大数据文摘授权转载自数据派THU

编辑整理：陈龙

编辑：文婧

校对：龚力

根据2023年8月6日国家市场监督管理总局、国家标准化管理委员会发布的中华人民共和国国家标准公告（2023年第7号），全国信息技术安全标准化委员会（简称信安标委或TC260）归口的GB/T 35274-2023《信息安全技术 大数据服务安全能力要求》修订版本正式发布。本标准牵头单位是清华大学，参与单位有北京大学，中国电子技术标准化研究院等33家单位，共45人参与编制。

本文内容包括四个方面，首先简单回顾GB/T 35274-2023标准的修订背景和修订过程，重点解读标准修订内容，最后探讨标准应用思考。

基于信安标委印发的《2021年网络安全国家标准项目申报指南》，编制组在2021年4月提交了GB/T 35274-2017标准修订立项申报材料，并在2021年5月11日由信安标委大数据安全特别工作组组织的网络安全标准化会议周上对项目立项情况进行了汇报。2021年8月信安标委秘书处告知本项目成功立项，编制组按照信安标委标准制修订流程在2021年9月正式启动了本标准修订工作。

修订背景

在介绍本标准内容之前，我们先回顾下2016年GB/T 35274标准立项背景和编制组确定的编制原则与编制依据。

先回顾下2016年编制组申请大数据服务安全能力要求国家标准制定项目的背景：

为促进我国大数据产业发展，确保国家数据安全，信安标委（TC260）在2016年4月7日成立了大数据安全标准特别工作组。该工作组主要针对云计算、大数据、物联网等新型信息技术制定相关的网络安全标准。为响应2015年9月国务院印发的《促进大数据发展行动纲要》，按照大数据产业发展需标准先行原则，信安标委和全国信息技术标准化委员会（TC28）一起在大数据产业发展过程中启动了大数据和大数据安全相关国家标准的研制。

作为2016年信安标委（TC260）大数据安全标准特别工作组成立后立项的第一个大数据安全标准，GB/T35274编制组确定了以下三个方面编制原则：

1）采取自主编制，自底向上的原则。标准编制组系统梳理了阿里、腾讯、华为、蚂蚁、京东、中移动等我国大数据服务企业在数据安全，特别是大数据安全方面的最佳实践，希望通过对我国互联网信息服务厂商的最佳实践总结形成具有我国特色的大数据服务安全能力要求，一方面指导我国企业大数据服务安全能力的提升，另一方面保证本标准内容在未来实施中的可操作性；

2）在标准内容框架方面尽量与国际标准接轨的原则，例如在ISO/IEC 20547-4 ：大数据互操作框架-安全和隐私保护中，针对大数据安全，ISO/IEC 20547-4提出了概念安全的概念，将传统的保密性、完整性和可用性（简称CIA特性）修改为保密性、真实性和可用性（简称CAA特性），将安全控制措施区分为面向大数据生态系统业务运营相关的操作安全和系统技术相关的安全控制活动；

3）确保本标准内容能服务于国家网络安全审查相关工作的原则，特别是大数据安全评估、个人信息保护和重要数据出境等相关的网络安全审查工作。

最后我们回顾下2016年编制组采用的一些参考资料：由于本标准是我国第一部面向大数据安全的国家标准，因此编制组在充分分析阿里、腾讯、华为、蚂蚁、京东、中移动等我国头部大数据企业最佳实践外，还参照了以下三大类资料：

1）相关国家标准，如面向大数据服务的技术系统安全标准GB/T 31168-2014 《信息安全技术 云计算服务安全能力要求》和面向大数据服务组织管理的管理体系标准GB/T 22080—2016 《信息技术 安全技术 信息安全管理体系 要求》；

2）大数据安全相关国外标准，包括美国国家标准与技术研究院（NIST）正在制定中的NIST SP1500 《大数据互操作框架 系列标准》和基于NIST SP1500制定的ISO/IEC 20547-4 《第4部分：安全和隐私保护》；

3）2016年网信办启动的大数据安全自评估等工作文档。

GB/T 35274-2017标准经过五年的实践，我国数据安全相关的法律法规已经逐步建立起来，本标准修订的第一个目标：内容要与数据安全相关法律法规相符合。

本标准修订依据的法律法规主要包括三个层次：

一是，GB/T 35274-2017制定时依据的网络安全审查办法已多次修订，例如自2017年GB/T 35274颁布以来，《网络安全审查办法》已先后形成三个版本，包括2017年5月日颁布的《网络产品和服务安全审查办法（试行）》，2020年4月13日颁布的《网络安全审查办法》和2021年12月28日颁布的《网络安全审查办法》，因此本标准有关内容需要与时俱进；

