大数据安全标准

2020年6月30日   |   by jones

数据安全标准

基础标准
序号 标准类型 标准编号 标准名称
1 国际标准 ISO/IEC 9579:2000 信息技术| 具有安全增强的 SQL 远程数据库访问
2 国家标准 GB/T 18391—2009 信息技术 元数据注册系统(MDR)
3 国家标准 GB/T 17859—1999 计算机信息系统 安全保护等级划分准则
4 国家标准 GB/T 22239—2008 信息安全技术 信息系统安全等级保护基本要求
5 国家标准 GB/T 31503—2015 信息安全技术 电子文档加密与签名消息语法
6 国家标准 GB/T 32918—2016 信息安全技术 SM2 椭圆曲线公钥密码算法
7 国家标准 GB/T 32905—2016 信息安全技术 SM3 密码杂凑算法
8 国家标准 GB/T 32907—2016 信息安全技术 SM4 分组密码算法
数据收集阶段
9 国家标准 GB/T 14258—2003 信息技术 自动识别与数据采集技术条码符号印制质量的检验
10 国家标准 GB/T 28788—2012 公路地理信息数据采集与质量控制
11 国家标准 GB/T 26237—2010 信息技术 生物特征识别数据交换格式
12 国家标准 GB/T 27912—2011 金融服务 生物特征识别 安全框架
数据存储阶段
13 国家标准 GB/T 20273—2006 信息安全技术 数据库管理系统安全技术要求
14 国家标准 GB/T 20009—2005 信息安全技术 数据库管理系统安全评估准则
15 通信行标 YD/T 2390—2011 通信存储介质(SSD)加密安全技术要求
16 通信行标 YD/T 2665—2013 通信存储介质(SSD)加密安全测试方法
数据传输阶段
17 国家标准 GB/T 17963—2000 信息技术 开放系统互连 网络层安全协议
18 国家标准 GB/T 28456—2012 IPSec 协议应用测试规范
19 国家标准 GB/T 28457—2012 SSL 协议应用测试规范
20 电子行标 SJ 20951—2005 通用数据加密模块接口要求
21 通信行标 YD/T 1466—2006 IP 安全协议(IPSec)技术要求
22 通信行标 YD/T 1467—2006 IP 安全协议(IPSec)测试方法
23 通信行标 YD/T 1468—2006 IP 安 全 协 议 (IPSec ) 穿 越 网 络 地 址 翻 译(NAT)技术要求
24 通信行标 YD/T 2908—2015 基于域名系统(DNS)的 IP安全协议(IPSec)认证密钥存储技术要求
25 国家标准/国际标准 GB/T 18794—2002(ISO 10181:1996,IDT) 信息技术 开放系统互连 开放系统安全框架
数据使用阶段
26 国家标准 GB/T 32908—2016 非结构化数据访问接口规范
27 国家标准 GB/T 25000.12—2017 系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第 12 部分:数据质量模型
28 国家标准 GB/T 31594—2015 社会保险核心业务数据质量规范
29 国家标准 GB/T18784—2002 CAD-CAM 数据质量
30 国家标准 GB/T 28441—2012 车载导航电子地图数据质量规范
数据共享阶段
31 国家标准 GB/T 7408—2005 数据元和交换格式 信息交换 日期和时间表示法
32 国家标准 GB/T 21062—2007 政务信息资源交换体系
数据销毁阶段
33 公安行标 GA/T 1143—2014 信息安全技术 数据销毁软件产品安全技术要求
- - - -

