关于设计并制定大数据产业数据安全规范的思路与建议

◆周 滨

（贵州大学管理学院 贵州 550025）

关于设计并制定大数据产业数据安全规范的思路与建议

◆周 滨

（贵州大学管理学院 贵州 550025）

为推动和促进贵州省大数据运用的健康发展，保障大数据运用产业有效可靠运行，提高大数据服务及应用的安全管理能力和安全意识，根据国家及贵州省相关法律、法规及其对数据安全保护的规定和要求，结合贵州省的实际，探索和思考对有关大数据安全规范的设定。

大数据；产业；安全；规范

0 前言

在全球大数据产业迅速发展的今天，大数据已成为大产业、大机遇、大变革、大红利，数据信息正成为人们关注的新热点，产业发展的新方向。到2015年，大数据被提高到了国家战略层面，从国家层面制定了大数据发展规划，推动全国开展大数据标准化研究以及大数据资源的建设，而对于做大数据先行者的贵州，目前已获得国家工信部批准创建贵阳·贵安大数据产业发展集聚区，科技部同意并支持贵州省开展“贵阳大数据产业技术创新试验区”建设试点。贵州省政府根据大数据时代的发展需求，出台了《贵州省大数据产业发展应用规划纲要（2014—2020年）》、《关于加快推进大数据产业发展的若干意见》等发展大数据产业的政策措施，以支持贵州省大数据产业的发展。及时制定政府部门信息采集与管控、敏感数据管理、数据交换标准和规则、个人隐私数据保护”规范的地方性法规和政府规章，具有十分重要的战略意义和现实意义。

从大数据产业全球发展趋势来看，欧美等国从数据、应用、技术三方面推进大数据发展，但大数据在全球发展还处于初级阶段，技术、制度、资源都是大数据发展面临的主要问题。我国在数据采集交换与管理、敏感与个人隐私数据保护等方面由于数据滥用、非规范的采集、非规范的数据交换、非规范的科学安全管理，导致数据中的信息被未授权用户获取，严重影响我国大数据产业发展和信息安全，因此，加快制定符合各地大数据发展的“政府部门信息采集与管控、敏感数据管理、数据交换标准和规则、个人隐私数据保护”规范的地方性法规和政府规章已迫在眉睫。

通过制定本规范，可达到以下目的：一是确保数据在采集过程中数据的原始性、真实性和规范性；二是确保数据在处理与交换过程中数据的完整性、保密性、可用性、可控性和不可抵赖性；三是确保敏感与隐私数据的安全管理与保护。所以，制定本规范不仅符合大数据时代健康发展的需要，也符合于国家战略发展的需要，具有十分重要的战略意义和现实意义。

1 规范制定依据、内容

1.1 规范制定依据

本规范制定将依据《中华人民共和国计算机信息系统安全保护条例》、《促进大数据发展行动纲要》（国发[2015]50号）、《关于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）、《中华人民共和国保守国家秘密法》、《贵州省人民政府办公厅印发关于政府信息系统安全检查办法贯彻实施意见的通知》（黔府办发〔2009〕54号）和《贵州省信息化条例》等从国家到贵州省在网络安全与信息技术、信息保密、大数据发展等方面的法律法规、相关政策文件、国际标准及国家标准。

1.2 规范涵盖的主要内容

本规范涵盖了信息数据产生、处理到销毁全生命周期，由五个方面的规范要求与五个方面的管理要求组成。

（1）数据采集安全规范要求：主要内容包括数据采集申请与审批要求、数据采集环境规范（包括现场采集规范和网络采集规范）基本要求、数据采集设备基本要求、数据采集人员规范基本要求、数据存储及安全管理规范基本要求等内容。

（2）数据安全使用规范要求：主要内容包括数据使用申请与审批规范、原始数据与数据拷贝基本要求、数据拷贝人员基本要求、数据拷贝安全管理规范基本要求、拷贝数据回归分析安全管理规范基本要求等内容。

（3）组织间、行业间数据安全传输与管理规范要求：主要内容包括数据传输组织与行业的可信基本要求、数据传输的完整性和保密性基本要求、接收数据的完整性和一致性校验基本要求、接收数据的安全管理规范基本要求等内容。

（4）数据处理规范要求：主要内容包括数据处理操作规范基本要求、数据处理系统软硬件基本要求、数据处理环境基本要求、数据分析存储规范基本要求、数据分析结果安全管理基本要求等内容。

