大數(shù)據(jù)平臺(tái)數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估指標(biāo)體系編制說明

目的意義從世界范圍看，網(wǎng)絡(luò)安全威脅和風(fēng)險(xiǎn)日益突出，并日益向政治、經(jīng)濟(jì)、文化、社會(huì)、生態(tài)、國防等領(lǐng)域傳導(dǎo)滲透。特別是國家關(guān)鍵信息基礎(chǔ)設(shè)施面臨較大風(fēng)險(xiǎn)隱患，城市整體網(wǎng)絡(luò)安全防控能力薄弱，難以有效應(yīng)對(duì)國家級(jí)、有組織的高強(qiáng)度網(wǎng)絡(luò)攻擊。2020年由國家發(fā)改委發(fā)布的《關(guān)于加快構(gòu)建全國一體化大數(shù)據(jù)中心協(xié)同創(chuàng)新體系的指導(dǎo)意見》中指出要加快城市大數(shù)據(jù)創(chuàng)新應(yīng)用，同時(shí)加快構(gòu)建貫穿基礎(chǔ)網(wǎng)絡(luò)、數(shù)據(jù)中心、云平臺(tái)、數(shù)據(jù)、應(yīng)用等一體協(xié)同安全保障體系，提高城市大數(shù)據(jù)安全可靠水平。2021年國務(wù)院發(fā)布的《“十四五規(guī)劃和2035年遠(yuǎn)景目標(biāo)綱要》中提出分級(jí)分類推進(jìn)新型智慧城市建設(shè)，同時(shí)加強(qiáng)網(wǎng)絡(luò)安全保護(hù)建立健全關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)體系，提升安全防護(hù)能力。加強(qiáng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和審查。因此，開展城市網(wǎng)絡(luò)安全能力成熟度評(píng)價(jià)是確保城市網(wǎng)絡(luò)安全的基礎(chǔ)和前提，通過城市網(wǎng)絡(luò)安全能力成熟度評(píng)價(jià)將有助于全面了解和掌握城市網(wǎng)絡(luò)安全的狀況和存在的問題，進(jìn)而有針對(duì)性的補(bǔ)齊短板，推動(dòng)城市建設(shè)與網(wǎng)絡(luò)安全能力建設(shè)協(xié)同發(fā)展。尤其在我國全面探索新型智慧城市的建設(shè)過程中，這項(xiàng)工作是非常重要和必不可少的。其中，城市網(wǎng)絡(luò)安全能力成熟度模型的關(guān)鍵作用在于：1、各國都亟需可以衡量城市在網(wǎng)絡(luò)安全方面的能力成熟度水平的工具和方法。2、各國缺乏針對(duì)城市的可擴(kuò)展的網(wǎng)絡(luò)安全能力圖譜，導(dǎo)致無法整體性了解城市網(wǎng)絡(luò)安全能力建設(shè)狀況和方向。3、各國缺乏一套務(wù)實(shí)可行的實(shí)踐行動(dòng)，來幫助城市縮小當(dāng)前網(wǎng)絡(luò)安全能力狀況和預(yù)期網(wǎng)絡(luò)安全能力目標(biāo)之間的成熟度差距。4、城市主管部門在了解城市整體網(wǎng)絡(luò)安全能力態(tài)勢和基本實(shí)踐方面的抓手不夠成熟，無法支撐相關(guān)決策的制定。5、各國尚未形成成熟的城市網(wǎng)絡(luò)空間安全防護(hù)工作模式，無法形成評(píng)價(jià)-分析-治理-評(píng)價(jià)的業(yè)務(wù)閉環(huán)，限制了城市網(wǎng)絡(luò)空間防護(hù)的能力和水平。任務(wù)來源國際上，網(wǎng)絡(luò)安全標(biāo)準(zhǔn)化工作興起于20世紀(jì)70年代中期，20世紀(jì)80年代有較快的發(fā)展，20世紀(jì)90年代后開始引起世界各國的普遍關(guān)注與重視。目前很多國家和組織都已有自己的標(biāo)準(zhǔn)。這些標(biāo)準(zhǔn)對(duì)信息、網(wǎng)絡(luò)安全管理討論的重點(diǎn)各有不同，應(yīng)用的領(lǐng)域也有差異。進(jìn)行城市網(wǎng)絡(luò)安全能力評(píng)價(jià)既是對(duì)現(xiàn)有城市網(wǎng)絡(luò)安全狀況的一種反映，也是對(duì)之前所采取的城市網(wǎng)絡(luò)安全防護(hù)措施是否有效的驗(yàn)證。由此，可以明確問題所在，有助于進(jìn)一步采取有針對(duì)性的措施，持續(xù)改進(jìn)和提高城市網(wǎng)絡(luò)安全防護(hù)的能力和水平。城市網(wǎng)絡(luò)安全能力評(píng)價(jià)需貫穿于城市網(wǎng)絡(luò)空間安全生命周期的規(guī)劃、設(shè)計(jì)、建設(shè)、運(yùn)營和管理等各個(gè)階段。