二是，2021年6月10日全国人大常务委员会第二十九次会议通过了2021年6月10日全国人大常务委员会第二十九次会议通过，2021年8月20日全国人大常务委员会第三十次会议通过了《个人信息保护法》，2021年4月27日国务院常务会议通过了《关键信息基础设施安全保护条例》等。因此本标准已经有了明确的上位法规，标准内容必须符合这些法律法规要求；

三是，在GB/T 35274-2017颁布后，互联网办公室在2020年和2021年分别颁布了《数据安全管理条例》（征求意见稿）和《网络数据安全管理条例》（征求意见稿），包括2021年12月31日发布的《互联网信息服务算法推荐管理规定》及最新7部委发布的《生成式人工智能服务管理暂行办法》等。本标准修订必须针对这些潜在大数据应用中的数据管理、内容生成服务等新型数据服务规范大数据服务提供者的安全能力要求。

总之，不同于2016年立项遵循的“自主编制，自底向上”，这次标准修订应采用 “法规遵从、顶层设计”的原则，以确保修订后的标准内容的法规遵从性。

标准修订立项第二个目标是要确保本标准与信安标委近五年发布的大数据服务相关网络安全标准内容的一致性，分三个方面：

一是，支撑大数据服务安全能力的技术与平台相关标准制定/修订已基本完成，例如GB/T 35274-2017规范性文件中两个标准修订工作已基本完成，即GB-T 22239-2019 《信息安全技术 网络安全等级保护基本要求》替代了GB/T 22239-2008 《信息安全技术 信息系统安全等级保护基本要求》，GB/T 31168-2014 《信息安全技术 云计算服务安全能力要求》也正在修订中（该修订标准在2023年已经发布），还有就是基于互联网办公室2020年颁布的《《数据安全管理条例》（征求意见稿）》等法规要求制定的《信息安全技术 网络数据处理安全要求》即将发布（该标准GB/T 41479在2022年发布）。因此GB/T 35274中系统平台相关的技术要求和有关数据安全管理内容必须与这些网络安全标准进行协调。

二是，个人信息保护相关的系列标准制定/修订基本完成，例如与本标准一起立项，并在2017年一起颁布实施的GB/T 35273-2017《信息安全技术 个人信息安全规范》已在2020年修订完成，与GB/T 35273配套的App等个人信息保护系列标准和规范制定也基本完成，如GB/T 41391-2022 《信息安全技术 移动互联网应用程序（App）收集个人信息基本要求》等相关标准已经在国家四部门联合开始的《App违法违规收集使用个人信息专项治理》工作中得到广泛应用，原GB/T 35274中个人信息保护相关内容需要依据这些标准进行调整。

三是，支撑《数据安全法》《数据安全管理办法》（征求意见稿）等相关标准制定工作在2019年已经启动，在信安标委组织我国互联网服务厂商制定的网络预约汽车服务数据安全要求等六项面向领域的数据服务安全要求标准在2022年已陆续颁布实施，网络数据分类分级要求、软件供应链安全等数据安全法相关的配套国家标准制定项目从2021年起在信安标委已正式立项等。

综上所述，与GB/T 35274相关的技术与平台、个人信息保护和领域相关的数据服务安全要求重复条款进行删除，以保证国家标准内容之间的一致性。

本标准修订最后需要考虑的一点是要按照信安标委数据安全标准体系规划，对本标准定位进行了调整。因为经过五年的大数据技术和产业发展，本标准应聚焦大数据产业发展，促进大数据服务组织的数据服务安全能力提升。我们先回顾下GB/T 35274在2016年立项时的标准定位，主要包括两个方面：

一是，支撑网信办即将组织实施的《网络产品和服务安全审查办法》，例如2017年大数据安全评估、2018年大数据安全评估和数据出境安全评估等专项工作；

二是，按照2015年9月国务院印发的《促进大数据发展行动纲要》，本标准能面向组织数据安全和数字经济发展。因此，信安标委基于GB/T 35274-2017制定了《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019），以评估大数据服务提供者的数据安全管理能力。

综上所述，GB/T 35274-2023修订目标包括三个方面：

1）第五章的基础服务安全能力要与GB/T 22080等质量管理体系保持一致，因此章节标题修改为大数据组织管理安全能力，以体现数据安全法相关的各种企业安全管理制度建设等要求；

2）第六章的数据服务安全能力修改为大数据处理安全能力，以符合数安法、个保法、数安条例等法规要求的数据处理活动（数据生命周期）；

3）增加第七章大数据服务安全风险管理能力，以体现大数据服务过程中数据流传等跨数据活动等数据动态变化引起的安全风险管理能力要求。

修订过程概述

按照信安标委标准制修订工作流程，本标准计划在18个月内完成。因此编制组在2021年8月收到项目成功立项后，经过1年多的努力，于2022年11月通过了信安标委秘书处组织的全体委员投票。

