關于設計并制定大數據產業數據安全規范的思路與建議

◆周 濱

（貴州大學管理學院 貴州 550025）

關于設計并制定大數據產業數據安全規范的思路與建議

◆周 濱

（貴州大學管理學院 貴州 550025）

為推動和促進貴州省大數據運用的健康發展，保障大數據運用產業有效可靠運行，提高大數據服務及應用的安全管理能力和安全意識，根據國家及貴州省相關法律、法規及其對數據安全保護的規定和要求，結合貴州省的實際，探索和思考對有關大數據安全規范的設定。

大數據；產業；安全；規范

0 前言

在全球大數據產業迅速發展的今天，大數據已成為大產業、大機遇、大變革、大紅利，數據信息正成為人們關注的新熱點，產業發展的新方向。到2015年，大數據被提高到了國家戰略層面，從國家層面制定了大數據發展規劃，推動全國開展大數據標準化研究以及大數據資源的建設，而對于做大數據先行者的貴州，目前已獲得國家工信部批準創建貴陽·貴安大數據產業發展集聚區，科技部同意并支持貴州省開展“貴陽大數據產業技術創新試驗區”建設試點。貴州省政府根據大數據時代的發展需求，出臺了《貴州省大數據產業發展應用規劃綱要（2014—2020年）》、《關于加快推進大數據產業發展的若干意見》等發展大數據產業的政策措施，以支持貴州省大數據產業的發展。及時制定政府部門信息采集與管控、敏感數據管理、數據交換標準和規則、個人隱私數據保護”規范的地方性法規和政府規章，具有十分重要的戰略意義和現實意義。

從大數據產業全球發展趨勢來看，歐美等國從數據、應用、技術三方面推進大數據發展，但大數據在全球發展還處于初級階段，技術、制度、資源都是大數據發展面臨的主要問題。我國在數據采集交換與管理、敏感與個人隱私數據保護等方面由于數據濫用、非規范的采集、非規范的數據交換、非規范的科學安全管理，導致數據中的信息被未授權用戶獲取，嚴重影響我國大數據產業發展和信息安全，因此，加快制定符合各地大數據發展的“政府部門信息采集與管控、敏感數據管理、數據交換標準和規則、個人隱私數據保護”規范的地方性法規和政府規章已迫在眉睫。

通過制定本規范，可達到以下目的：一是確保數據在采集過程中數據的原始性、真實性和規范性；二是確保數據在處理與交換過程中數據的完整性、保密性、可用性、可控性和不可抵賴性；三是確保敏感與隱私數據的安全管理與保護。所以，制定本規范不僅符合大數據時代健康發展的需要，也符合于國家戰略發展的需要，具有十分重要的戰略意義和現實意義。

1 規范制定依據、內容

1.1 規范制定依據

本規范制定將依據《中華人民共和國計算機信息系統安全保護條例》、《促進大數據發展行動綱要》（國發[2015]50號）、《關于大力推進信息化發展和切實保障信息安全的若干意見》（國發〔2012〕23號）、《中華人民共和國保守國家秘密法》、《貴州省人民政府辦公廳印發關于政府信息系統安全檢查辦法貫徹實施意見的通知》（黔府辦發〔2009〕54號）和《貴州省信息化條例》等從國家到貴州省在網絡安全與信息技術、信息保密、大數據發展等方面的法律法規、相關政策文件、國際標準及國家標準。

1.2 規范涵蓋的主要內容

本規范涵蓋了信息數據產生、處理到銷毀全生命周期，由五個方面的規范要求與五個方面的管理要求組成。

（1）數據采集安全規范要求：主要內容包括數據采集申請與審批要求、數據采集環境規范（包括現場采集規范和網絡采集規范）基本要求、數據采集設備基本要求、數據采集人員規范基本要求、數據存儲及安全管理規范基本要求等內容。

（2）數據安全使用規范要求：主要內容包括數據使用申請與審批規范、原始數據與數據拷貝基本要求、數據拷貝人員基本要求、數據拷貝安全管理規范基本要求、拷貝數據回歸分析安全管理規范基本要求等內容。

（3）組織間、行業間數據安全傳輸與管理規范要求：主要內容包括數據傳輸組織與行業的可信基本要求、數據傳輸的完整性和保密性基本要求、接收數據的完整性和一致性校驗基本要求、接收數據的安全管理規范基本要求等內容。

（4）數據處理規范要求：主要內容包括數據處理操作規范基本要求、數據處理系統軟硬件基本要求、數據處理環境基本要求、數據分析存儲規范基本要求、數據分析結果安全管理基本要求等內容。

