大数据安全标准化产生得背景

大数据安全标准化 背景

随着社会信息化和网络化的发展，数据爆炸式增长，大数据时代已经到来。大数据被誉为是“ 21 世纪的钻石矿”，是国家基础性战略资源，正日益对国家治理能力、经济运行机制、社会生活方式以及各领域的生产、流通、分配、消费活动产生重要影响，各国政府都在积极推动大数据应用 与发展。
大数据时代是机遇与挑战并存的时代。在大数据应用推广过程中，必须坚持安全与发展并重的方针，为大数据发展构建安全保障体系，在充分发挥大数据价值的同时，解决面临的数据安全和个人信息保护问题。大数据安全标准是大数据安全保障体系的重要组成部分，对其实施起到引领和指导性作用。为此，亟待从技术和产业发展角度加快推进大数据安全标准 化工作，为我国大数据产业的健康发展提供有效支撑。
党中央、国务院高度重视大数据安全及其标准化工作，将其作为国家发展战略予以推动。 2015 年 9 月，国务院发布《促进大数据发展行动纲要》，要求“完善法规制度和标准体系”和“推进大数据产业标准体系建设”。 2016 年 11 月，第十二届全国人民代表大会常务委员会通过了《中华人民共和国网络安全法》，鼓励开发网络数据安全保护和利用技术。 2016年 12 月，国家互联网信息办公室发布《国家网络空间安全战略》，在夯实网络安全基础的战略任务中，提出实施国家大数据战略、建立大数据安全管理制度、支持大数据信息技术创新和应用要求。全国人大常委会和工信部、公安部等部门为加快构建大数据安全保障体系，相继出台了《加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》等法规和部门规章制度。与此同时，还发布了国家和行业的网络个人信息保护相关 标准，开展了以数据安全为重点的网络安全防护检查。
为推动大数据安全标准化工作，全国信息安全标准化技术委员会（以下简称“全国信安标委”，委员会编号为TC260）下设的大数据安全标准特别工作组（SWG-BDS）启动了《大数据安全标准化白皮书》的编制工 作。

大数据安全标准化 目的及意义

从法规、政策、标准和应用等角度，勾画出大数据安全的整体轮廓，综合分析大数据安全标准化需求，为我国后续的大数据安全标准 化工作提供指导。
介绍了国内外的大数据安全法规政策和标准化组织标准化工作现状，分析了大数据安全所面临的安全风险和挑战，制定了大数据安全标准化体系框架和近几年大数据安全标准工作规划，并提出了开展大数据 安全标准化工作的建议。
旨在全面、客观反映国内外大数据安全标准化相关工作基础和进展，根据业界最佳实践、认知水平，分享大数据安全标准特别工作组在大数据安全标准化领域的研究成果和实践经验，呼吁社会各界共同关注大数据安全的政策研究、技术投入和标准建设，为大数据产业的健康、安 全、有序发展奠定坚实基础。

大数据安全法规政策和标准化现状

大数据安全法律法规和政策

随着各国对大数据安全重要性认识的不断加深，包括美国、英国、澳大利亚、欧盟和我国在内的很多国家和组织都制定了大数据安全相关的法律法规和政策来推动大数据利用和安全保护，在政府数据开放、数据跨境 流通和个人信息保护等方向进行了探索与实践。