标准修订详细过程如图所示：

1）上面是信安标委秘书处按照国家标准制修订周期协调组织的标准修订里程碑节点内容，包括项目申报、标准编制单位征集、标准征求意见稿专家评审、标准公开征求意见、标准送审稿专家评审和报批稿的专家投票等环节；

2）下面是信安标委大数据安全特别工作组协调组织的标准修订里程碑节点内容，围绕每年两次的网络安全标准周的标准修订工作进展报告，以及工作组提交信安标委秘书处之前其工作组内成员单位对本标准的反馈建议和投票表决等环节。

标准内容解读

在解读标准内容前我们先概述下新版与旧版三个最大的变化内容：

一是，删除了原标准中的安全能力要求分级，以更好的将本标准与网络安全等级保护相关标准、云计算服务安全能力要求标准或关键信息基础实施等相关标准条款分级进行衔接；

二是，原标准第六章的数据服务安全能力要求的数据生命周期概念与数据安全法、个人信息保护法等法规存在不一致，因此我们对第六章的大数据处理活动及其数据操作按照最新法规进行了调整；

三是，按照数据安全法等数据安全风险评估要求，标准内容增加了“大数据服务安全风险管理能力”（第七章），以更好的评估大数据服务提供者在大数据系统运营和数据服务方面的数据安全风险管控能力。

PPT中能看到标准各章节的具体变化内容概述，例如：

1）第二章规范性引用文件：删除两个技术标准，增加了GB/T 5271《信息技术 词汇》（所有部分）；

2）第三章术语与定义：删除了5个术语和定义，修改了7个术语和定义，增加了11个术语和定义；

3）第四章标准内容概述：删除了总体要求（原标准两个引用标准）和要求分级，重组了原标准标准结构内容描述；

4）第五章大数据组织管理安全能力（基础安全要求）：删除了原标准中的5.4、5.5和5.6节内容，对照ISO/IEC 27002-2022版对5.1、5.2和5.3节内容进行了优化，以体现大数据组织管理安全能力；

5）第六章大数据处理安全能力（数据服务安全要求）：按照数据安全法、个人信息保护法等法规重组了原标准中数据服务活动安全能力要求；

6）第七章大数据服务安全风险管理能力：本次修订新添加的大数据服务提供者安全能力要求，遵循ISO 31000《风险管理》等标准，从风险识别、安全防护、安全监测、安全检查、安全响应和安全恢复六个环节新增了大数据服务提供者的数据安全风险管理能力要求。

第二章规范性引用文件主要变化是：

1）删除大数据服务系统相关的两个规范性引用文件：GB/T 31168 《云计算服务安全能力要求》和GB/T 22239《信息安全技术　网络安全等级保护基本要求》，这是因为在GB/T 35274-2017版本第四章的4.1节的总体要求中，明确要求大数据服务提供者应依据GB/T 31168—2014和GB/T 22239—2008标准，从信息技术角度提出大数据服务基础设施应采取必要的安全管控措施，保障大数据平台和应用的系统服务安全可靠地运行和大数据服务的业务使命。在本次修订中增加了第七章大数据服务安全风险管理能力要求，因此有关数据风险评估相关的系统要求已在本标准的数据服务安全风险管理中明确列示，且关键信息基础设施等安全要求标准也有大数据系统安全要求内容。故将这两个规范性引用文件调整为本标准参考文献；

2）更新了两个规范性引用文件：GB/T 35273—2017《信息安全技术　个人信息安全规范》和GB/T 25069-2010《信息安全技术　术语》，因为这两个标准在这五年中都完成了修订。

3）增加了GB/T 5271《信息技术　术语》，因为本标准修订后将定位在组织数据处理活动的数据安全，涉及到很多数据处理相关的技术术语，所以增加了GB/T 5271《信息技术　术语》这个更通用的来自于ISO/IEC的技术标准，以使本标准与信息技术相关标准技术术语相一致。

术语定义是一份标准区别其他标准的关键标志，因此编制组特别重视本标准的术语修订。我们先看看原标准中被删除的5个术语：

一是，数据生命周期在数据数据安全法当中已经明确了是数据处理相关的8个数据活动，原标准定义的6个数据活动与数据安全法明确的数据处理活动不一致，所以这次修订删除了该术语。

