H.4　第三級可參考安全控制措施

H.4　第三級可參考安全控制措施

H.4.1　安全物理環境

應保證承載大數據存儲、處理和分析的設備機房位于中國境內。

H.4.2　安全通信網絡

本方面控制措施包括：
a) 應保證大數據平臺不承載高于其安全保護等級的大數據應用；

H.4.3　安全計算環境

本方面控制措施包括：
a) 大數據平臺應對數據采集終端、數據導入服務組件、數據導出終端、數據導出服務組件的使用實施身份鑒別；
b) 大數據平臺應能對不同客戶的大數據應用實施標識和鑒別；
c) 大數據平臺應為大數據應用提供集中管控其計算和存儲資源使用狀況的能力；
d) 大數據平臺應對其提供的輔助工具或服務組件，實施有效管理；
e) 大數據平臺應屏蔽計算、內存、存儲資源故障，保障業務正常運行；
f) 大數據平臺應提供靜態脫敏和去標識化的工具或服務組件技術；
g) 對外提供服務的大數據平臺，平臺或第三方只有在大數據應用授權下才可以對大數據應用的數據資源進行訪問、使用和管理；
h) 大數據平臺應提供數據分類分級安全管理功能，供大數據應用針對不同類別級別的數據采取不同的安全保護措施；
i) 大數據平臺應提供設置數據安全標記功能，基于安全標記的授權和訪問控制措施，滿足細粒度授權訪問控制管理能力要求；
j) 大數據平臺應在數據采集、存儲、處理、分析等各個環節，支持對數據進行分類分級處置，并保證安全保護策略保持一致；
k) 涉及重要數據接口、重要服務接口的調用，應實施訪問控制，包括但不限于數據處理、使用、分析、導出、共享、交換等相關操作；
l) 應在數據清洗和轉換過程中對重要數據進行保護,以保證重要數據清洗和轉換后的一致性，避免數據失真,并在產生問題時能有效還原和恢復；
m) 應跟蹤和記錄數據采集、處理、分析和挖掘等過程，保證溯源數據能重現相應過程，溯源數據滿足合規審計要求；

H.4.4　安全建設管理

本方面控制措施包括：
a) 應選擇安全合規的大數據平臺，其所提供的大數據平臺服務應為其所承載的大數據應用提供相應等級的安全保護能力；
b) 應以書面方式約定大數據平臺提供者的權限與責任、各項服務內容和具體技術指標等，尤其是安全服務內容；

H.4.5　安全運維管理

本方面控制措施包括：
a) 應建立數字資產安全管理策略，對數據全生命周期的操作規范、保護措施、管理人員職責等進行規定，包括并不限于數據采集、存儲、處理、應用、流動、銷毀等過程；
b) 應制定并執行數據分類分級保護策略，針對不同類別級別的數據制定不同的安全保護措施；
c) 應在數據分類分級的基礎上，劃分重要數字資產范圍，明確重要數據進行自動脫敏或去標識的使用場景和業務處理流程；