想法

行业安全认证应用标准

个人信息安全相关国际标准

序号 标准类型 标准编号 标准名称
1. 国际标准 ISO/IEC 29100:2011 信息技术 安全技术 隐私保护框架
2. 国际标准 ISO/IEC 29101:2013 信息技术 安全技术 隐私保护体系结构框架
3. 国际标准 ISO/IEC 29190:2015 信息技术 安全技术 隐私保护能力评估模型
4. 国际标准 ISO/IEC 29191:2012 信息技术 安全技术 部分匿名、部分不可链接鉴别要求
5. 国际标准 ISO/IEC 27018:2014 信息技术 安全技术 可识别个人信息(PII)处理者在公有云中保护 PII 的实践指南
6. 国际标准 ISO/IEC 29134 信息技术 安全技术 隐私影响评估指南
7. 国际标准 ISO/IEC 29151 信息技术 安全技术 可识别个人信息(PII)保护实践指南
8. 国际标准 ISO/IEC 27550 信息技术 安全技术 隐私保护工程
9. 国际标准 ISO/IEC 27551 对 ISO/IEC 27001 在隐私保护管理方面的增强要求
10. 国际标准 ISO/IEC 29184 信息技术 安全技术 在线隐私通知和准许指南
11. 英国标准 BS 10012:2009 数据保护 个人信息管理系统规范

想法

单位隐私信息

ISO/IEC 20547-4《信息技术大数据参考架构 第 4 部分:安全与隐私保护》

编制思路上 ISO/IEC 20547-4 参考 ISO/IEC 17789:2014《云计算 参考架构》的视角方法来描述安全和隐私保护的参考架构。

ISO/IEC 17789:2014《云计算 参考架构》包含用户视角、 功能视角、实现视角和部署视角。
- 用户视角描述系统语境、相关方、角色 / 子角色及其活动;
- 功能视角描述支持活动的必要功能;实现视角描述所需功能的实现方式;部署视角描述所实 现功能的部署方式。

ISO/IEC 20547-4 作为参考 架构标准,仅考虑高层视角,即用户视角和功 能视角。《大数据安全实现指南》研究项目则 对大数据安全从实现视角和部署视角进行讨论。

ISO/IEC 20547-4 将用户视角中的大数据安全与隐私保护角色和子角色分为专职和相关两种。
- 专职角色和子角色专门从事大数据安全与 隐私保护的活动;
- 相关角色和子角色在履行其固有职责的同时,还负有大数据安全与隐私保 护的责任并从事相关活动。

ISO/IEC 20547-4 继 承了 ISO/IEC 20547-3 给出的大数据应用提供者、大数据框架提供者、大数据服务伙伴、数据提 供者和大数据消费者五大角色,作为大数据安 全与隐私保护的相关角色。
另外,鉴于 ISO/IEC 20547-3 将安全与隐私保护作为大数据参考架构中的横跨方面,ISO/IEC 20547-4 在大数据五大角色之下设计大数据安全与隐私保护的规划者、管理者、实施者、运行者和审核者五个子角色,并赋予其相关职责和活动。

ISO/IEC 20547-4 继承 ISO/IEC 20547-3 给出的功能分层,将安全与隐私保护功能作为多层功能,并设计相应的功能模块 / 子模块包括:
- 策略与规程、
- 数据与系统资产、
- 组织和人员管理、
- 服务规划与管理、
- 数据供应链管理、
- 合规性管理、
- 数据服务安全等。

ISO/IEC 27045《大数据安全与隐私保护过程》

ISO/IEC 27045聚焦于大数据安全与隐私保护的过程架构以及安全过程的定义。

安全过程包括一系列过程能力的基本实践、过程目标、 结果、活动和任务。

ISO/IEC 27045 包括四个部分,分别是:
- 大数据安全与隐私保护过程的概念和术语;
- 大数据安全与隐私保护过程参考模型;
- 大数据安全与隐私保护过程评估模型;
- 大数据安全与隐私保护过程成熟度模型。

《大数据安全实现指南》

该研究项目从实现视角和部署视角对 ISO/IEC 20547-4 进行配套,使现有国际标准体系更 加完善及具备可实操性。从实现视角和部署视 角考虑,研究项目指出大数据主要的安全风险 包括:

