◆周 濱

（貴州大學(xué)管理學(xué)院 貴州 550025）

關(guān)于設(shè)計(jì)并制定大數(shù)據(jù)產(chǎn)業(yè)數(shù)據(jù)安全規(guī)范的思路與建議

◆周 濱

（貴州大學(xué)管理學(xué)院 貴州 550025）

為推動(dòng)和促進(jìn)貴州省大數(shù)據(jù)運(yùn)用的健康發(fā)展，保障大數(shù)據(jù)運(yùn)用產(chǎn)業(yè)有效可靠運(yùn)行，提高大數(shù)據(jù)服務(wù)及應(yīng)用的安全管理能力和安全意識(shí)，根據(jù)國(guó)家及貴州省相關(guān)法律、法規(guī)及其對(duì)數(shù)據(jù)安全保護(hù)的規(guī)定和要求，結(jié)合貴州省的實(shí)際，探索和思考對(duì)有關(guān)大數(shù)據(jù)安全規(guī)范的設(shè)定。

大數(shù)據(jù)；產(chǎn)業(yè)；安全；規(guī)范

0 前言

在全球大數(shù)據(jù)產(chǎn)業(yè)迅速發(fā)展的今天，大數(shù)據(jù)已成為大產(chǎn)業(yè)、大機(jī)遇、大變革、大紅利，數(shù)據(jù)信息正成為人們關(guān)注的新熱點(diǎn)，產(chǎn)業(yè)發(fā)展的新方向。到2015年，大數(shù)據(jù)被提高到了國(guó)家戰(zhàn)略層面，從國(guó)家層面制定了大數(shù)據(jù)發(fā)展規(guī)劃，推動(dòng)全國(guó)開展大數(shù)據(jù)標(biāo)準(zhǔn)化研究以及大數(shù)據(jù)資源的建設(shè)，而對(duì)于做大數(shù)據(jù)先行者的貴州，目前已獲得國(guó)家工信部批準(zhǔn)創(chuàng)建貴陽(yáng)·貴安大數(shù)據(jù)產(chǎn)業(yè)發(fā)展集聚區(qū)，科技部同意并支持貴州省開展“貴陽(yáng)大數(shù)據(jù)產(chǎn)業(yè)技術(shù)創(chuàng)新試驗(yàn)區(qū)”建設(shè)試點(diǎn)。貴州省政府根據(jù)大數(shù)據(jù)時(shí)代的發(fā)展需求，出臺(tái)了《貴州省大數(shù)據(jù)產(chǎn)業(yè)發(fā)展應(yīng)用規(guī)劃綱要（2014—2020年）》、《關(guān)于加快推進(jìn)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的若干意見》等發(fā)展大數(shù)據(jù)產(chǎn)業(yè)的政策措施，以支持貴州省大數(shù)據(jù)產(chǎn)業(yè)的發(fā)展。及時(shí)制定政府部門信息采集與管控、敏感數(shù)據(jù)管理、數(shù)據(jù)交換標(biāo)準(zhǔn)和規(guī)則、個(gè)人隱私數(shù)據(jù)保護(hù)”規(guī)范的地方性法規(guī)和政府規(guī)章，具有十分重要的戰(zhàn)略意義和現(xiàn)實(shí)意義。

從大數(shù)據(jù)產(chǎn)業(yè)全球發(fā)展趨勢(shì)來(lái)看，歐美等國(guó)從數(shù)據(jù)、應(yīng)用、技術(shù)三方面推進(jìn)大數(shù)據(jù)發(fā)展，但大數(shù)據(jù)在全球發(fā)展還處于初級(jí)階段，技術(shù)、制度、資源都是大數(shù)據(jù)發(fā)展面臨的主要問(wèn)題。我國(guó)在數(shù)據(jù)采集交換與管理、敏感與個(gè)人隱私數(shù)據(jù)保護(hù)等方面由于數(shù)據(jù)濫用、非規(guī)范的采集、非規(guī)范的數(shù)據(jù)交換、非規(guī)范的科學(xué)安全管理，導(dǎo)致數(shù)據(jù)中的信息被未授權(quán)用戶獲取，嚴(yán)重影響我國(guó)大數(shù)據(jù)產(chǎn)業(yè)發(fā)展和信息安全，因此，加快制定符合各地大數(shù)據(jù)發(fā)展的“政府部門信息采集與管控、敏感數(shù)據(jù)管理、數(shù)據(jù)交換標(biāo)準(zhǔn)和規(guī)則、個(gè)人隱私數(shù)據(jù)保護(hù)”規(guī)范的地方性法規(guī)和政府規(guī)章已迫在眉睫。