二是，删除了数据服务，GB/T 35274-2017的大数据服务术语定义是基于数据服务。随着数据要素等概念的提出，传统的从云计算服务角度定义的数据服务已不再能体现时下大数据服务内涵，这是因为现在的数据服务内容和方式已经变化很多，特别是生成式人工智能服务等数据驱动的各种服务存在很多风险，所以这次修订删除了该术语。

三是，数据交换和数据共享这两个与数据生命周期相关数据活动技术术语，在数据安全法中已经规范化为数据提供和数据公开，所以这次修订删除了这两个术语。

四是，在新的信安标委数据安全标准体系当中，重要数据和核心数据都会有相关标准，所以本标准也不涉及这方面的安全要求，这次修订就删除了原标准中定义的重要数据术语。

在标准修订过程当中，争论比较多的是数据安全法等法规中定义的数据使用和数据加工有何不同，个人信息保护法中提到的数据删除和GB/T 35274-2017采用的数据销毁术语到底采用哪一个：

一是，数据安全法和个人信息保护法明确区分了数据使用和数据加工这两个数据处理活动，因此本标准首次明确了这两个术语的内涵；

二是，数据删除和数据销毁术语的选择问题：个人信息保护法和网络数据安全管理条例（征求意见稿）都使用了数据删除，数据安全法未明确数据删除活动，工信部工业大数据管理办法则使用了GB/T 35274-2017的数据销毁术语。经过多次专家评审后修订后的标准继续使用GB/T 35274-20217中的数据销毁术语。

前面说过一个标准的灵魂体现在它应该有一个体系化的术语和定义。

从图示 GB/T 35274-2017术语逻辑关系可看出，GB/T 35274-2017版术术语是围绕大数据服务列出相关术语的，由“数据服务”术语来定义“大数据服务”，大数据服务通过“大数据系统”提供，大数据系统包括“大数据平台”和“大数据应用”，大数据用户分“大数据服务提供者”和“大数据使用者”，大数据服务相关的几个特别数据活动术语（数据交换、数据共享等）也在该标准中进行了定义。在GB/T 35274-2017制定过程中，当时需要考虑网络安全法中提到的重要数据，因此给出了重要数据的定义。

大数据服务有数据生命周期，因此我们在原标准对数据生命周期相关的数据共享和数据交换进行了定义，包括大数据服务相关的数据供应链进行了明确定义。

图中标红的五个术语是这次修订删除的，标蓝的7个术语在本标准修订过程中也根据标准实施过程中的反馈意见对其描述进行了完善。

下面我们通过大数据系统和大数据服务提供者这两个术语看看术语修订前后的具体变化：

1）大数据系统：原标准是术语3.9，定义为“包括大数据使用者、大数据服务提供者、大数据应用和大数据平台的信息系统”， 新版标准明确大数据系统需包括其服务所需和控制数据资产，即明晰了大数据服务中的数据权属关系。因此修订后的大数据系统定义成“包括大数据平台、大数据应用及其所需和控制数据资产的信息系统。”，从这个修订后的定义看出新标准明确大数据系统需要包括其服务所需和控制数据资产，从而明确了大数据服务过程中的大数据服务提供者与大数据使用者之间的数据权属关系；

2）大数据服务提供者：原标准是术语3.8，是指“通过大数据平台和应用，提供大数据服务的机构”，修订后的标准将大数据服务提供者定义成“拥有大数据系统，提供大数据服务的组织”。从这个定义看出新标准明确大数据服务提供者是拥有大数据系统，不能通过第三方的大数据平台和应用提供大数据服务。另外，GB/T 35274-2017是通过机构来定义大数据服务提供者，在信息安全管理体系上一般采用 “组织”这个术语，因此新版将“机构”换成“组织”。

其他五个术语基本上也是以这样的方式对相关的术语进行了修订。

关于新版标准中11个新增的术语定义，主要是针对法规中数据处理相关数据活动在本标准中的内涵进行了定义。我们就看看“数据使用”和“数据加工”这两个术语在本标准中是如何定义的：

1）数据使用是基于业界提出的使用访问控制模型，再结合数据使用前后的权属关系变化和数据使用条件变化进行定义的。因此“数据使用”定义成“依据数据权属及数据收集目的，控制组织、人员或信息技术系统等对数据资产进行授权和访问的数据处理活动，包括数据使用前条件控制和数据使用后义务履行等数据处理活动”。为便于理解这个术语，我们添加了术语注释对数据使用内涵、使用前置条件和使用后义务进行了解释：“数据使用一般不改变数据本身，如数据读取、数据排序、数据搜索、数据分类、数据可视化等数据操作，使用过程中需对数据的用途、用法、用量及其目的等进行相应的控制”。使用前条件是在使用授权规则进行授权过程中,允许主体对客体访问前必须检验的一个决策因素集。条件控制可用来检查存在的约束限制,数据权属及使用权限是否有效,哪些约束限制必须更新等。使用后义务履行是一个主体在获得对客体的访问权限后必须履行的强制需求。主体在获得权限执行数据使用操作后就应有执行获取这些权限的义务责任；

