一、数据与系统资产

1、数据资产

1.1 一般要求

大数据服务提供者应:

a)建立数据资产安全管理规范,明确大数据服务相关数据资产的安全管理目标和安全原则。

b)建立数据资产分类分级方法和操作指南,以及数据资产分类分级的变更审批流程和机制。

c)建立数据资产组织和管理模式,制定数据资产登记制度,明确数据资产管理相关方。

d)建立数据资产清单,明确大数据服务相关数据资产管理范围和属性。

e)定期审核和更新数据资产安全管理相关的安全规范、管理制度等。

1.2 增强要求

大数据服务提供者应:

a)依据数据资产和数据主体安全分级要求建立相应的标记策略、访问控制、数据加解密、数据脱敏等安全机制和管控措施。

b)建立大数据服务所需的机构内外部数据资产的安全治理原则和数据资源整合规范。

c)建立机构级数据资产管理平台,实现对数据资产的统一管理。

2、系统资产

2.1 一般要求

大数据服务提供者应:

a)建立大数据系统资产安全管理规范,明确系统资产安全管理日标和安全原则。

b)建立大数据系统资产建设和运营管理制度和机制,明确规划、设计、采购、开发、运行、维护及报废等资产管理过程的安全要求。

c)建立大数据系统资产登记机制,形成大数据服务的系统软硬件资产清单,明确系统资产安全责任主体及相关方,并及时更新系统资产相关信息。

d)建立大数据系统资产分类和标记规程.使资产标记易于填写和依附在相应的系统资产上。

e)定期审核和更新大数据系统资产管理相关的安全规范、管理制度。

2.2增强要求

大数据服务提供者应:

a)建立大数据系统资产管理平台,具备系统资产统一注册、管理和使用监控等能力。

b)建立大数据系统资产更新、运营风险评估和IT系统供应链安全审查规程和制度。

二、认证依据

GB/T 35274-2017 信息安全技术 大数据服务安全能力要求

GB/T 37973-2019 信息安全技术 大数据安全管理指南

三、大数据服务安全能力评价认证流程

申请认证--合同评审--审核策划--审核--认证决定--颁发证书

四、证书有效期

三年,获证后每年进行一次监督审核

五、证书查询网址

国家认监委、发证机构官网

六、认证好处

1.通过管理实践,提高组织的效率、生产力和盈利能力;

2.赢得更多业务,拥有大数据服务安全能力评价认证证书,为企业吸引投资者,减少贸易壁垒;

3.令更多客户满意,确保产品和服务尽可能达到顾客预期。