通過(guò)制定本規(guī)范，可達(dá)到以下目的：一是確保數(shù)據(jù)在采集過(guò)程中數(shù)據(jù)的原始性、真實(shí)性和規(guī)范性；二是確保數(shù)據(jù)在處理與交換過(guò)程中數(shù)據(jù)的完整性、保密性、可用性、可控性和不可抵賴性；三是確保敏感與隱私數(shù)據(jù)的安全管理與保護(hù)。所以，制定本規(guī)范不僅符合大數(shù)據(jù)時(shí)代健康發(fā)展的需要，也符合于國(guó)家戰(zhàn)略發(fā)展的需要，具有十分重要的戰(zhàn)略意義和現(xiàn)實(shí)意義。

1 規(guī)范制定依據(jù)、內(nèi)容

1.1 規(guī)范制定依據(jù)

本規(guī)范制定將依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》（國(guó)發(fā)[2015]50號(hào)）、《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》（國(guó)發(fā)〔2012〕23號(hào)）、《中華人民共和國(guó)保守國(guó)家秘密法》、《貴州省人民政府辦公廳印發(fā)關(guān)于政府信息系統(tǒng)安全檢查辦法貫徹實(shí)施意見的通知》（黔府辦發(fā)〔2009〕54號(hào)）和《貴州省信息化條例》等從國(guó)家到貴州省在網(wǎng)絡(luò)安全與信息技術(shù)、信息保密、大數(shù)據(jù)發(fā)展等方面的法律法規(guī)、相關(guān)政策文件、國(guó)際標(biāo)準(zhǔn)及國(guó)家標(biāo)準(zhǔn)。

1.2 規(guī)范涵蓋的主要內(nèi)容

本規(guī)范涵蓋了信息數(shù)據(jù)產(chǎn)生、處理到銷毀全生命周期，由五個(gè)方面的規(guī)范要求與五個(gè)方面的管理要求組成。

（1）數(shù)據(jù)采集安全規(guī)范要求：主要內(nèi)容包括數(shù)據(jù)采集申請(qǐng)與審批要求、數(shù)據(jù)采集環(huán)境規(guī)范（包括現(xiàn)場(chǎng)采集規(guī)范和網(wǎng)絡(luò)采集規(guī)范）基本要求、數(shù)據(jù)采集設(shè)備基本要求、數(shù)據(jù)采集人員規(guī)范基本要求、數(shù)據(jù)存儲(chǔ)及安全管理規(guī)范基本要求等內(nèi)容。

（2）數(shù)據(jù)安全使用規(guī)范要求：主要內(nèi)容包括數(shù)據(jù)使用申請(qǐng)與審批規(guī)范、原始數(shù)據(jù)與數(shù)據(jù)拷貝基本要求、數(shù)據(jù)拷貝人員基本要求、數(shù)據(jù)拷貝安全管理規(guī)范基本要求、拷貝數(shù)據(jù)回歸分析安全管理規(guī)范基本要求等內(nèi)容。

（3）組織間、行業(yè)間數(shù)據(jù)安全傳輸與管理規(guī)范要求：主要內(nèi)容包括數(shù)據(jù)傳輸組織與行業(yè)的可信基本要求、數(shù)據(jù)傳輸?shù)耐暾院捅Ｃ苄曰疽?、接收?shù)據(jù)的完整性和一致性校驗(yàn)基本要求、接收數(shù)據(jù)的安全管理規(guī)范基本要求等內(nèi)容。

（4）數(shù)據(jù)處理規(guī)范要求：主要內(nèi)容包括數(shù)據(jù)處理操作規(guī)范基本要求、數(shù)據(jù)處理系統(tǒng)軟硬件基本要求、數(shù)據(jù)處理環(huán)境基本要求、數(shù)據(jù)分析存儲(chǔ)規(guī)范基本要求、數(shù)據(jù)分析結(jié)果安全管理基本要求等內(nèi)容。

（5）敏感數(shù)據(jù)與個(gè)人隱私信息保護(hù)規(guī)范要求：主要內(nèi)容包括：大數(shù)據(jù)或數(shù)據(jù)中，數(shù)據(jù)安全歸類分類的基本要求、個(gè)人隱私信息的界定及其分類、安全管理人員的安全內(nèi)容與基本要求、存儲(chǔ)環(huán)境與備份安全管理規(guī)范與基本要求等內(nèi)容。