国外数据安全法律法规和政策

（一）政府数据开放相关法规和政策
政府数据开放是指在确保国家安全条件下，政府向公众开放财政、资源、人口等公共数据信息，以增强公众参与社会管理的意愿和能力，进而提升政府治理水平。美国将信息技术、数字战略、信息管理与开放政府治理有机结合，以数据开放作为新时期政府治理改革的突破口。美国为推动政府数据开放，发布的法规政策主要包括：
1 ）美国于 1966 年通过《信息自由法》，规定民众在获得行政信息方面的权利和行政机关在向民众提供行政信息方面的义务。该法秉持“以公开为原则、不公开为例外”的原则，规定政府有义务对公众的信息公开请求作出回应。
2 ）《开放政府指令》是美国政府 2009 年在数据开放方面的最新行动，确立了透明、参与和协作的开放政府三原则，要求政府通过网站发布数据等方式，使公众了解更多的政府信息，促进公共对话，提升公众对政府的信任感。
3 ）美国在 2012 年 5 月出台了《数字政府战略》，将政府开放数据作为电子政府发展的重要支撑，它要求政府数据在默认状态处于“开放和机器可读”，从而使得公众可随时随地访问高质量的政府数据信息和服务。英国作为最早实施数据开放的国家，通过开放政府数据提升政府治理水平，并致力于将数据开放推广应用到公共服务、经济增长、反对腐败、加强民主等诸多方面。英国于 2000 年正式通过《信息自由法》，规定了任何人都有获取政府信息的权利，政府有答复公众请求的义务，同时给出了25 种公开豁免情况。英国政府在 2013 年 4 月发布的《开放政府伙伴 2013 —2015 英国国家行动方案》中进一步拓展数据开放承诺，表示将开放政府数 据，以改善公共服务，促进经济增长、提高政府透明度。
欧盟十分重视政府数据开放，欧盟执行委员会承认政府部门资料开放使用的重要性，积极鼓励各成员国展开政府开放数据的行动。 2005 年出台的《欧洲透明度倡议》(ETI)是欧盟推行开放数据战略的基础，也是欧盟开放、透明、治理改革理念的继续与发展。《欧洲透明度倡议》目的在于建立信息再利用，包括监管公共部门的共同法律框架，消除公共信息垄断和不透明障碍。 2010 年 11 月，欧盟通信委员会向欧洲议会提交了《开放数据:创新、增长和透明治理的引擎》报告，该报告以开放数据为核心，制定了应对大数据安全挑战的战略。 2011 年 12 月 12 日，欧盟数字议程正式推 进数据开放战略，将其作为实现欧盟“ 2020 目标”的新路径与新动力。
（二）数据跨境流动相关法规和政策