目前，國內(nèi)外還未對(duì)城市網(wǎng)絡(luò)安全能力成熟度模型進(jìn)行標(biāo)準(zhǔn)化，各種城市網(wǎng)絡(luò)安全能力評(píng)價(jià)的實(shí)踐中積累了豐富的經(jīng)驗(yàn)，但存在維度考慮不足，體系化程度不足等問題，亟需制定相關(guān)標(biāo)準(zhǔn)，能體系化、全面地對(duì)實(shí)踐進(jìn)行指導(dǎo)，提升城市網(wǎng)絡(luò)安全水平。制定城市網(wǎng)絡(luò)安全能力成熟度模型標(biāo)準(zhǔn)將有助于解決這一難題，推動(dòng)城市安全建設(shè)、評(píng)估的系統(tǒng)化和全面性，避免煙囪式產(chǎn)品堆疊；同時(shí)，標(biāo)準(zhǔn)也有助于進(jìn)行城市網(wǎng)絡(luò)安全能力實(shí)踐，從而進(jìn)一步建設(shè)和提升城市網(wǎng)絡(luò)安全能力。編制過程1) 2023年4月14日，規(guī)范研制正式啟動(dòng)會(huì)。標(biāo)準(zhǔn)牽頭單位對(duì)前期的研究工作進(jìn)行了匯報(bào)。確定了標(biāo)準(zhǔn)的研究思路和分工。2) 2023年4月20日，提交項(xiàng)目立項(xiàng)申請書。3) 2023年4月30日至2023年7月12日，期間對(duì)相關(guān)內(nèi)容進(jìn)行了調(diào)研，并舉行多次標(biāo)準(zhǔn)工作組會(huì)議，針對(duì)標(biāo)準(zhǔn)整體框架與內(nèi)容進(jìn)行了調(diào)整與補(bǔ)充，形成第一版標(biāo)準(zhǔn)草案。4) 2023年7月16日，召開立項(xiàng)評(píng)審會(huì)，邀請專家評(píng)議草案并給出建議。5) 2023年7月18日至2023年12月16日，期間進(jìn)行了多次標(biāo)準(zhǔn)工作組內(nèi)部討論，針對(duì)標(biāo)準(zhǔn)內(nèi)容與格式進(jìn)行了細(xì)節(jié)上的刪改與調(diào)整。6) 2023年12月20日，形成第二版標(biāo)準(zhǔn)草案，并召集工作組舉行了標(biāo)準(zhǔn)草案的內(nèi)部閉門研討會(huì)。7）2024年2月7日，形成征求意見初稿。8）2024年6月27日，邀請專家對(duì)征求意見稿進(jìn)行評(píng)審。9）2025年4月，形成征求意見稿。主要內(nèi)容技術(shù)指標(biāo)確立本標(biāo)準(zhǔn)提出了大數(shù)據(jù)平臺(tái)及數(shù)據(jù)安全的風(fēng)險(xiǎn)評(píng)估要素、風(fēng)險(xiǎn)分析原理、風(fēng)險(xiǎn)評(píng)估指標(biāo)體系，以及風(fēng)險(xiǎn)評(píng)估實(shí)施流程的基本實(shí)踐。詳情如下：1、風(fēng)險(xiǎn)評(píng)估要素：大數(shù)據(jù)平臺(tái)及數(shù)據(jù)安全進(jìn)行風(fēng)險(xiǎn)評(píng)估過程中，為實(shí)現(xiàn)風(fēng)險(xiǎn)識(shí)別、分析、評(píng)估而應(yīng)當(dāng)考慮的幾類基本要素。主要包括大數(shù)據(jù)平臺(tái)、數(shù)據(jù)、接口、風(fēng)險(xiǎn)源、安全事件、安全措施等。從上述基本要素出發(fā)，本標(biāo)準(zhǔn)分別形成了針對(duì)大數(shù)據(jù)平臺(tái)、數(shù)據(jù)和接口的風(fēng)險(xiǎn)量化評(píng)估指標(biāo)體系。2、風(fēng)險(xiǎn)分析原理：進(jìn)行大數(shù)據(jù)平臺(tái)及數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估應(yīng)當(dāng)遵循的幾項(xiàng)基本原理。主要包括對(duì)資產(chǎn)價(jià)值的評(píng)估、對(duì)威脅源頻率和影響的評(píng)估、對(duì)安全事件發(fā)生的可能性和影響的評(píng)估、對(duì)評(píng)估對(duì)象造成損失的評(píng)估、對(duì)風(fēng)險(xiǎn)值和風(fēng)險(xiǎn)等級(jí)的評(píng)估等。從上述基本要素出發(fā)，本標(biāo)準(zhǔn)形成了具體的風(fēng)險(xiǎn)評(píng)估實(shí)施流程。3、風(fēng)險(xiǎn)評(píng)估指標(biāo)體系：大數(shù)據(jù)平臺(tái)及數(shù)據(jù)風(fēng)險(xiǎn)評(píng)估的一系列要素及其權(quán)重建議的集合，可用于某個(gè)對(duì)象的風(fēng)險(xiǎn)存在程度進(jìn)行有條理、全面和分類的排查，實(shí)現(xiàn)快速分析計(jì)算此對(duì)象風(fēng)險(xiǎn)值、確定其所屬風(fēng)險(xiǎn)等級(jí)的目的。主要包括數(shù)據(jù)風(fēng)險(xiǎn)量化指標(biāo)體系、大數(shù)據(jù)平臺(tái)風(fēng)險(xiǎn)量化指標(biāo)體系和接口風(fēng)險(xiǎn)量化指標(biāo)體系三個(gè)部分。4、風(fēng)險(xiǎn)評(píng)估實(shí)施流程：通過風(fēng)險(xiǎn)評(píng)估指標(biāo)體系，識(shí)別與分析大數(shù)據(jù)平臺(tái)、數(shù)據(jù)和接口的潛在風(fēng)險(xiǎn)，量化風(fēng)險(xiǎn)對(duì)平臺(tái)及數(shù)據(jù)的影響程度，制定合理有效的風(fēng)險(xiǎn)管理方案，將風(fēng)險(xiǎn)降低至可接受的范圍。風(fēng)險(xiǎn)評(píng)估實(shí)施流程主要包括兩個(gè)階段，在評(píng)估執(zhí)行階段，識(shí)別資產(chǎn)、風(fēng)險(xiǎn)源和安全措施，在風(fēng)險(xiǎn)分析階段，輸出風(fēng)險(xiǎn)評(píng)估報(bào)告、組織專家評(píng)審和發(fā)放評(píng)估證書。本標(biāo)準(zhǔn)適用于對(duì)大數(shù)據(jù)平臺(tái)及數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行評(píng)估，其中風(fēng)險(xiǎn)評(píng)估指標(biāo)體系也可以作為大數(shù)據(jù)平臺(tái)開展數(shù)據(jù)安全能力建設(shè)時(shí)的依據(jù)。在實(shí)際應(yīng)用中，可根據(jù)平臺(tái)實(shí)際資產(chǎn)與業(yè)務(wù)情況，對(duì)風(fēng)險(xiǎn)評(píng)估指標(biāo)體系進(jìn)行裁剪，具體包括：確定平臺(tái)資產(chǎn)類型、數(shù)據(jù)流轉(zhuǎn)和處理過程、對(duì)外接口和業(yè)務(wù)等，以符合當(dāng)前平臺(tái)運(yùn)行狀況和當(dāng)?shù)卮髷?shù)據(jù)平臺(tái)數(shù)據(jù)安全建設(shè)戰(zhàn)略。本標(biāo)準(zhǔn)牽頭單位為中國科學(xué)院信息工程研究所，參加單位包括中國標(biāo)準(zhǔn)化研究院、西安電子科技大學(xué)。與相關(guān)法律法規(guī)和國家標(biāo)準(zhǔn)的關(guān)系本標(biāo)準(zhǔn)的總體結(jié)構(gòu)和編寫方法按照GB/T1.1-2020《標(biāo)準(zhǔn)化工作導(dǎo)則第一部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定執(zhí)行。本標(biāo)準(zhǔn)參考的相關(guān)法律、法規(guī)和標(biāo)準(zhǔn)文件如下：GB/T20984-2022信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估方法GB/T31509-2015信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南GB/T34080.4-2021基于云計(jì)算的電子政務(wù)公共平臺(tái)安全規(guī)范第4部分：應(yīng)用安全GB/T35274-2017信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求GB/T37973-2019信息安全技術(shù)大數(shù)據(jù)安全管理指南DB15/T1874-2020公共大數(shù)據(jù)安全管理指南DB23/T3338-2022電子政務(wù)云監(jiān)管平臺(tái)運(yùn)維管理規(guī)范YD/T3797.1-2021云服務(wù)用戶數(shù)據(jù)保護(hù)能力評(píng)估方法第1部分：公有云YD/T3797.2-2020云服務(wù)用戶數(shù)據(jù)保護(hù)能力評(píng)估方法第2部分：私有云YD/T3800-2020電信網(wǎng)和互聯(lián)網(wǎng)大數(shù)據(jù)平臺(tái)安全防護(hù)要求T/ISC