T_ISEAA 002-2021 信息安全技術網絡安全等級保護大數據基本要求第二級安全要求
5.1安全物理環境
5.1.1物理位置選擇
見GB/T 22239-2019中7.1.1.1。
5.1.2物理訪問控制
見GB/T 22239-2019中7.1.1.2。
5.1.3防盜竊和防破壞
見GB/T 22239-2019中7.1.1.3。
5.1.4防雷擊
見GB/T 22239—2019中7.1.1.4。
5.1.5防火
見GB/T 22239-2019中7.1.1.5。
5.1.6防水和防潮
見GB/T 22239—2019中7.1.1.6。
5.1.7防靜電
見GB/T 22239-2019中7.1.1.7。
5.1.8溫濕度控制
見GB/T 22239—2019中7.1.1.8。
5.1.9電力供應
見GB/T 22239-2019中7.1.1.9。
5.1.10電磁防護
見GB/T 22239—2019中7.1.1.10。
5.1.11基礎設施位置
應保證承載大數據存儲、處理和分析的設備機房位于中國境內。
5.2安全通信網絡
5.2.1網絡架構
本項要求包括:
a)見GB/T22239-2019中7.1.2.1;
b)應保證大數據平臺不承載高于其安全保護等級的大數據應用和大數據資源。
5.2.2通信傳輸
見GB/T22239—2019中7.1.2.2。
5.2.3可信驗證
見GB/T22239—2019中7.1.2.3。
5.3安全區域邊界
見GB/T22239-2019中7.1.3。
5.4安全計算環境
5.4.1身份鑒別
本項要求包括:
a)見GB/T22239—2019中7.1.4.1;
b)大數據系統提供的重要外部調用接口應進行身份鑒別。
5.4.2訪問控制
本項要求包括:
a)見GB/T 22239-2019中7.1.4.2;
b)對外提供服務的大數據平臺,平臺或第三方應在服務客戶授權下才可以對其數據資源進行訪問、使用和管理;
c)應對數據進行分類分級管理;
d)應采取技術手段對數據采集終端、數據導入服務組件、數據導出終端、數據導出服務組件的使用進行限制;
e)應最小化各類接口操作權限;
f)應最小化數據使用、分析、導出、共享、交換的數據集。
5.4.3安全審計
本項要求包括:
a)見GB/T 22239-2019中7.1.4.3;
b)大數據系統應對其提供的重要接口的調用情況以及各類重要賬號的操作情況進行審計;
c)應保證大數據系統服務商對服務客戶數據的操作可被服務客戶審計。
5.4.4入侵防范
見GB/T 22239—2019中7.1.4.4。
5.4.5惡意代碼防范
見GB/T 22239-2019中7.1.4.5。
5.4.6可信驗證
見GB/T 22239—2019中7.1.4.6。
5.4.7數據完整性
本項要求包括:
a)見GB/T 22239—2019中7.1.4.7;
b)應采用技術手段對數據交換過程進行數據完整性檢測;
c)數據在存儲過程中的完整性保護應滿足數據提供方系統的安全保護要求。
5.4.8數據保密性
本項要求包括:
a)大數據平臺應提供靜態脫敏和去標識化的工具或服務組件技術;
b)應依據相關安全策略對數據進行靜態脫敏和去標識化處理;
c)數據在存儲過程中的保密性保護應滿足數據提供方系統的安全保護要求。
5.4.9數據備份恢復
本項要求包括:
a)見GB/T 22239-2019中7.1.4.8;
b)備份數據應采取與原數據一致的安全保護措施。
5.4.10剩余信息保護
本項要求包括:
a)見GB/T 22239-2019中7.1.4.9;
b)大數據平臺應提供主動遷移功能,數據整體遷移的過程中應杜絕數據殘留;
c)大數據平臺應能夠根據服務客戶提出的數據銷毀要求和方式實施數據銷毀。
5.4.11個人信息保護
本項要求包括:
a)見GB/T 22239-2019中7.1.4.10;
b)采集、處理、使用、轉讓、共享、披露個人信息應在個人信息處理的授權同意范圍內,并保留操作審計記錄;
c)應采取措施防止在數據處理、使用、分析、導出、共享、交換等過程中識別出個人身份信息;
d)對個人信息的重要操作應設置內部審批流程,審批通過后才能對個人信息進行相應的操作。
5.5安全管理中心
5.5.1系統管理
本項要求包括:
a)見GB/T 22239-2019中7.1.5.1;
b)大數據平臺應為服務客戶提供管理其計算和存儲資源使用狀況的能力;
c)大數據平臺應對其提供的輔助工具或服務組件實施有效管理;
d)大數據平臺應屏蔽計算、內存、存儲資源故障,保障業務正常運行;
e)大數據平臺在系統維護、在線擴容等情況下,應保證大數據應用和大數據資源的正常業務處理能力。