当前，部分国家和地区在规范跨境转移个人数据的法律法规，以便对跨境数据接收地的法律环境提出要求，要求接收地法律能够提供与本国、本地个人数据保护法律相当的保护。规范个人数据跨境转移的根本目的，不是禁止个人数据跨境转移，而是要根据实际情况，确保本国、本地区公民数据在境外受到合理保护。总体上，基本立场是鼓励数据跨境自由流动。具体与数据跨境流动相关的政策及法规包括:
欧盟在 1995 年《数据保护指令》中确立了数据跨境传输的基本原则，对世界其他国家和地区的信息保护、信息流动产生了深远的影响。 2015 年通过的欧盟《通用数据保护条例》（GDPR）提出了更为苛刻的数据保护规定。GDPR的适用范围相比《数据保护指令》有所扩展，对于那些即使成立地在欧盟以外的机构来说，只要其在提供产品或者服务的过程中涉及欧盟境内个体的个人数据，将同样适用。在跨境数据流动方面，GDPR增 加了新的制度安排，包括认证机制和行为准则等。
澳大利亚《隐私保护原则》第 8 条规定，数据主体获得明确告知后同意的，可以将个人数据传输至境外数据接收者。告知必须解释跨境传输带来的数据主体应当知道的后果或风险，包括:1)海外接收者可能不承担类似澳大利亚《隐私保护原则》规定的隐私保护义务；2)数据主体可能无法在海外司法管辖区获得救济；3)海外数据接收者可能会根据法律将个人信息 披露给第三方，比如外国政府机构。
巴西司法部于 2015 年公布的《个人数据保护法》（草案）也借鉴了欧盟有关充分性数据保护的规定，要求跨境数据传输时，数据接收国的个人 数据保护必须达到充分性保护的水平。
韩国 2011 年发布的《个人信息保护法》规定，如果个人信息的国际数据传输涉及第三方，那么必须取得用户的明确同意。 2012 年发布的《促进信息技术网络利用和信息保护法》要求则更为明确：如果用户的个人信息被转移到境外实体，在线服务提供商必须告知并获得用户的明示同意。日本 2015 年修订的《个人信息保护法》规定，个人信息可以“传输到为日本个人信息保护委员会（PIPC）所认可的、与日本国内个人信息保护 水平相当的国家或地区”。
亚太经合组织（APEC）于 2003 年发布了《APEC隐私保护框架》，它采取使用企业自律性隐私政策来保护跨境数据流动中数据（隐私）权利的做法，在《APEC隐私保护框架》下建立跨境隐私保护规则体系。APEC不仅仅是将跨境隐私保护规则看作是跨境数据转移中保护隐私的一种手段， 更将其作为执行《APEC隐私保护框架》的重要机制。
（三）个人数据保护相关法规和政策
1）欧盟《通用数据保护条例》
欧盟颁布的《通用数据保护条例》（GDPR）为一个数据隐私权标准法规，它旨在取代 1995 年发布的《数据保护指令》。GDPR主要为了保护欧盟公民个人数据的隐私权，并对数据保护规则进行了改革和更新。如GDPR引入了新型的数据主体权利，包括“数据可携带权”和“被遗忘权”，为个人有效行使权利提供了坚实的法律保障。GDPR要点包括个人拥有管理自己个人数据的权利、数据泄露获得通知的权利以及“被遗忘权”。GDPR由两部分组成：通用数据保护条例，这“将让人们更好地控制其个人数据”；数据保护指令，对于警察和刑事司法领域，这“可确保数据受害人、证人和犯罪嫌疑人在刑事调查或执法行动中受到应有的保护。”这些明确的法规特别适合数字时代，能提供强有力的保护，同时在欧洲数字单一市场创造机会和鼓励创新，将让公民和企业都受益。
2）美国健康保险携带和责任法案
1996 年，美国总统签署适用于提供健康保健的医疗组织和其它符合健康计划组织的健康保险携带和责任法案（HIPAA）。HIPAA目标是确保健康信息的安全性和隐私性，其主要内容包括隐私条例和安全条例。隐私条例保护所有由适用实体保存的可识别个体的受保护健康信息（PHI）。根据美国卫生和福利部的规定，PHI包括以下数据信息：与个人以往、目前或将来的身体（或精神）健康或状况有关的数据；个人接受健康保健服务的相关数据；个人以往、目前或将来接受健康保健服务的费用支付相关的数据。隐私条例的基本规定是企业只有在隐私条例允许范围内或者获得数据主体的个人书面同意之后才能够披露PHI。隐私条例还包含了一些通知规定和管理规定，保证企业保持数据记录行为的恰当性，以及确保个人明确自己受HIPAA条例保护的权利。安全条例包含了电子受保护健康信息（ePHI）的安全保护，规定了企业在其所有需要处理ePHI数据的系统里必须具有的策略、流程和报告机制。HIPAA还规定了用于保护ePHI的保密性、完整性和可获得性的具体实施规定。这些规定包含管理防护、物理防护、技术防护、组织要求、企业策略和流程。
3）美国家庭教育权和隐私权法案
1974 年，美国联邦法案家庭教育权和隐私权法案（FERPA）出台，用以保护学生的个人可识别信息（PII）的安全，适用于教育行业。FERPA规定，未满 18 岁的学生或符合条件的学生家长可以查看并申请修正学生的教育记录。该法案还规定，学校必须取得学生家长或符合条件的学生的书面许可才能披露学生的个人信息。