（5）敏感數據與個人隱私信息保護規范要求：主要內容包括：大數據或數據中，數據安全歸類分類的基本要求、個人隱私信息的界定及其分類、安全管理人員的安全內容與基本要求、存儲環境與備份安全管理規范與基本要求等內容。

（6）個人信息采集管理要求：強調對個人信息采集安全的若干規定與要求。

（7）政府部門信息采集管理要求：①業務數據；②內部數據；③組織人事數據；④財務數據；⑤個人信息等非社會共享數據的安全管理要求，主要強調數據的安全管理。

（8）大數據基礎設施安全等級保護要求：將按照GB17859《計算機信息系統安全保護等級劃分準則》、GB/T22239《信息系統安全等級保護基本要求》、GB50174《電子信息系統機房設計規范》和GB/T21052《信息安全技術——信息系統物理安全技術》、《2016年貴州省大數據發展應用促進條例》的要求對大數據系統基礎設施，必須實行分級、分域實施安全等級備案、評審和保護，對已建的大數據系統的基礎設施，每年必須進行一次符合性檢查（等級保護檢查），以審核其保護措施的落實；對未達到等級保護要求的組織和部門，必須進行整改；對兩年達不到要求的組織和部門，不僅在全省予以通報，若發生安全事件，根據《2016年貴州省大數據發展應用促進條例》第五章相關條款追究相關責任。

（9）第三方安全測評機構管理要求：加速培育行業組織，大力發展本地第三方安全測評機構專業服務。主要從政府加大政策引導和財政資金支持力度層面加速推進本地第三方安全測評機構的發展壯大，健全對第三方安全測評機構的監管，明確第三方安全測評機構在大數據產業發展的定位，發揮第三方安全測評機構的作用，為大數據產業安全保護提供專業化服務。

（10）數據安全管理從業人員管理要求：主要從事數據管理人員的從業資格、職業道德、技能、任期職責、解聘約束等方面的管理規定。

（11）政府部門網絡與信息安全管理要求：主要從政府部門信息的安全管理、運行安全管理、安全事件管理等方面進行相關規定與要求，強調信息系統等級保護、信息的安全風險檢查評估、應用系統二次開發安全評估、信息安全應急事件響應演練、數據備份恢復評估等方面進行規定與要求。

（12）大數據分層分域安全管理與要求：針對目前行業數據的分散性、企業數據的商業機密性和數據分析與預測關聯性的關系，依據誰擁有數據，誰負責的指導思想，對數據如何實施分層、分域安全管理進行規定與要求。

2 規范需解決的問題

通過制定大數據的數據交換的標準與規則并實施，將有效解決大數據發展在四個方面的問題。

（1）面向政府部門信息的安全采集與管控得以保證。對信息采集的數據、設備、人員、渠道、管理控制體系有規范與管理辦法可依照和遵循。

（2）保證政府部門的敏感數據安全管理得以實現，實現對政府部門的敏感數據進行定義與分級，對不同級別的敏感數據提出不同規范與管理要求。

（3）保證數據處理與交換的安全，支撐大數據業務的發展。

（4）保證個人隱私數據的保密性與可控性并得以嚴密的保護，明確個人隱私數據所有權，保障個人隱私數據的安全存儲與傳輸，保障用戶對個人隱私數據的使用有知情權與選擇權。

3 對大數據發展的貢獻

為保障大數據產業健康平穩運行，應加快制定大數據產業的立法，通過制定相關規范并落實相關規定與要求，可有效對各級政府部門信息采集與處理安全管理與控制，對單位內敏感數據進行分級管理與保護，保證數據交換的安全，有效保護個人隱私數據，不僅有利于促進貴州省大數據產業的健康發展，以大數據引領和支撐大數據產業發展戰略，更有利于推動國內一流大數據產基地及科技密集型的新一代信息技術產業集聚區發展和經濟社會跨越發展。

設計和制定的規范必須適用于貴州省內大數據系統，包括省、地州以及縣級組織的數據集中管理系統，以及發展、應用大數據（或數據）的一切相關組織。整個規范覆蓋了應用計算機分析處理、訪問、存儲、發布的軟硬件系統、物理環境系統和應用管理系統的基礎設施（包括前端數據采集，控制處理、分析、存儲，訪問及其展現的系統）和系統所存在的數據。規范對應用大數據系統及其大數據基礎設施的組織，要求必須建立相應的安全等級保護，并建立相應的安全組織機構。

[1]王佳昕.營建安全規范的數據中心.2012電力行業信息化年會論文集[C].中國電機工程學會.北京，2012.

[2]張茂月.大數據時代個人信息數據安全的新威脅及其保護[J].中國科技論壇，2015.