  • 基础设施风险。例如,设备安全,物理环 境安全等安全风险;
  • 数据采集风险。例如,采 集环境,采集行为,采集传输,采集设备管理 等安全风险;
  • 数据存储风险。例如,存储环境, 越权访问,中间人攻击,数据灾备等安全风险;
  • 数据处理安全风险。例如,认证机制,数据安全, 软件安全等安全风险;
  • 平台管理安全风险。例如, 日志审计,数据管理,配置管理等安全风险。

针对以上的大数据安全风险,从基本执行框架和能力支撑测评两个维度构建大数据安全保障体系。
- 基本执行框架包括安全策略体系、 安全管理体系、安全运营体系和安全技术体系。 其中:
-- 安全策略体系描述大数据安全管理方面的总体方针,是体系建设的基本依据;
-- 安全管理体系描述大数据内部管理、第三方合作管理、 数据分类分级等方面的安全要求和实施指南;
-- 安全运营体系提出数据安全运营和业务安全运 营过程中的要求和实施指南;安全技术体系描 述对大数据平台系统的安全防护要求、基线配 置要求及实施指南。
- 能力支撑测评包含安全评测体系和服务支撑体系。
-- 安全评测体系描述开 展大数据安全管理与技术评测的方法、流程、 指南 ;
-- 服务支撑体系描述大数据在安全领域的应用,特别是在数据防泄漏、安全态势感知、 不良信息治理方面的应用方法。

《数据安全》项目

《数据安全》项目的主要目标包括 4 个方面, 分别是:

  • 1)说明数据安全的概念,同时理清数据 安 全 (Data Security), 信 息 安 全 (Information Security), 数 据 保 护 (Data Protection), 大 数 据 安 全 (Big Data Security), 隐 私 保 护 (Privacy Protection) 等概念之间的关系;

  • 2)收集数据安全的相关风险和标准化需求, 说明 SC 27 已有的标准工作在数据安全方面存在 的不足;

  • 3)在可能的范围内,调研不同标准化组织 在数据安全方面相关的标准情况,包括 WG9, ISO/IEC JTC1/SC32, ISO/IEC JTC1/SC38, ITU-T SG17 等;

  • 4)提出 SC 27 范围内数据安全工作的路线 图,同时对 SC 27 在数据安全方面的工作给出 建议。

我国数据安全标准化情况

截至2019年12月,已有四项数据安全国家标准正式发布。

1.GB/T 35274-2017《信息安全技术 大数据服务安全能力要求》

针对我国大数据产品发展需求和大数据服务面临的安全问题,结合国内主要互联网企业和测评机构在大数据服务安全方面的实践基础,提出了有组织、有数据和有大数据系统的大数据服务提供商的大数据服务安全能力要求。落实了《网络安全法》中关于大数据安全保护的相关要求,为其落地实施提供了标准化支撑。

本标准于2017年发布,主要用于对大数据服务提供者的安全能力进行规范,同时也为我国大数据安全审查和评估工作提供参考。

2.GB/T 37932-2019《信息安全技术 数据交易服务安全要求》

提出了数据交易服务的参考框架和安全原则。

  • 将交易参与方分为:数据供方、数据需方及数据交易服务机构,规定了各交易参与方的安全要求;
  • 从禁止交易数据、数据质量要求、个人信息安全保护及重要数据安全保护四个方面提出了交易对象的安全要求;
  • 将交易过程定义为交易申请、交易磋商、交易实施、交易结束四个阶段,并规定了数据交易过程各阶段的安全要求。

本标准于2019年发布,适用于数据交易服务机构进行安全自评估,也可供第三方测评机构对数据交易服务机构进行安全评估时参考。

3.GB/T 37973-2019 《信息安全技术 大数据安全管理指南》

  • 首先提出了大数据安全管理基本概念,

    明确了大数据安全管理的基本原则(包括职责明确、合规、质量保障、数据最小化、责任不随数据转移、最小授权、确保安全和可审计,这些原则是组织实施大数据安全管理的基本原则),
    提出了大数据安全需求(包括保密性、完整性、可用性及其他需求);