国内数据安全法律法规和政策

我国在积极推动大数据产业发展的过程中，非常关注大数据安全问题，近几年发布了一系列大数据产业发展和安全保护相关的法律法规和政 策。
2012 年 12 月，针对数据应用过程中的个人信息保护问题，第十一届全国人民代表大会常务委员会通过了《全国人大常委会关于加强网络信息保护的决定》，该决定要求，国家保护能够识别公民个人身份和涉及公民个人隐私的电子信息，网络服务提供者和其它企事业单位应当采取技术措施和其它必要措施，确保信息安全，防止在业务活动中收集的公民个人电子信息泄露、损毁、丢失。在发生或者可能发生信息泄露、损毁、丢失的情 况时，应当立即采取补救措施。
2013 年 7 月，工业和信息化部公布了《电信和互联网用户个人信息保护规定》。该规定是对全国人大常委会《关于加强网络信息保护的决定》的贯彻落实，进一步明确了电信业务经营者、互联网信息服务提供者收集、使用用户个人信息的规则和信息安全保障措施要求。 2014 年 3 月，我国新的《消费者权益保护法》正式实施。该法明确了消费者享有个人信息依法得到保护的权利，同时要求经营者采取技术措施和其他必要措施，确 保个人信息安全，防止消费者个人信息泄露、丢失。
2015 年 8 月，国务院印发《促进大数据发展行动纲要》（以下简称“行动纲要”），提出加快建设数据强国和释放数据红利，并加快政府数据开放共享，以提升治理能力。同时，行动纲要提出网络空间数据主权保护是国家安全的重要组成部分，要求“强化安全保障、提高管理水平，促进健康发展”，并探索完善安全保密管理规范措施，切实保障数据安全。在大数据安全标准方面，行动纲要提出要进一步完善法规制度和标准体 系，大力推进大数据产业标准体系建设。
2016 年 3 月，第十二届全国人大四次会议表决通过了《关于国民经济和社会发展第十三个五年规划纲要》（以下简称“十三五规划纲要”）。十三五规划纲要提出实施国家大数据战略，全面实施促进大数据发展行动，同时要强化信息安全保障。该规划纲要提出加强数据资源安全保护，具体表现为要建立大数据安全管理制度、实行数据资源分类分级管理和保 障安全高效可信应用。
2016 年 11 月，全国人民代表大会常务委员会发布了《中华人民共和国网络安全法》（以下简称“网络安全法”）。网络安全法定义网络数据为通过网络收集、存储、传输、处理和产生的各种电子数据，并鼓励开发网络数据安全保护和利用技术，促进公共数据资源开放，推动技术创新和经济社会发展。关于网络数据安全保障方面，网络安全法规定，要求网络运营者采取数据分类、重要数据备份和加密等措施，防止网络数据被窃取或者篡改，加强对公民个人信息的保护，防止公民个人信息被非法获取、泄露或者非法使用，要求关键信息基础设施的运营者在境内存储公民个人信息等重要数据， 网络数据确实需要跨境传输时，需要经过安全评估和审批。
2016 年 12 月，国家互联网信息办公室发布《国家网络空间安全战略》，提出要实施国家大数据战略，建立大数据安全管理制度，支持大数据、云计算等新一代信息技术创新和应用，为保障国家网络安全夯实产业 基础。

主要标准化组织大数据安全工作情况

目前，多个标准化组织正在开展大数据和大数据安全相关标准化工作，主要有国际标准化组织/国际电工委员会下的ISO/IEC JTC1 WG9（大数据工作组）、ISO/IEC JTC1 SC27（信息安全技术分委员会）、国际电信联盟电信标准化部门（ITU-T）、美国国家标准与技术研究院（NIST）等。国内正在开展大数据和大数据安全相关标准化工作的标准化组织，主要有全国信息技术标准化委员会（以下简称“全国信标委”，委员会编号 为TC28）和全国信安标委（TC260）等。