2）数据加工定义成“通过数据抽取、数据转换、数据分析等数据操作改变数据形态，生成新数据（集）的数据处理活动”。同样我们在术语注释中对数据加工内涵进行了解释：数据加工一般会涉及数据自身的改变，需要先读取数据，并经过变换、转换、编码、分析、挖掘、脱敏等数据操作生成新数据（集）。

从这两个定义看出：

1）数据使用和数据加工内涵是不同的；

2）数据使用强调了访问数据前的条件约束和使用后的义务履行，这是因为在开放环境下数据使用不同于传统的用户授权和访问控制，需要考虑数据使用的上下文环境及数据提供、数据公开等权属关系变化后的各种约束条件及其义务。这跟学术界提出的使用访问控制模型概念是一致的；

3）数据安全法、个人信息保护法等法规提出数据处理是由数据活动组成，本标准将数据活动定义成是由各种数据操作组成，因此大数据处理安全能力要求可围绕其数据活动的各种数据操作进行组织。

新版术语逻辑结构如PPT图示所示，添加的11个术语（底色标黄）中有9个来自于数据安全法等法规文件，包括数据安全和8个数据活动术语，数据处理和数据保护来自于GB/T 25069-2010　《信息安全技术　术语》 。不同于修订前的GB/T 35274-2017标准，修订后版本增加的第七章明确了大数据服务提供者在提供大数据服务时要考虑数据服务安全风险。

GB/T 35274-2017第四章有三节内容组成，本次修订只保留4.3节的标准内容概述部分，即删除了原标准中的4.2节的要求分级，将4.1节的总体要求和4.3节的标准结构合并在一起形成本标准概述。第四章具体变化如下：

1）删除4.2节要求分级的主要原因是GB/T 35274-2017的要求分级是参照GB/T 31168-2014的基本要求和增强要求分为两级的，新版GB/T 31168-2023将云服务安全要求分为三级，加之信安标委在规划重要数据和核心数据相关的标准规范，所以，本次修订不再对大数据服务提供者的安全能力要求进行分级，只是必要时在描述中通过 “宜”区分某些要求较高的条款；

2）概述部分围绕法规遵从性、网络安全等级保护制度和质量管理体系等要求，从大数据组织管理安全能力、大数据处理安全能力和大数据服务安全风险管理能力三个方面明确了标准结构和内容。

从PPT图示的标准内容结构看出，相对于GB/T 35273-2017版本，本标准最大的变化是增加了大数据服务安全风险管理能力。另外，大数据处理安全能力也是按照数安法等法规要求的数据处理活动对原标准的数据服务相关活动进行了重组。

GB/T 35274-2017第五章标题是“基础服务安全能力”。这次修订删除了大数据服务相关的5.4节的服务规划与管理和5.5节的数据供应链管理；另外随着数据安全法等法规的颁布，5.6节的合规性管理内容也细化到修订后标准相关条款内容中，因此删除了5.6节，只保留原标准前面三节内容，即组织数据安全管理相关的策略与规程、组织与人员和资产管理共44条安全能力要求。

基于第五章章节结构的调整，本章标题修改为“大数据组织管理安全能力”，条款修订的依据是数据安全法、网络数据安全管理条例及信安标委最新标准，修订的基本原则是基于信息安全管理体系相关标准的（GB/T 22081（ISO/IEC 27002-2022））最新版概念简化原标准第五章相关内容，添加数据安全法等法规中要求的各种数据安全管理制度建设等遵从性要求。

PPT左边给出了新旧版本“策略与规程”内容条款的变化详情：原标准有5条一般要求和2条增强要求，修订后共10条要求项，其中有2个“宜”要求，换句话说修订后的策略与规程隐含了两个增强要求（PPT中标红部分）。

PPT右边的标准条款中通过颜色区分了条款内容的具体变化，标黑的是原标准当中的条款内容，标蓝的是修订增加的条款内容，标红的是增强性的条款内容。

策略与规程具体变化说明如下：

1）原标准中条款保留情况：a和c要求合并成一条（条例最后标明了修订后条款与原标准条款的对应关系），e和增强a合并成条款g（下页PPT），换句话说原标准中7条在新标准中保留成5条，新标准增加了5条法规相关的要求（包括在条款c）和条款j）中隐含的两个增强要求，所以严格来讲新版策略与规程有12个要求项）；