  • 其次介绍了数据分类分级的原则、流程及方法,

    从组织开展大数据安全管理活动的角度定义了数据采集、数据存储、数据处理、数据分发、数据删除等活动,描述了每个活动的基本概念以及常见的子活动,并针对每个子活动提出了安全要求;

  • 最后给出了指导组织评估大数据安全风险的方法。

本标准于2019年发布,用于指导拥有处理大数据的政府部门、企事业单位、非盈利机构等组织做好大数据的安全管理、风险评估等工作,安全应用大数据,采用有效技术和管理措施保障数据安全。

4.GB/T 37988-2019 《信息安全技术 数据安全能力成熟度模型》

给出了组织机构数据安全能力的成熟度模型架构。该模型分为数据安全过程、安全能力及能力成熟度等级三个维度

重点强调对组织机构的数据安全能力成熟度的评判。
模型侧重以数据为中心,在数据安全过程维度,将数据生命周期分为数据采集、数据传输、数据处理、数据交换、数据销毁六个阶段,每个阶段划分为若干个不同的安全过程域。
同时,与各阶段都相关的过程以通用安全过程域表示。对于每一个过程域,从安全能力维度(即组织建设、制度流程、技术工具、人员能力)分别提出各成熟度等级要求,同时给出了组织数据安全能力成熟度等级的评估方法。

本标准于2019年发布,适用于对组织机构数据安全能力进行评估,也可供组织机构开展数据安全能力建设时参考。

5.《信息安全技术 政务信息共享 数据安全技术要求》(在研)

提出了政务信息共享数据安全框架,该框架由数据安全技术要求和基础设施安全技术要求两部分组成。

  • 数据安全技术要求体系涵盖共享数据准备、共享数据交换和共享数据使用三个阶段中各功能集合所需的安全技术要求;
  • 基础设施安全技术要求明确了政务信息共享交换业务的基础网络环境、云平台、运行设备和开放网站等方面的安全防护要求,为政务信息共享交换业务提供基础安全保障支撑。

本标准已推进到报批稿阶段,适用于指导各级政务信息共享交换平台数据安全体系建设,规范各级政务部门使用政务信息共享交换平台交换非涉及国家秘密政务信息共享数据时的数据安全保障工作。

6.《信息安全技术 健康医疗数据安全指南》(在研)

首先给出了健康医疗信息安全的框架,明确了安全目标及使用披露原则,以及实现前述安全目标应的实施方法;其次给出了保障健康医疗信息安全可使用的基本控制措施集,可供健康医疗信息控制者选择使用;再次从不同用户出于不同目的,在不同环境下使用不同数据的角度区分了数据使用场景,并明确控制者需要根据场景选择相应的保障措施以保障个人健康医疗信息的安全;最后描述了八个典型场景及相应场景下涉及的相关方、数据,并给出了相应的重点安全措施。

本标准已推进到报批稿阶段,适用于指导健康医疗信息控制者对健康医疗信息进行安全保护,也可供健康医疗、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗信息的安全监督管理与评估等工作时参考。

7.《信息安全技术 数据出境安全评估指南》(在研)

定义了个人信息和重要数据出境安全评估的流程、要点和方法。提出了数据出境目的应满足合法性、正当性和必要性的要求,出境安全风险应从出境的数据内容(个人信息或重要数据)的特点,数据发送方、接接收方的安全保护能力,及数据接收方所在国家或区域的政治法律环境等方面综合分析。

本标准已推进到报批稿阶段,适用于网络运营者开展个人信息和重要数据出境安全自评估,以及国家网信部门、行业主管部门组织开展个人信息和重要数据出境安全评估。

8.《信息安全技术 电信领域大数据安全防护实现指南》(在研)

  • 提出了电信领域大数据安全实现参考框架,提出了电信领域大数据平台系统安全防护方法,涵盖大数据相关平台系统安全规划、建设、运行及系统软件安全配置与加固方法;
  • 提出了电信领域大数据全生命周期安全实现方法,涵盖大数据采集、传输、存储、使用、共享、销毁等管控措施。