2.2.1 ISO/IEC JTC
ISO/IEC JTC1 SC27是在ISO和IEC信息技术联合委员会（ISO/IECJTC1）下属安全技术分委员会，成立于 1990 年，其工作范围涵盖信息和ICT（信息与通信技术）保护的标准开发，包括安全与隐私保护方面的方法、技术和指南。目前下设五个工作组，分别为信息安全管理体系工作组（WG1）、密码技术与安全机制工作组（WG2）、安全评价、测试和规范工作组（WG3）、安全控制与服务工作组（WG4）和身份管理与隐私保护技术工作组（WG5）。各工作组负责各自工作范围内的多项标准开发，并根据需要设立相应的研究项目。
其中，WG5负责身份管理和隐私保护相关标准的研制和维护。WG结合其工作范围和重点，开发了标准路线图，概括了WG5已有标准项目、新工作项目提案，以及将来WG5可能涉及到的标准化主题等内容。WG工作组负责制定的隐私保护方面标准包括已发布的ISO/IEC 29100:《信息技术　安全技术　隐私保护框架》、ISO/IEC 29101:2013《信息技术　安全技术　隐私保护体系结构框架》、ISO/IEC 29190:2015《信 息技术　安全技术　隐私保护能力评估模型》、ISO/IEC 29191:
《信息技术　安全技术　部分匿名、部分不可链接鉴别要求》和ISO/IEC27018:2014《信息技术　安全技术　可识别个人信息（PII）处理者在公有云中保护PII的实践指南》，即将发布的ISO/IEC 29134《信息技术　安全技术　隐私影响评估指南》和ISO/IEC 29151《信息技术　安全技术　可识别个人信息（PII）保护实践指南》，以及正在工作草案阶段的ISO/IEC29184 《在线隐私通知和准许指南》、ISO/IEC 27550《隐私保护工程》和 ISO/IEC 27551《对ISO/IEC 27001在隐私保护管理方面的增强要求》。
ISO/IEC JTC1 WG9是ISO/IEC JTC1于 2014 年 11 月成立的大数据工作组，目前正在开展ISO/IEC 20546《信息技术　大数据　概述和词汇》和ISO/IEC 20547《信息技术　大数据参考架构》两项国际标准编制。ISO/IEC 20547为多部分标准，包括ISO/IEC TR 20547-1《第 1 部分：框架和应用过程》、ISO/IEC TR 20547-2《第 2 部分：用例和衍生需求》、ISO/IEC20547-3《第 3 部分：参考架构》、ISO/IEC 20547-4《第 4 部分：安全与隐 私保护》、ISO/IEC TR 20547-5《第 5 部分：标准路线图》。
其中，ISO/IEC 20547-4《信息技术　大数据参考架构　第 4 部分：安全与隐私保护》标准编制项目根据ISO/IEC JTC1 JAG（JTC1咨询小组）2016 年 3 月巴黎会议决定被转交给了ISO/IEC JTC1 SC27，现由SC27下属 WG4和WG5共同负责，并任命中国专家担任项目编辑。

ITU-T

ITU-T在 2013 年 11 月发布了《大数据：今天巨大，明天平常》报告，并 在其下属相关研究组开展了多项大数据和大数据安全相关的标准化工作。
ITU-T SG13（聚焦于IMT-2020、云计算和可信网络基础设施的未来网络研究组）负责制定的大数据相关标准包括：已发布的ITU Y.3600《大数据　基于云计算的要求和能力》，以及在编制中的《大数据　元数据框架和概念模型》、《大数据　数据集成概述和功能要求》、《大数据　数据溯源要求》、《大数据交换框架和要求》、《数据存储联合的要求和能力》、《大数据即服务的功能架构》、《大数据　数据保全概述和要求》、《大数据驱动联网要求》、《基于DPI的大数据驱动联网框架》和 《应用于网络大数据语境下的深度包检测机制》等。
ITU-T SG17（安全研究组）负责制定的大数据安全相关标准包括编制中的《移动互联网服务中的大数据分析安全要求和框架》、《大数据即服 务的安全指南》，《电子商务业务数据生命周期管理安全参考架构》等。