2）保留条款内容修订情况：新版条款内容也与时俱进对照法规要求进行了修改，例如原标准条款b）强调“策略与规程覆盖组织的全部数据处理活动”（PPT中标蓝部分）以体现数据安全法中要求组织的数据全生命周期管理要求，原标准条款d）的技术与措施实施细则增加了数据安全法中的“数据安全管理制度”和“供应链安全管控规程”等。修改部分PPT中通过字体颜色标蓝部分能看出条款的具体变化内容；

3）法规遵从性新增条款：新增条款参见PPT中全部标注蓝色的条款，如条款c）是来自于删除的原标准5.5节的数据供应链管理内容，对照数据安全法完善后的条款内容，其中对于涉及重要数据和敏感个人信息供应链管理的，增加了“包括大数据服务相关网络产品和服务筛选机制、筛选指标和评价方法”的增强要求（使用宜的标红部分）；

4）条款e）和f）新增条款来自于我国数据安全相关法规要求，包括工信部的安全风险评估报告报送办法。

本页PPT解释了策略与规程条款g）到j）的内容变化，其中：

1）条款g)合并了原标准条款基本要求e）和增强要求a），从条款描述看出，新标准将数据安全法中“数据安全管理制度”和“供应链安全管理”等内容反映到该条款；

2）条款h)是对原标准条款增强要求b）内容的完善，明确大数据服务安全能力持续提升计划和实施机制的内容和方式，内容包括组织数据安全管理制度、数据安全策略和规程、大数据系统安全保护措施，方式是定期通过信息安全管理体系认证、网络安全等级保护测评、数据安全风险评估等方式。从该条款看出网络安全等级保护制度和网络安全管理体系认证在大数据服务安全中的地位。换句话说，该条款大数据服务提供者需要不断地通过网络等级保护制度和网络安全管理体系认证；

3）条款i)和条款j)都是这次修订新增条款内容；条款i)来自于法规要求，包括“建立落实数据安全和个人信息保护法律法规及相关数据安全保护责任考核制度，涉及敏感个人信息处理、重要数据出境等应依据合规性要求做出安全责任的承诺”，条款j是跟随数字化技术的发展，对大数据处理过程安全审计和合规性取证自动化等提出的能力要求，本条款隐含一个增强要求（标红部分）。

GB/T 35274-2017数据服务安全能力要求按照国内外标准及企业最佳实践对数据服务涉及的六个数据活动提出数据服务安全能力要求（PPT所示），但从数据安全法、个人信息保护法等我国最新法规定义的数据处理包含的数据活动看，原标准中的数据活动与这些法规中数据生命周期或数据处理活动有冲突。

先看原标准中数据处理活动只包含了数据安全法中的数据使用和数据加工两种活动，再原标准中的数据交换活动在数据安全法中已区分数据提供和数据公开。因此数据处理活动和数据交换活动需要按照法规进行修订。另外数据采集活动在数据安全法中使用的是数据收集这个术语。

争论比较大的数据活动是数据删除和数据销毁。由于工信部的工业数据安全管理办法里面特别强调数据销毁与数据删除的不同，编制组经过专家认可后，保留了原标准当中数据销毁这个数据处理活动术语。

修订后的第六章大数据处理的8个数据处理活动（PPT所示）符合数安法、个保法、数安条例等法规要求，主要变化如下：

1）原标准“数据采集”数据活动修改为“数据收集”，数据传输、数据存储和数据销毁这三个数据活动术语保留；

2）最大的变化是将原标准中的“数据处理”和“数据交换”两个数据活动重组为“数据使用”、“数据加工”、“数据提供”和“数据公开”四个数据活动。

数据操作相关能力要求条款也按照重组后的数据活动进行优化，将原标准当中156条要求项合并成113条，原标准当中43条增强要求合并成15个宜。

下面看看在GB/T 35274-2023中修改为“数据收集”活动条款的具体变化内容：

一是，前面说过“数据采集”活动按照数据安全法中数据处理定义修改为“数据收集”活动，其中数据分类分级有相关标准，因此本标准不再在数据收集活动中提具体要求，只在第七章的数据安全风险识别部分要求对收集数据进行分类分级。另外原标准中的“质量监控”也调整到第七章的数据服务安全风险。为此在2023版中的“数据收集” 只保留原标准中的“数据收集和获取”、“数据清洗、转换和加载”条款内容，我们按照数据收集过程分为数据获取、数据清洗、数据标识和数据加载四类数据操作；

二是，对于“数据获取”操作，相关条款内容来自于原标准中“数据收集和获取”条款，原标准中包括3个一般要求合并成一个，新版中2个增强要求合并成一个，同时增加网络数据安全管理条例中的“数据获取环境评估”（条款(b)）和发生违规行为时的应急补救要求（条款(g)）。具体修改内容见PPT右边的内容，修改说明如下：