主要应用于电信领域大数据安全产品设计、研发,平台系统采购、建设与运维,大数据安全评估检测等场景。

本标准目前处于草案阶段,可为大数据平台系统的规划、建设、运维,数据全生命周期运营的安全防护提供参考,为大数据平台建设、业务运营服务商提供参照,为各电信企业,大数据安全产品供应商,安全评估服务机构,相关监管机构提供指导。

9.《信息安全技术 数据安全管理认证规范》(在研)

以个人信息(含个人敏感信息)、重要数据和组织运营(业务)数据为数据保护目标,
- 首先提出网络运营者为保障数据安全应采取的管理措施及安全管理要求;
- 其次提出了网络运营者在数据各生命周期涉及的活动中,应采取的管理手段和安全控制措施,涵盖了数据收集、数据传输、数据保存、数据处置、数据使用、数据共享、转让、发布和委托处理、数据出境、第三方服务接入等活动;
- 最后为行业应用本标准提供了参考描述模型及相关示例。

本标准目前处于草案阶段,为数据安全管理认证提供依据,同时也可为网络运营者提高自身数据安全保障水平,建立数据安全管理体系提供指引,也可作为数据安全监管机构对网络运营者进行监管时参考使用。

点击数:14

Recent Comments

  1. jones

    2020年7月2日 @ 下午3:07

    NIST SP 1500-4《第4册 安全和隐私保护》

    执行摘要十一

    1引言1个

    1.1背景1

    1.2安全和隐私分组的范围和目标2

    1.3报告制作3

    1.4报告结构3

    1.5在此体积上的未来工作.3

    2大数据安全性和私密性。 5

    2.1概述.

    2.2大数据特征对安全性和私密性的影响

    2.2.1品种

    2.2.2容量

    2.2.3速度

    2.2.4准确性

    2.2.5波动率

    2.3与云的关系.

    3安全和隐私使用案例示例

    3.1零售/市场

    3.1.1消费者数字媒体使用.

    3.1.2 Nielsen Homescan:Project Apollo .

    3.1.3 Web流量分析.

    3.2保健

    3.2.1健康信息交流

    3.2.2基因隐私

    3.2.3药物临床试验数据共享

    3.3网络安全

    3.3.1网络保护

    3.4政府

    3.4.1无人机传感器数据

    3.4.2教育:通用核心学生成绩报告。

    3.5工业:航空.

    3.5.1传感器数据存储和分析

    3.6运输.

    3.6.1货运

    4安全和隐私主题分类法.

    4.1安全和隐私主题的概念分类法

    4.1.1数据保密

    4.1.2出处

    4.1.3系统运行状况

    4.1.4公共政策,社会和跨组织主题.

    4.2安全和隐私主题的操作分类法.

    4.2.1设备和应用程序注册

    4.2.2身份和访问管理

    4.2.3数据治理.