NIST

美国国家标准与技术研究院（NIST）于 2012 年 6 月启动了大数据相关基本概念、技术和标准需求的研究， 2013 年 5 月成立了NIST大数据公开工作组（NBG-PWG）， 2015 年 9 月编写形成并发布了NIST SP 1500《NIST大数据互操作框架》系列标准（第一版），包括 7 个分册，即：NIST SP1500-1《第 1 册 定义》、NIST SP 1500-2《第 2 册 大数据分类法》、NISTSP 1500-3《第 3 册 用例和一般要求》、NIST SP 1500-4《第 4 册 安全和隐私保护》、NIST SP 1500-5《第 5 册 架构调研白皮书》、NIST SP 1500-《第 6 册 参考架构》和NIST SP 1500-7《第 7 册 标准路线图》。其中，NIST SP 1500-4《NIST大数据互操作框架：第 4 册 安全与隐私 保护》由NIST NBD-PWG的安全与隐私保护小组编写。

2.2.4 TC

为推动和规范我国大数据产业的快速发展，培育大数据产业链，并与国际标准接轨，全国信标委在 2014 年 12 月成立了大数据标准化工作组（以下简称“大数据工作组”，BDWG），工作组主要负责制定和完善我国大数据领域标准体系，组织开展大数据相关技术和标准的研究，推动国际标准化活动，对口ISO/IEC JTC1 WG9大数据工作组。目前，工作组正在制定的国家标准有 12 项，其中《信息技术 大数据 术语》等 6 项国家标准进入报批阶段，《信息技术 数据交易服务平台 交易数据描述》等 3 项标准进入 征求意见阶段、 1 项标准完成草案， 2 项标准完成草案框架。

TC260

为了加快推动我国大数据安全标准化工作，全国信安标委在 2016 年4 月成立大数据安全标准特别工作组（以下简称“特别工作组”，SWG-BDS），主要负责制定和完善我国大数据安全领域标准体系，组织开展大数据安全相关技术和标准研究。目前，特别工作组正在制定《信息安全技术 个人信息安全规范》、《信息安全技术 大数据服务安全能力要求》、《信息安全技术 大数据安全管理指南》等国家标准。其中，《信息安全技术 个人信息安全规范》和《信息安全技术 大数据服务安全能力要求》已经推进到征求意见稿阶段。同时，特别工作组组织开展了针对大数据安全能力成熟度模型、大数据交易安全要求、数据出境安全评估等国家标准 的研究工作。

大数据安全相关标准现状

数据安全以数据为中心，重点考虑数据生命周期各阶段中的数据安全问题。大数据应用中包含海量数据，存在对海量数据的安全管理，因此，在分析大数据安全相关标准时，需要对传统数据采集、组织、存储、处理等安全相关标准进行适用性分析。此外，在大数据场景下，个人信息安全问题备受关注。由于大数据场景下的多源数据关联分析可能导致传统的个人信息保护技术失效，因此，大数据场景下更需要考虑个人信息安全问题，必须对现有个人信息保护技术和标准进行适用性分析。最后，大数据应用作为一个特殊的信息系统，除存在与传统信息安全一样的保密性、完整性和可用性要求外，还需要从管理角度研究大数据场景下信息系统的安全，因此，传统信息系统的大部分信息安全管理体系和管理要求类标准仍然是适用的。下面对和大数据安全相关的传统数据安全标准、个人信息保 护标准和专门为大数据应用制定的大数据安全相关标准进行梳理分析。