1）条款a）是对原标准条例a）、b）和c）的合并；

2）条款b）是网络数据安全管理条例（征求意见稿）中对数据获取提出的要求；

3）条款c是在原标准条款d）基础上增加了“具备对超出法律法规规定和合同约定规模、范围获取数据的异常行为进行检测告警能力”的要求，这是数安法和数安条例提出的要求；

4）条款d）是对原标准条款f）的重新描述；

5）条款e）是在原标准条款e）基础上，从数据供应链安全角度，增加了法规层面的“双方法律责任及数据安全保护责任和义务”；

6）条款f）是对原标准条款两个增强要求的重新描述；

7）条款g）是在数据获取过程中发生违规行为时提出的应急补救要求。

再如对于GB/T 35274-2017的“数据处理”活动内容的调整：我们将“数据溯源”调整到新版中的“数据存储”部分，“数据正当使用”按照数据安全法等单独分离出来提出“数据使用”相关的安全能力要求，剩余的“分布式处理”等4种数据操作安全能力要求组成“数据加工”活动。

再看看GB/T 35274新版“数据使用”活动，一是将原标准中数据存储活动的“访问控制”要求调整到本数据处理活动，并增加了“数据展示”安全能力要求，对于GB/T 35274-2017的“数据正当使用”标题修改为“合规管理”，条款具体变化说明如下：

1）原标准条款a）和b）按照数据安全法等法规用语进行了简化合并，并增加了“使数据的使用不能损害相关权利人的合法权益”要求；

2）原标准条款c）和d）内容按照数据安全法等法规用语进行了优化（修改参见蓝色标注部分）；

3）对收集和汇聚数据的授权管理机制，包括数据控制者对汇聚数据资产的控制权限等提出了合规性要求；

4）最后是对原标准的两个增强要求进行了合并，增加了数据安全法中特别强调的风险应对处置能力要求。

对于“数据加工”中的“大数据分析”，我们也按照数据安全相关法规对部分条款内容进行了完善，例如合并了原标准条款c）和条款d），增加了条款d），以体现国家“互联网信息服务算法推荐管理规定”等相关文件的要求，其他条款标蓝部分是本次标准修订增加的安全能力要求，在条款d）中还隐含包括一条增强要求（标红部分）。

第七章是本次标准修订新增加的内容，即从“风险识别、安全防护、安全检测、安全检查、安全响应和安全恢复”六个环节要求大数据服务提供者对大数据服务进行安全风险管控。PPT中标红的是送审稿和报批稿不同的地方，目的是说明本部分内容在修订过程中如何体现标准条款的法规遵从性的。

在介绍第七章具体内容前，我们先概述下增加本章内容的背景。第五章大数据服务组织管理安全能力和第六章大数据处理活动安全能力是从组织管理静态角度或数据业务功能角度提出大数据服务提供者安全能力要求的，本章内容是在大数据服务提供者具备前面两章安全能力基础上，要求在大数据系统运营或各种数据服务过程中，面向组织数据服务业务或使命的跨数据活动的数据操作组合引起的数据运营或数据操作等安全风险管控要求，以便对跨数据活动或数据在不同组织或IT空间流动所引起的数据安全风险进行管控。

换句话说第七章是针对组织使命或业务目标组织的跨多个数据活动的安全风险管理能力、或者说多个数据处理活动组合在一起去完成企业某个目标时的安全风险管理能力，即数据活动组织的业务和所需数据运行起来时要控制的数据安全风险能力。因此本章结构基本是按照戴明环或ISO 31000-2018风险管理框架来组织的，包括风险识别、安全防护、安全检测、安全检查、安全响应和安全恢复六个环节。

需要说明的是编制组最初的大数据服务安全风险管理能力包括风险识别、安全防护、安全检测、安全响应和安全恢复。但在部门征求意见过程，国家网信主管部门建议将风险管理过程中的安全检查评估作为一个单独的步骤，例如在2021年年底工信部发布的《工业和信息化领域数据安全风险信息报送与共享工作指引（试行）》明确了安全检查和风险报送的工作指引，因此在本标准报批稿编制组将安全检查独立出来，同时在安全响应环节加入安全风险报送要求，以使大数据服务安全风险管理能力条款反映我国法规相关的要求。