（5）敏感数据与个人隐私信息保护规范要求：主要内容包括：大数据或数据中，数据安全归类分类的基本要求、个人隐私信息的界定及其分类、安全管理人员的安全内容与基本要求、存储环境与备份安全管理规范与基本要求等内容。

（6）个人信息采集管理要求：强调对个人信息采集安全的若干规定与要求。

（7）政府部门信息采集管理要求：①业务数据；②内部数据；③组织人事数据；④财务数据；⑤个人信息等非社会共享数据的安全管理要求，主要强调数据的安全管理。

（8）大数据基础设施安全等级保护要求：将按照GB17859《计算机信息系统安全保护等级划分准则》、GB/T22239《信息系统安全等级保护基本要求》、GB50174《电子信息系统机房设计规范》和GB/T21052《信息安全技术——信息系统物理安全技术》、《2016年贵州省大数据发展应用促进条例》的要求对大数据系统基础设施，必须实行分级、分域实施安全等级备案、评审和保护，对已建的大数据系统的基础设施，每年必须进行一次符合性检查（等级保护检查），以审核其保护措施的落实；对未达到等级保护要求的组织和部门，必须进行整改；对两年达不到要求的组织和部门，不仅在全省予以通报，若发生安全事件，根据《2016年贵州省大数据发展应用促进条例》第五章相关条款追究相关责任。

（9）第三方安全测评机构管理要求：加速培育行业组织，大力发展本地第三方安全测评机构专业服务。主要从政府加大政策引导和财政资金支持力度层面加速推进本地第三方安全测评机构的发展壮大，健全对第三方安全测评机构的监管，明确第三方安全测评机构在大数据产业发展的定位，发挥第三方安全测评机构的作用，为大数据产业安全保护提供专业化服务。

（10）数据安全管理从业人员管理要求：主要从事数据管理人员的从业资格、职业道德、技能、任期职责、解聘约束等方面的管理规定。

（11）政府部门网络与信息安全管理要求：主要从政府部门信息的安全管理、运行安全管理、安全事件管理等方面进行相关规定与要求，强调信息系统等级保护、信息的安全风险检查评估、应用系统二次开发安全评估、信息安全应急事件响应演练、数据备份恢复评估等方面进行规定与要求。

（12）大数据分层分域安全管理与要求：针对目前行业数据的分散性、企业数据的商业机密性和数据分析与预测关联性的关系，依据谁拥有数据，谁负责的指导思想，对数据如何实施分层、分域安全管理进行规定与要求。

2 规范需解决的问题

通过制定大数据的数据交换的标准与规则并实施，将有效解决大数据发展在四个方面的问题。

（1）面向政府部门信息的安全采集与管控得以保证。对信息采集的数据、设备、人员、渠道、管理控制体系有规范与管理办法可依照和遵循。

（2）保证政府部门的敏感数据安全管理得以实现，实现对政府部门的敏感数据进行定义与分级，对不同级别的敏感数据提出不同规范与管理要求。

（3）保证数据处理与交换的安全，支撑大数据业务的发展。

（4）保证个人隐私数据的保密性与可控性并得以严密的保护，明确个人隐私数据所有权，保障个人隐私数据的安全存储与传输，保障用户对个人隐私数据的使用有知情权与选择权。

3 对大数据发展的贡献

为保障大数据产业健康平稳运行，应加快制定大数据产业的立法，通过制定相关规范并落实相关规定与要求，可有效对各级政府部门信息采集与处理安全管理与控制，对单位内敏感数据进行分级管理与保护，保证数据交换的安全，有效保护个人隐私数据，不仅有利于促进贵州省大数据产业的健康发展，以大数据引领和支撑大数据产业发展战略，更有利于推动国内一流大数据产基地及科技密集型的新一代信息技术产业集聚区发展和经济社会跨越发展。

设计和制定的规范必须适用于贵州省内大数据系统，包括省、地州以及县级组织的数据集中管理系统，以及发展、应用大数据（或数据）的一切相关组织。整个规范覆盖了应用计算机分析处理、访问、存储、发布的软硬件系统、物理环境系统和应用管理系统的基础设施（包括前端数据采集，控制处理、分析、存储，访问及其展现的系统）和系统所存在的数据。规范对应用大数据系统及其大数据基础设施的组织，要求必须建立相应的安全等级保护，并建立相应的安全组织机构。

[1]王佳昕.营建安全规范的数据中心.2012电力行业信息化年会论文集[C].中国电机工程学会.北京，2012.

[2]张茂月.大数据时代个人信息数据安全的新威胁及其保护[J].中国科技论坛，2015.