（6）個(gè)人信息采集管理要求：強(qiáng)調(diào)對(duì)個(gè)人信息采集安全的若干規(guī)定與要求。

（7）政府部門信息采集管理要求：①業(yè)務(wù)數(shù)據(jù)；②內(nèi)部數(shù)據(jù)；③組織人事數(shù)據(jù)；④財(cái)務(wù)數(shù)據(jù)；⑤個(gè)人信息等非社會(huì)共享數(shù)據(jù)的安全管理要求，主要強(qiáng)調(diào)數(shù)據(jù)的安全管理。

（8）大數(shù)據(jù)基礎(chǔ)設(shè)施安全等級(jí)保護(hù)要求：將按照GB17859《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、GB/T22239《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、GB50174《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》和GB/T21052《信息安全技術(shù)——信息系統(tǒng)物理安全技術(shù)》、《2016年貴州省大數(shù)據(jù)發(fā)展應(yīng)用促進(jìn)條例》的要求對(duì)大數(shù)據(jù)系統(tǒng)基礎(chǔ)設(shè)施，必須實(shí)行分級(jí)、分域?qū)嵤┌踩燃?jí)備案、評(píng)審和保護(hù)，對(duì)已建的大數(shù)據(jù)系統(tǒng)的基礎(chǔ)設(shè)施，每年必須進(jìn)行一次符合性檢查（等級(jí)保護(hù)檢查），以審核其保護(hù)措施的落實(shí)；對(duì)未達(dá)到等級(jí)保護(hù)要求的組織和部門，必須進(jìn)行整改；對(duì)兩年達(dá)不到要求的組織和部門，不僅在全省予以通報(bào)，若發(fā)生安全事件，根據(jù)《2016年貴州省大數(shù)據(jù)發(fā)展應(yīng)用促進(jìn)條例》第五章相關(guān)條款追究相關(guān)責(zé)任。

（9）第三方安全測(cè)評(píng)機(jī)構(gòu)管理要求：加速培育行業(yè)組織，大力發(fā)展本地第三方安全測(cè)評(píng)機(jī)構(gòu)專業(yè)服務(wù)。主要從政府加大政策引導(dǎo)和財(cái)政資金支持力度層面加速推進(jìn)本地第三方安全測(cè)評(píng)機(jī)構(gòu)的發(fā)展壯大，健全對(duì)第三方安全測(cè)評(píng)機(jī)構(gòu)的監(jiān)管，明確第三方安全測(cè)評(píng)機(jī)構(gòu)在大數(shù)據(jù)產(chǎn)業(yè)發(fā)展的定位，發(fā)揮第三方安全測(cè)評(píng)機(jī)構(gòu)的作用，為大數(shù)據(jù)產(chǎn)業(yè)安全保護(hù)提供專業(yè)化服務(wù)。

（10）數(shù)據(jù)安全管理從業(yè)人員管理要求：主要從事數(shù)據(jù)管理人員的從業(yè)資格、職業(yè)道德、技能、任期職責(zé)、解聘約束等方面的管理規(guī)定。

（11）政府部門網(wǎng)絡(luò)與信息安全管理要求：主要從政府部門信息的安全管理、運(yùn)行安全管理、安全事件管理等方面進(jìn)行相關(guān)規(guī)定與要求，強(qiáng)調(diào)信息系統(tǒng)等級(jí)保護(hù)、信息的安全風(fēng)險(xiǎn)檢查評(píng)估、應(yīng)用系統(tǒng)二次開發(fā)安全評(píng)估、信息安全應(yīng)急事件響應(yīng)演練、數(shù)據(jù)備份恢復(fù)評(píng)估等方面進(jìn)行規(guī)定與要求。

（12）大數(shù)據(jù)分層分域安全管理與要求：針對(duì)目前行業(yè)數(shù)據(jù)的分散性、企業(yè)數(shù)據(jù)的商業(yè)機(jī)密性和數(shù)據(jù)分析與預(yù)測(cè)關(guān)聯(lián)性的關(guān)系，依據(jù)誰(shuí)擁有數(shù)據(jù)，誰(shuí)負(fù)責(zé)的指導(dǎo)思想，對(duì)數(shù)據(jù)如何實(shí)施分層、分域安全管理進(jìn)行規(guī)定與要求。