    4.2.4基础设施管理

    4.2.5风险与责任
    4.3与安全和隐私主题相关的角色。

    4.3.1基础架构管理

    4.3.2治理,风险管理和合规性。

    4.3.3信息工作者。

    4.4角色与安全和隐私概念分类的关系。

    4.4.1数据机密性。

    4.4.2种源

    4.4.3系统健康管理

    4.4.4公共政策,社会和跨组织主题

    4.5其他分类法主题

    4.5.1设置,计量和计费

    4.5.2数据联合31

    5安全和隐私面料

    5.1 NBDRA中的安全性和私密性面料

    5.2隐私工程原则。

    5.3大数据安全操作分类法与NBDRA的关系

    6映射到NBDRA的使用案例。

    6.1消费者数字媒体使用

    6.2 NIELSEN HOMESCAN:项目APOLLO。

    6.3网络流量分析

    6.4健康信息交换。

    6.5遗传隐私

    6.6药物临床试验数据共享。

    6.7网络保护

    6.8不需要的车辆传感器数据。

    6.9教育:普通核心学生的表现
    正在报告。

    6.10传感器数据的存储和分析。

    6.11货运

    附录A:应对大数据自适应的安全性和保密性主题。

    附录B:云生态系统中的内部安全注意事项。

    附录C:大数据的作用者和角色:对大数据场景的适应

    NBD-PWG安全和隐私小组开始了这项工作,首先确定了大数据项目中的安全和隐私可以不同于传统实现的多种方式。尽管并非所有概念都始终适用,但以下七个原则被认为代表了更大的差异:
    1.大数据项目通常包含异构组件,从一开始就没有设计单个安全方案。
    2.大多数安全和隐私方法都是为批处理或联机事务处理系统设计的。大数据项目越来越多地涉及一个或多个流数据源,这些数据源与静态数据结合使用,从而创建了独特的安全性和隐私方案。
    3.使用最初不打算一起使用的多个大数据源可能会损害隐私,安全性或同时损害两者。取消识别大数据之前令人满意的个人身份信息(PII)的方法可能不再足够,而使保护隐私的替代方法变得可行。尽管取消识别技术也可以应用于来自单一来源的数据,但无法预料的多个数据集的前景会加剧损害隐私的风险。
    4.越来越多地依赖传感器流(例如,物联网(IoT;例如,智能医疗设备,智能城市,智能家居)所预期的传感器流),可以创建漏洞,在积累到大数据规模之前更易于管理。
    5.某些认为无法进行分析的太大类型的数据,例如地理空间和视频成像,将成为大数据的商品来源。这些用途是未预料到的,并且/或者可能未实施安全和隐私措施。
    6.准确性,背景,出处和管辖权问题在大数据中得到了极大放大。多个组织,利益相关者,法人,政府和越来越多的公民将在大数据分析中找到有关自己的数据。
    7.波动性很重要,因为大数据场景设想默认情况下数据是永久性的。安全是一个快速发展的领域,具有多种攻击媒介和对策。可以在旨在保护数据的安全措施的生命周期之外保留数据。

  2. jones

    2020年7月2日 @ 下午3:20

    Variety, volume, velocity, and variability are key characteristics of Big Data

    多样性,数量,速度和可变性是大数据的关键特征

    • 多样性
      多样性描述了数据的组织-数据是结构化,半结构化还是非结构化。 将传统的关系数据库安全性重新定位到非关系数据库一直是一个挑战。8这些系统在设计时并未考虑安全性和隐私性,而这些功能通常只属于中间件。 传统的加密技术也阻碍了基于语义的数据组织。 标准加密的目的是提供语义安全性,这意味着任何值的加密与任何其他值的加密是无法区分的。因此,一旦应用了加密,则依赖于数据值本身的任何属性的数据的任何组织都将变得无效,而可能未加密的元数据的组织可能仍然有效。
      大数据变种引入的一种新兴现象已经变得相当重要,它是通过与显然无害的公共数据库相关联来从匿名数据集中推断身份的能力。虽然已经提出了解决隐私保护数据公开的几种正式模型,但实际上,在充分去除了表面上唯一的标识符并通过匿名化和聚合过程间接识别信息之后,才共享敏感数据。这是一个临时过程,通常基于经验证据,并导致许多与公开可用数据结合使用的匿名处理。尽管某些法律/法规本身仅识别标识符,但诸如HIPAA(统计学家规定),FERPA和45 CFR 46之类的法律认识到,即使不是标识符本身,属性的组合也可以导致可行的个人身份识别,可能结合外部信息。
    • 容量
      大数据量描述了要传入的数据量。按照大数据的说法,通常范围从千兆字节到EB甚至更高。结果,大数据量使得必须在多层存储介质中进行存储。数据在各层之间的移动导致对威胁模型进行分类和对新颖技术进行调查的需求。基于网络的分布式自动层系统的威胁模型包括以下主要场景:机密性和完整性,出处,可用性,一致性,合谋攻击,回滚攻击和记录保存纠纷。
      拥有大量数据的另一面是可以执行分析以帮助检测安全漏洞事件。这是大数据技术可以增强安全性的一个实例。本文档涉及大数据安全性的两个方面。