5.5.2審計管理
見GB/T 22239-2019中7.1.5.2。
5.6安全管理制度
5.6.1安全策略
本項要求包括:
a)見GB/T 22239—2019中7.1.6.1;
b)應制定大數據安全工作的總體方針和安全策略,闡明本機構大數據安全工作的目標、范圍、原則和安全框架等相關內容;
c)大數據安全策略應覆蓋數據生命周期相關的數據安全,內容至少包括目的、范圍、崗位、責任、管理層承諾、內外部協調及合規性要求等。
5.6.2管理制度
見GB/T 22239-2019中7.1.6.2。
5.6.3制定和發布
見GB/T 22239-2019中7.1.6.3。
5.6.4評審和修訂
見GB/T 22239-2019中7.1.6.4。
5.7安全管理機構
5.7.1崗位設置
見GB/T 22239-2019中7.1.7.1。
5.7.2人員配備
見GB/T 22239—2019中7.1.7.2。
5.7.3授權和審批
本項要求包括:
a)見GB/T 22239—2019中7.1.7.3;
b)數據的采集應獲得數據源管理者的授權,確保符合數據收集最小化原則。
5.7.4溝通和合作
見GB/T 22239—2019中7.1.7.4。
5.7.5審核和檢查
本項要求包括:
a)見GB/T 22239—2019中7.1.7.5;
b)應定期對個人信息安全保護措施的有效性進行常規安全檢查。
5.8安全管理人員
見GB/T 22239—2019中7.1.8。
5.9安全建設管理
5.9.1定級和備案
見GB/T 22239-2019中7.1.9.1。
5.9.2安全方案設計
見GB/T 22239—2019中7.1.9.2。
5.9.3產品采購和使用
見GB/T 22239—2019中7.1.9.3。
5.9.4自行軟件開發
見GB/T 22239-2019中7.1.9.4。
5.9.5外包軟件開發
見GB/T 22239—2019中7.1.9.5。
5.9.6工程實施
見GB/T 22239—2019中7.1.9.6。
5.9.7測試驗收
見GB/T 22239—2019中7.1.9.7。
5.9.8系統交付
見GB/T 22239—2019中7.1.9.8。
5.9.9等級測評
見GB/T 22239—2019中7.1.9.9。
5.9.10服務供應商選擇
本項要求包括:
a)見GB/T 22239-2019中7.1.9.10;
b)應選擇安全合規的大數據平臺,其所提供的大數據平臺服務應為其所承載的大數據應用和大數據資源提供相應等級的安全保護能力;
c)應以書面方式約定大數據平臺提供者和大數據平臺使用者的權限與責任、各項服務內容和具體技術指標等,尤其是安全服務內容。
5.9.11供應鏈管理
應確保供應商的選擇符合國家有關規定。
5.9.12數據源管理
應通過合法正當的渠道獲取各類數據。
5.10安全運維管理
5.10.1環境管理
見GB/T 22239—2019中7.1.10.1。
5.10.2資產管理
本項要求包括:
a)見GB/T 22239-2019中7.1.10.2;
b)應建立數據資產安全管理策略,對數據全生命周期的操作規范、保護措施、管理人員職責等進行規定,包括但不限于數據采集、傳輸、存儲、處理、交換、銷毀等過程;
c)應對數據資產進行登記,建立數據資產清單。
5.10.3介質管理
本項要求包括:
a)見GB/T 22239-2019中7.1.10.3;
b)應在中國境內對數據進行清除或銷毀。
5.10.4設備維護管理
見GB/T 22239—2019中7.1.10.4。
5.10.5漏洞和風險管理
見GB/T 22239—2019中7.1.10.5。
5.10.6網絡和系統安全管理
本項要求包括:
a)見GB/T 22239-2019中7.1.10.6;
b)應建立對外數據接口安全管理機制,所有的接口調用均應獲得授權和批準。
5.10.7惡意代碼防范管理
見GB/T 22239-2019中7.1.10.7。
5.10.8配置管理
見GB/T 22239-2019中7.1.10.8。
5.10.9密碼管理
見GB/T22239-2019中7.1.10.9。
5.10.10變更管理
見GB/T 22239-2019中7.1.10.10。
5.10.11備份與恢復管理
見GB/T 22239-2019中7.1.1.11。
5.10.12安全事件處置
見GB/T 22239-2019中7.1.10.12。
5.10.13應急預案管理
見GB/T 22239-2019中7.1.10.13。
5.10.14外包運維管理
見GB/T 22239-2019中7.1.10.14。
推薦文章: