對信息采集的數據、設備、人員、渠道、管理控制體系有規(guī)范與管理辦法可依照和遵循。

（2）保證政府部門的敏感數據安全管理得以實現，實現對政府部門的敏感數據進行定義與分級，對不同級別的敏感數據提出不同規(guī)范與管理要求。

（3）保證數據處理與交換的安全，支撐大數據業(yè)務的發(fā)展。

（4）保證個人隱私數據的保密性與可控性并得以嚴密的保護，明確個人隱私數據所有權，保障個人隱私數據的安全存儲與傳輸，保障用戶對個人隱私數據的使用有知情權與選擇權。

3 對大數據發(fā)展的貢獻

為保障大數據產業(yè)健康平穩(wěn)運行，應加快制定大數據產業(yè)的立法，通過制定相關規(guī)范并落實相關規(guī)定與要求，可有效對各級政府部門信息采集與處理安全管理與控制，對單位內敏感數據進行分級管理與保護，保證數據交換的安全，有效保護個人隱私數據，不僅有利于促進貴州省大數據產業(yè)的健康發(fā)展，以大數據引領和支撐大數據產業(yè)發(fā)展戰(zhàn)略，更有利于推動國內一流大數據產基地及科技密集型的新一代信息技術產業(yè)集聚區(qū)發(fā)展和經濟社會跨越發(fā)展。

設計和制定的規(guī)范必須適用于貴州省內大數據系統，包括省、地州以及縣級組織的數據集中管理系統，以及發(fā)展、應用大數據（或數據）的一切相關組織。整個規(guī)范覆蓋了應用計算機分析處理、訪問、存儲、發(fā)布的軟硬件系統、物理環(huán)境系統和應用管理系統的基礎設施（包括前端數據采集，控制處理、分析、存儲，訪問及其展現的系統）和系統所存在的數據。規(guī)范對應用大數據系統及其大數據基礎設施的組織，要求必須建立相應的安全等級保護，并建立相應的安全組織機構。

[1]王佳昕.營建安全規(guī)范的數據中心.2012電力行業(yè)信息化年會論文集[C].中國電機工程學會.北京，2012.

[2]張茂月.大數據時代個人信息數據安全的新威脅及其保護[J].中國科技論壇，2015.