2 規(guī)范需解決的問(wèn)題

通過(guò)制定大數(shù)據(jù)的數(shù)據(jù)交換的標(biāo)準(zhǔn)與規(guī)則并實(shí)施，將有效解決大數(shù)據(jù)發(fā)展在四個(gè)方面的問(wèn)題。

（1）面向政府部門信息的安全采集與管控得以保證。對(duì)信息采集的數(shù)據(jù)、設(shè)備、人員、渠道、管理控制體系有規(guī)范與管理辦法可依照和遵循。

（2）保證政府部門的敏感數(shù)據(jù)安全管理得以實(shí)現(xiàn)，實(shí)現(xiàn)對(duì)政府部門的敏感數(shù)據(jù)進(jìn)行定義與分級(jí)，對(duì)不同級(jí)別的敏感數(shù)據(jù)提出不同規(guī)范與管理要求。

（3）保證數(shù)據(jù)處理與交換的安全，支撐大數(shù)據(jù)業(yè)務(wù)的發(fā)展。

（4）保證個(gè)人隱私數(shù)據(jù)的保密性與可控性并得以嚴(yán)密的保護(hù)，明確個(gè)人隱私數(shù)據(jù)所有權(quán)，保障個(gè)人隱私數(shù)據(jù)的安全存儲(chǔ)與傳輸，保障用戶對(duì)個(gè)人隱私數(shù)據(jù)的使用有知情權(quán)與選擇權(quán)。

3 對(duì)大數(shù)據(jù)發(fā)展的貢獻(xiàn)

為保障大數(shù)據(jù)產(chǎn)業(yè)健康平穩(wěn)運(yùn)行，應(yīng)加快制定大數(shù)據(jù)產(chǎn)業(yè)的立法，通過(guò)制定相關(guān)規(guī)范并落實(shí)相關(guān)規(guī)定與要求，可有效對(duì)各級(jí)政府部門信息采集與處理安全管理與控制，對(duì)單位內(nèi)敏感數(shù)據(jù)進(jìn)行分級(jí)管理與保護(hù)，保證數(shù)據(jù)交換的安全，有效保護(hù)個(gè)人隱私數(shù)據(jù)，不僅有利于促進(jìn)貴州省大數(shù)據(jù)產(chǎn)業(yè)的健康發(fā)展，以大數(shù)據(jù)引領(lǐng)和支撐大數(shù)據(jù)產(chǎn)業(yè)發(fā)展戰(zhàn)略，更有利于推動(dòng)國(guó)內(nèi)一流大數(shù)據(jù)產(chǎn)基地及科技密集型的新一代信息技術(shù)產(chǎn)業(yè)集聚區(qū)發(fā)展和經(jīng)濟(jì)社會(huì)跨越發(fā)展。

設(shè)計(jì)和制定的規(guī)范必須適用于貴州省內(nèi)大數(shù)據(jù)系統(tǒng)，包括省、地州以及縣級(jí)組織的數(shù)據(jù)集中管理系統(tǒng)，以及發(fā)展、應(yīng)用大數(shù)據(jù)（或數(shù)據(jù)）的一切相關(guān)組織。整個(gè)規(guī)范覆蓋了應(yīng)用計(jì)算機(jī)分析處理、訪問(wèn)、存儲(chǔ)、發(fā)布的軟硬件系統(tǒng)、物理環(huán)境系統(tǒng)和應(yīng)用管理系統(tǒng)的基礎(chǔ)設(shè)施（包括前端數(shù)據(jù)采集，控制處理、分析、存儲(chǔ)，訪問(wèn)及其展現(xiàn)的系統(tǒng)）和系統(tǒng)所存在的數(shù)據(jù)。規(guī)范對(duì)應(yīng)用大數(shù)據(jù)系統(tǒng)及其大數(shù)據(jù)基礎(chǔ)設(shè)施的組織，要求必須建立相應(yīng)的安全等級(jí)保護(hù)，并建立相應(yīng)的安全組織機(jī)構(gòu)。

[1]王佳昕.營(yíng)建安全規(guī)范的數(shù)據(jù)中心.2012電力行業(yè)信息化年會(huì)論文集[C].中國(guó)電機(jī)工程學(xué)會(huì).北京，2012.

[2]張茂月.大數(shù)據(jù)時(shí)代個(gè)人信息數(shù)據(jù)安全的新威脅及其保護(hù)[J].中國(guó)科技論壇，2015.