大数据安全第3期 | 国内外大数据安全与个人隐私安全标准

导读

目前，国内外有多个标准化组织正在开展大数据和大数据安全相关标准化工作，国际上主要有国际标准化组织/国际电工委员会下的ISO/IEC JTC1 WG9（大数据工作组）ISO/IEC JTC1 SC27（信息安全技术分委员会）、国际电信联盟电信标准化部门（ITU-T）、美国国家标准与技术研究院（NIST）等；国内正在开展大数据和大数据安全相关标准化工作的标准化组织，主要有全国信息技术标准化委员会（以下简称“全国信标委”，委员会编号为TC28）和全国信安标委（TC260）以及国家网络安全各个行业主管部门的监管和技术等行业标准。

本篇文章先分享一下目前已经发布和正在准备发布的相关标准列表，之后会和大家就内容进行标准研究和分析。

大数据应用作为一个特殊的信息系统，除存在与传统信息安全一样的保密性、完整性和可用性要求外，还需要从管理角度研究大数据场景下信息系统的安全，因此，传统信息系统的大部分信息安全管理体系和管理要求类标准仍然是适用的。下面对和大数据安全相关的传统数据安全标准、个人信息保护标准和专门为大数据应用制定的大数据安全相关标准进行梳理分析。

美国国家标准与技术研究院（NIST）于2012年6月启动了大数据相关基本概念、技术和标准需求的研究，2013年5月成立了NIST大数据公开工作组（NBG-PWG），2015年9月编写形成并发布，NIST SP 1500《NIST大数据互操作框架》系列标准（第一版），包括7个分册，即：

• NIST SP 1500-1 《第1册 定义》
• NIST SP 1500-2 《第2册 大数据分类法》
• NIST SP 1500-3 《第3册 用例和一般要求》
• NIST SP 1500-4 《第4册 安全和隐私保护》（由NIST NBD-PWG的安全与隐私保护小组编写。）
• NIST SP 1500-5 《第5册 架构调研白皮书》
• NIST SP 1500-6 《第6册 参考架构》
• NIST SP 1500-7 《第7册 标准路线图》

为了加快推动我国大数据安全标准化工作，全国信安标委在2016年4月成立大数据安全标准特别工作组，主要负责制定和完善我国大数据安全领域标准体系，组织开展大数据安全相关技术和标准研究。

• 《信息安全技术 大数据服务安全能力要求》
• 《信息安全技术 大数据安全管理指南》
• 《大数据安全标准体系研究》
• 《大数据交易服务平台安全要求》
• 《大数据安全能力成熟度评估模型》
• 《大数据安全防护标准研究》
• 《大数据平台安全管理产品安全技术要求研究》
• 《信息安全技术 个人信息安全规范》

同时，特别工作组组织开展了针对大数据安全能力成熟度模型、大数据交易安全要求、数据出境安全评估等国家标准的研究工作。

ITU-T在2013年11月发布了《大数据：今天巨大，明天平常》报告，并在其下属相关研究组开展了多项大数据和大数据安全相关的标准化工作。

《大数据　基于云计算的要求和能力》

《大数据　元数据框架和概念模型》

《大数据　数据集成概述和功能要求》

《大数据　数据溯源要求》

《大数据交换框架和要求》

《数据存储联合的要求和能力》

《大数据即服务的功能架构》

《大数据　数据保全概述和要求》

《大数据驱动联网要求》

《基于DPI的大数据驱动联网框架》

《应用于网络大数据语境下的深度包检测机制》

《移动互联网服务中的大数据分析安全要求和框架》

《大数据即服务的安全指南》

《电子商务业务数据生命周期管理安全参考架构》

ISO/IEC JTC1 SC27是在ISO和IEC信息技术联合委员会（ISO/IEC JTC1）下属安全技术分委员会，成立于1990年，其工作范围涵盖信息和ICT（信息与通信技术）保护的标准开发，包括安全与隐私保护方面的方法、技术和指南。目前下设五个工作组，分别为信息安全管理体系工作组（WG1）、密码技术与安全机制工作组（WG2）、安全评价、测试和规范工作组（WG3）、安全控制与服务工作组（WG4）和身份管理与隐私保护技术工作组（WG5）。

各工作组负责各自工作范围内的多项标准开发，并根据需要设立相应的研究项目。

ISO/IEC 29100:2011 《信息技术 安全技术 隐私保护框架》

ISO/IEC 29191:2012 《信息技术 安全技术 部分匿名、部分不可链接鉴别要求》

ISO/IEC 29101:2013 《信息技术 安全技术 隐私保护体系结构框架》

ISO/IEC 27018:2014 《信息技术 安全技术 可识别个人信息（PII）处理者在公有云中保护PII的实践指南》

ISO/IEC 29190:2015《信息技术 安全技术 隐私保护能力评估模型》

ISO/IEC 29184《在线隐私通知和准许指南》

ISO/IEC 27550《隐私保护工程》

ISO/IEC 27551《对ISO/IEC 27001在隐私保护管理方面的增强要求》

大数据安全以数据为中心，重点考虑数据生命周期各阶段中的数据安全问题。大数据应用中包含海量数据，存在对海量数据的安全管理，因此，在分析大数据安全相关标准时，需要对传统数据采集、组织、存储、处理等安全相关标准进行适用性分析。

此外，在大数据场景下，个人信息安全问题备受关注。由于大数据场景下的多源数据关联分析可能导致传统的个人信息保护技术失效，因此，大数据场景下更需要考虑个人信息安全问题，必须对现有个人信息保护技术和标准进行适用性分析。

文章参考自：《大数据安全标准化白皮书 2017》

图：主题配图

我们正式推出了大数据安全专题，专题将从政策、法规、策略、标准、技术、产品、解决方案、最佳实践、实践心得、思考思索等不同角度总结、分享整理给大家。帮助大家在大数据安全领域能有一个多方位立体化的了解和认知，无论是用于方案编写、安全研究、学术研究、技术交流还是内容编写和内容运营，或多或少都能给您带来一些帮助。