本章包括大数据服务安全风险管理六个环节共计89条安全要求，分19个小类。

7.1节的风险识别包括数据安全风险识别和供应链安全风险识别两个方面。

数据安全风险包括7个条款，其中条款a和条款b分别从资产识别及对识别资产的数据处理活动组件两个维度进行风险识别；条款c）要求对识别的资产按照法规要求或相关标准进行分类分级提出能力要求；条款d）是针对应用于关键信息基础设施的大数据平台提出的一些安全风险管理要求；条款e针对数据处理活动建立数据安全管理知识库是通用要求；条款f是针对大数据服务提供者对外数据处理活动及特定场景的数据安全风险识别和应对能力要求，最后一个条款g也是风险管理能力的通用要求。

供应链安全风险识别包括四个条款，分别从大数据服务中数据供应链上下游组织的数据交换共享、大数据服务中数据供应链上下游组织网络产品和服务、数据供应链风险及风险应对建议和数据安全风险技术和措施有效性分析评估四个方面提出了相应的要求。

7.2节安全防护和7.3节安全检测主要是在GB/T 31168和GB/T 22239　基础上，针对数据服务安全风险管理提出的一些能力要求，条款内容比较多，理解这些条款需要结合GB/T 22239和GB/T 31168一起对照解释，我们就不去细读解释了，这两部分是大数据系统运营过程中数据安全风险相关的管理能力要求。

7.4节安全检查条款主要来自我国的法规或相关标准要求，例如：

条款a）需要结合网络安全等级保护相关标准，通过测评等方式对7.2节的数据安全防护措施进行检查；

条款b）是要求大数据服务提供者要按照上级主管部门要求、专业安全机构建议，定期安排或在爆发网络攻击、重大安全漏洞时，及时开展专项安全检查；

条款c）、d）和e）三个条款来自ISO 31000风险管理等相关标准，包括《工业和信息化领域数据安全风险信息报送与共享工作指引（试行）》等法规要求；

7.5节安全响应和7.6节安全恢复都是基于ISO 31000风险管理等标准规范，针对数据处理活动提出的数据服务风险管理能力，我们就不在这里细述其条款内容及其来源了。

标准应用思考

本标准将从2024年3月日开始正式实施。下面我们就标准应用提点编制组的建议。首先我们还是要不忘本标准立项的初心是促进我国大数据产业的发展，为我国数据安全审查提供支持。本次标准修订目标一方面是保证修订后标准内容的法规遵从性及与其他相关数据安全相关标准的协调性，其实本标准修订最重要的目标还是要以数据安全促进我国大数据产业发展，特别是数据驱动的大数据服务技术（例如生成式人工智能技术应用）产业化发展，因此修订后的GB/T 35274-2023主要还是引导和促进组织的数据安全管理能力提升。

不忘初心，牢记使命，我们首先还是要回归到大数据安全特别工作组制定的面向组织数据安全的两个标准：GB/T 35274-2017《信息安全技术 大数据服务安全能力要求》和GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》。

作为GB/T 37988-2019的上位标准，GB/T 37988的通用安全过程域和数据生命周期安全过程域分别来自作为GB/T 35274-2017的第五章和第六章，这两个标准在过程域上保持了一致。因此为推进GB/T 35274-2023标准的实施，建议尽快启动GB/T 37988-2019的修订工作。

这次标准修订特别强调标准内容的法规合规性，因此GB/T 35274-2023中添加了很多数据安全法、网络数据安全管理条例相关法规要求。

在编制GB/T 35274-2023相关条目要求时，我们假设组织已经通过网络安全等级保护基本要求测评，或者通过云计算服务安全能力要求审查，在这基础上要对大数据服务提供者的数据服务安全能力要求进行评估，因此有关大数据系统服务或大数据系统本身安全防护等安全能力未在本标准中体现。

那么大数据服务提供者的安全能力评估的输入是什么？是否要依赖于信息安全控制、网络数据分类分级要求等相关的安全标准，或信安标委发布的书分类分级规则、网络数据安全风险评估指引等业界最佳实践，包括信安标委发布的GB/T 41479-2022《网络数据处理安全要求》与本标准间的逻辑关系是什么等，我们认为在未来的GB/T 37988标准修订中都需要进行考虑。

目前编制组的想法是，GB/T 35274-2023中第五章组织安全管理和第七章数据服务安全风险管理相关的能力要求条款对所有大数据服务提供者都可直接使用。但对于第六章的大数据处理安全能力要求，因为战略不同的组织其数据处理能力是不一样的，未必能包括标准条款中列出的所有数据活动或数据活动的所有数据操作，大数据服务提供者可能需要有针对性选择相关的要求进行评估。编制组今后会和我国数据安全测评机构或大数据服务提供者等组织合作，一起思考如何去促进本标准的实施，例如编制标准应用实施指南，出版标准解读学术论文或编制标准实施白皮书等。

租！GPU 云资源

新上线一批A100/A800

运营商机房，服务有保障