    • 速度
      速度描述了数据处理的速度。数据通常成批到达或连续流式传输。与某些其他非关系数据库一样,在开发分布式编程框架时并未考虑安全性和隐私性。14故障的计算节点可能会泄漏机密数据。由于高度的连接性和依赖性,部分基础结构攻击可能会危害系统的很大一部分。如果系统未在地理位置分散的节点之间执行强身份验证,则可以添加可以窃听机密数据的恶意节点。

    • 准确性
      大数据的准确性和有效性包含以下几个子特性:
      来源(或某些人所说的与V主题保持一致的准确性)对于数据质量以及保护安全性和维护隐私策略都非常重要。大数据经常跨个人边界转移到感兴趣的团体和社区,并跨州,国家和国际边界转移。来源解决了理解数据原始来源(例如通过元数据)的问题,尽管该问题不仅限于元数据维护。同样如前所述,关于隐私权政策,需要更多上下文来对收集的数据做出负责任的决定-这可能包括同意的形式,预期用途,时间含义(如被遗忘的权利)或更广泛的收集上下文。可以广泛地将其视为一种出处,但超出了通常在生产信息系统中收集的出处信息的范围。已经尝试了多种方法,例如糖蛋白组学,但尚无明确的指导原则。

    一种普遍的理解认为,出处数据是建立血统和产销监管链的元数据,包括校准,错误,丢失的数据(例如时间戳,位置,设备序列号,交易号和权限)。

    • 挥发性
      数据的波动性(数据管理随时间变化的方式)直接影响出处。 大数据之所以具有变革性,部分原因是系统可能会无限期地生成持久性数据,这些数据的寿命超过了收集数据的手段。 设计用于获取,处理,汇总和存储软件的软件的架构师; 以及最初确定该项目的数据使用者的赞助商。 角色本质上是时间相关的。 安全和隐私要求可能会相应变化。 随着负责任的组织合并甚至消失,治理可能会发生变化。 虽然已经对如何管理时间数据进行了研究(例如在卫星仪器数据的电子科学中),但除了简单的时间戳记之外,几乎没有其他标准可以作为指导使用。 为了管理长期存在的大数据的安全性和私密性,应考虑数据临时性。
  3. jones

    2020年7月8日 @ 上午10:58

    ISO/IEC DIS 20547-4(en)

    Information technology — Big data reference architecture — Part 4: Security and privacy

    目录:

    Foreword
    Introduction
    1 Scope
    2 Normative references
    3 Terms and definitions
    4 Symbols and abbreviated terms
    5 Overview
    5.1 Big data security and privacy concerns
    5.2 Security and privacy objectives
    6 Security and privacy aspects of BDRA user view
    6.1 Overview

    6.2 Governance activities
    6.3 Management activities
    6.4 Operation activities
    6.5 Security and privacy aspects of big data roles
    7 Guidance on security and privacy operations for big data
    7.1 General
    7.2 Guidance at organization level
    7.3 Guidance at ecosystem level
    8 Security and privacy functional components
    8.1 Overview
    8.2 Functional components for both security and privacy
    8.3 Functional components for privacy
    8.4 Multi-layer functions for security and privacy
    Annex A Example of security and privacy threat classification
    Annex B Example of security and privacy control classification
    Annex C Example of ecosystem and resulting coordination of security and privacy operations
    C.1 Mapping organizations of the ecosystem to BDRA
    C.2 Ecosystem coordination
    C.3 Coordination of security and privacy threats between marketplace and service provider
    C.4 Coordination of risks between marketplace and service provider
    C.5 Coordination of controls between marketplace and service provider
    Annex D Examples of security and privacy controls per BDRA roles
    D.1 Examples of security and privacy controls for Big Data Application Provider (BDAP)
    D.2 Examples of security and privacy controls for Big Data Provider (BDP)
    Bibliography

Leave Your Comment

关注我们的微信公众号获取更多健身信息
蜀ICP备15013372号