大数据平台数据安全风险评估指标体系.docxVIP

PAGE335I

PAGEII4II

大数据平台数据安全风险评估指标体系

范围

本文件规定了大数据平台数据安全风险评估指标体系，明确了指标释义，描述了开展大数据平台数据安全风险评估的实施细则。

本文件适用于大数据平台数据安全风险评估工作，为企事业单位的大数据平台安全风险态势判断和宏观决策提供支持，为大数据平台管理部门及运营单位的安全风险管控工作提供支持。

规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T20984—2022信息安全技术信息安全风险评估方法

GB/T25069—2022信息安全技术术语

GB/TXXXXX—XXXX信息安全技术数据安全风险评估方法

术语和定义

GB/T20984—2022中界定的以及下列术语和定义适用于本文件。

GB/T25069—2022中界定的以及下列术语和定义适用于本文件。

大数据bigdata

具有体量巨大、来源多样、生成极快、且多变等特征并且难以用传统数据体系结构有效处理的包含大量数据集的数据。

[来源：GB/T25069-2022，定义3.97]

大数据平台bigdataplatform

采用分布式存储和计算技术，提供大数据的访问和处理，支持大数据应用安全高效运行的软硬件集合，包括监视大数据的存储、输入/输出、操作控制等大数据服务软硬件基础设施。

[来源：GB/T25069-2022，定义3.101]

风险评估riskassessment

风险识别、风险分析和风险评价的整个过程。

[来源：GB/T25069-2022，定义3.174]

风险识别riskidentification

发现、识别和描述风险的过程。

[来源：GB/T25069-2022，定义3.176]

风险分析riskanalysis

理解风险本质和确定风险级别的过程。

[来源：GB/T25069-2022，定义3.166]

风险评价riskevaluation

将风险分析的结果与风险准则比较，以确定风险和/或其大小是否可接受或可容忍的过程。

[来源：GB/T25069-2022，定义3.175]

自评估self-assessment

由信息系统所有者自身发起，组成组织内部的评估小组，依据国家有关法规与标准，对信息系统安全管理进行的评估活动。

[来源：GB/T25069-2022，定义3.810]

数据泄露dataleakage

由于传输协议缺陷、访问控制机制漏洞、未对存储或备份数据加密、加密算法强度不足、存储介质后门、日志记录敏感数据、未完全销毁数据等，导致数据被非授权用户、程序或设备访问、复制或传输的过程。

隐私泄露privacydisclosure

未经授权的个人或组织通过技术手段从非公开或公开的数据中搜集或推导出个人敏感信息，获取了不公开个人隐私信息的过程。

数据滥用dataabuse

用户、程序或设备在使用、传播、处理数据前未得到授权，使用、传播、处理数据的方式、目的并非合法正当或偏离了原定计划，导致数据被超出预期访问、非授权访问、来源去向不明的行为。

数据失控dataoutofcontrol

在数据生命周期治理的过程中，由于技术故障、人为错误、恶意攻击、政策或法律法规变更导致数据的质量、安全性、隐私性或合规性等受到威胁。

风险可能性riskprobability

潜在威胁利用脆弱性并导致数据泄露、系统性能下降、业务中断等负面后果的发生概率。

风险影响riskimpact

潜在威胁利用脆弱性后，导致的数据泄露、系统性能下降、业务中断等一系列负面后果的严重程度和范围。

风险评估指标体系riskassessmentindexsystem

用于风险评估的要素及其权重的集合，通过对要素的系统分类排查，能够识别和量化某对象的风险存在程度，从而快速计算其风险值并确定风险等级，为风险管理提供依据。

存储适当性storageappropriateness

把数据以适当的存储方式存放到适当的位置，并设置合理的存储期限，从而保障数据的机密性、完整性和可用性不受损害。

存储环境storageenvironment

用于存储数据的物理或虚拟设施的综合安全态势，主要包括访问控制、数据日志、数据加密、数据校验、数据隔离等。

符号和缩略语

下列缩略语适用于本文件。

API：应用程序接口（ApplicationProgrammingInterface）

RPC：远程过程调用（RemoteProcedureCall）

DDoS：分布式拒绝服