大数据安全认证:大数据安全管理基本原则是什么?大数据安全管理体系认证证书申请
添加时间:2022-11-30
1、职责明确
组织应明确不同角色和其大数据活动的安全责任。组织应:
a)设立大数据安全管理者。根据组织使命.数据规模与价值、组织业务等因素.组织应明确担任大数据安全管理者角色的人员或部门,可由业务负责人、法律法规专家、IT安全专家、数据安全专家组成,为组织的数据及其应用安全负责。
b)明确角色的安全职责。组织应明确大数据安全管理者,大数据安全执行者,大数据安全审计者,以及数据安全相关的其他角色的安全职责。
c)明确主要活动的实施主体。组织应明确大数据主要活动的实施主体及安全责任。
2、安全合规
组织应制定策略和规程确保数据的各项活动满足合规要求。组织应:
a)理解并遵从数据安全相关的法律法规、合同、标准等;
b)正确处理个人信息.重要 数据;
c)实施了合理的跨组织数据保护的策略和实践。
3、质量保障
组织在采集和处理数据的过程中应确保数据质量。组织应:
a)采取适当的措施确保数据的准确性、可用性、完整性和时效性;
b)建立数据纠错机制;
c)建立定期检查数据质量的机制。
4、数据最小化
组织应保证只采集和处理满足目的所需的最小数据。组织应:
a)在采集数据前,明确数据的使用目的及所需数据范围。
b)提供适当的管理和技术措施保证只采集和处理与目的相关的数据项和数据量。
5、责任不随数据转移
当前控制数据的组织应对数据负责,当数据转移给其他组织时,责任不随数据转移而转移。组织应:
a)对数据转移给其他组织所造成的数据安全事件承担安全责任;
b)在数据转移前进行风险评估,确保数据转移后的风险可承受;
c)通过合同或其他有效措施,明确界定接收方接收的数据范围和要求,确保其提供同等或更高的数据保护水平,并明确接收方的数据安全责任;
d)采取有效措施,确保数据转移后的安全事件责任可追溯。
6、最小授权
组织应控制大数据活动中的数据访问权限,保证在满足业务需求的基础上最小化权限。组织应:
a)赋予数据活动主体的最小操作权限和最小数据集;
b)制定数据访问授权审批流程,对数据活动主体的数据操作权限和范围变更制定申请和审批流程;
c)及时回收过期的数据访问权限。
7、确保安全
组织应采取适当的管理和技术措施,确保数据安全。组织应:
a)对数据进行分类分级,对不同安全级别的数据实施恰当的安全保护措施;
b)确保大数据平台及业务的安全控制措施和策略有效.保护数据的完整性、保密性和可用性,确保数据生命周期的安全;
c)解决风险评估和安全检查中所发现的安全风险和脆弱性,并对安全防护措施不当所造成的安全事件承担责任。
8、可审计
组织应实现对大数据平台和业务各环节的数据审计。组织应:
a)记录大数据活动中各项操作的相关信息,且保证记录不可伪造和篡改;
b)采取有效技术措施保证对大数据活动的所有操作可追溯。
关于“ISO38505数据治理安全管理体系认证”的相关资讯
