1、大数据安全管理目标
组织实现大数据价值的同时,确保数据安全。组织应:
a)满足个人信息保护和数据保护的法律法规、标准等要求;
b)满足大数据相关方的数据保护要求;
c)通过技术和管理手段,保证自身控制和管理的数据安全风险可控。
2、大数据安全管理的主要内容
大数据安全管理主要包含以下内容:
a)明确数据安全需求。组织应分析大数据环境下数据的保密性、完整性和可用性所面临的新问题,分析大数据活动可能对国家安全、社会影响、公共利益、个人的生命财产安全等造成的影响,并明确解决这些问题和影响的数据安全需求。
b)数据分类分级。组织应先对数据进行分类分级,根据不同的数据分级选择适当的安全措施。
c)明确大数据活动安全要求。组织应理解主要大数据活动的特点,可能涉及的数据操作,并明确各大数据活动的安全要求。
d)评估大数据安全风险。组织除开展信息系统安全风险评估外,还应从大数据环境潜在的系统的脆弱点、恶意利用、后果等不利因素,以及应对措施等评估大数据安全风险。
3、大数据安全管理角色及责任
3.1概述组织应建立大数据安全管理组织架构.根据组织的规模、大数据平台的数据量、业务发展及规划等明确不同角色及其职责.至少包含以下角色:
a)大数据安全管理者:对组织大数据安全负责的个人或团队。大数据安全管理者负责数据安全相关领域和环节的决策,制定并审议数据安全相关制度,监督执行和组织落实业务部门数据安全相关工作。
b)大数据安全执行者:是执行组织数据安全相关工作的个人或团队。大数据安全执行者负责数据安全相关领域和环节工作的执行,制定数据安全相关细则,落实各项安全措施,配合大数据安全管理者开展各项工作。
c)大数据安全审计者:负责大数据审计相关工作的个人或团队。大数据安全审计者对安全策略的适当性进行评价,帮助检测安全违规,并生成安全审计报告。
3.2大数据安全管理者的职责
大数据安全管理者的具体职责有:
a)确定数据的分类分级初始值,制定数据分类分级指南。与提供大数据的业务部门合作,确定数据的安全级别。
b)综合考虑法律法规、政策、标准、大数据分析技术水平、组织所处行业特殊性等因素,评估数据安全风险,制定数据安全基本要求。
c)对数据访问进行授权.包括授权给组织内部的业务部门、外部组织等。
d)建立相应的数据安全管理监督机制,监视数据安全管理机制的有效性。
e)负责组织的大数据安全管理过程,并对外部相关方(如:数据安全的主管部门、数据主体等)负责。
3.3大数据安全执行者的职责
大数据安全执行者的主要职责有:
a)根据大数据安全管理者的要求实施安全措施;
b)为大数据安全管理者授权的相关方分配数据访问权限和机制;
c)配合大数据安全管理者处置安全事件;
d)记录数据活动的相关日志。
3.4大数据安全审计者的职责
大数据安全审计者的主要职责有:
a)审核数据活动的主体操作及对象等数据相关属性,确保数据活动的过程和相关操作符合安全要求;
b)定期审核数据的使用情况。
大数据安全管理体系认证条件:
1.持有企业营业执照等资质证明
2.成立满3个月以上
3.有相应的项目合同及项目记录等
认证依据标准:
GB/T-信息安全技术大数据安全管理指南
认证流程:
申请认证--合同评审--审核策划--审核--认证决定--颁发证书
大数据安全管理体系证书有效期:
三年,获证后每年进行一次监督审核
证书查询网址:
国家认监委、发证机构
转载请注明:http://www.louisfeny.net/pxdzz/9903.html