传统数据安全标准规范

（一）支付卡行业数据安全标准介绍
支付卡行业数据安全标准（PCI-DSS）是PCI安全标准委员会制定的数据安全标准。PCI-DSS标准目标在于严格控制对支付卡持卡人数据的处理、存储和传输，以保障银行卡用户在线交易的安全。PCI-DSS标准按每年交易量将商家分为四个等级，为不同等级商家提出不同强度的安全要求。PCI-DSS要求所有涉及信用卡支付的企业必须满足PCI-DSS标准。PCI-DSS安全标准部分主要内容包括 6 大类要求：
1 ）构建和维护一个安全的网络；
2 ）保护持卡人数据；
3 ）维护一个脆弱性管理流程；
4 ）实施强制访问控制措施；
5 ）定期监控和测试网络；
6 ）维护一个信息安全策略。
对于每一类要求，PCI-DSS对其进行了详细规定，达到可操作的要求，比如，对于第 1 类安全要求（构建和维护一个安全的网络），其规定：
1 ）安全维护一个防火墙配置来保护持卡人数据；
2 ）不要在系统密码和其它安全参数方面使用默认值。
PCI-DSS也处于不断发展之中，比如，针对云计算新型环境，PCI- DSS制定了专门的补充标准《信息补充：PCI-DSS云计算指南》。
（二）NCHHSTP数据安全和私密性指南
美国艾滋病、肝炎、性传播疾病与结核病预防中心（NCHHSTP）发布了旨在实现HIV、病毒性肝炎、性传播疾病，和肺结核监护数据共享的数据安全和私密性指南。该指南详细分析了共享数据、维护安全和私密性的好处、风险和代价。给出了实现数据收集、存储、共享和使用过程安全和私密性的 10 大指导原则，并制定了实现数据收集、存储、共享和使用过程中安全和私密性的安全指南。
NCHHSTP数据安全 10 大原则为：1 ）公共健康数据的获取、使用、披露和存储必须为合法公共健康目的服务；
2 ）应该只收集最小数量的个人识别数据以执行必要的公共安全活动；
3 ）必须拥有保护个人识别数据隐私和安全的强安全策略；
4 ）数据的收集和适用策略必须反映出对个人和社区组织的尊重，且要减轻他们不必要的负担；
5 ）必须有确保所采集和使用数据质量的策略和流程；
6 ）有责任及时使用和分发摘要数据给相关干系人；
7 ）数据共享应该只限于合法的公共健康目的，且必须及时为数据共享建立数据使用协议；
8 ）公共健康数据应该在一个安全环境中保存，以及通过安全方法传输；
9 ）最小化被授权访问可识别个人信息的人员和实体的数量；
10 ）职员应该主动负责对公共健康数据的管理。
NCHHSTP数据安全和隐私性指南包括五个方向：策略和责任、数据 的收集和使用、数据的共享和发布、物理安全和电子数据安全。

个人信息安全标准规范

（一）ISO/IEC 29100:2011《信息技术 安全技术 隐私保护框架》
该标准为信息与通信技术（ICT）系统内可识别个人信息（PII）的保护提供了一个高层次隐私保护框架。该隐私保护框架规范了通用的隐私保护术语；定义了处理PII中的参与者及其角色；描述了隐私保护的考虑事项；为实现由许多国际组织开发的 11 个隐私保护原则提供指导。 11 个隐私保护原则包括同意和选择、意图合法性和规约、收集限制、数据最小化、使用/保留/披露限制、准确和质量、开放/透明/告知、个体参与和访问、可核查性、信息安全、隐私保护合规。该标准适用于涉及规范、获取、构建、设计、开发、测试、维护、管理和运行需要隐私保护控制措施来处理PII的ICT系统或服务的任何自然人和组织。
（二）ISO/IEC 29101:2013《信息技术 安全技术 隐私保护体系结构框架》
该标准定义了一个隐私参考体系结构框架，该框架明确提出了处理PII的ICT系统的关心点，列出了实现这种系统的组件，并提供了将这些组件语境化的体系结构视图。该标准适用于涉及规划、获取、构建、设计、测试、维护、管理和运行处理PII的ICT系统的实体。
（三）ISO/IEC 29190:2015《信息技术　安全技术　隐私保护能力评估模型》
该标准为组织评估其管理隐私保护相关过程的能力提供高层指南，规范了确定隐私保护能力的评估过程和评估级别，为评估隐私保护能力的关键过程域及其实现，以及如何将隐私保护能力评估继承到组织运行中提供 了指南。
（四）ISO/IEC 27018:2014《信息技术 安全技术 可识别个人信息（PII）处理者在公有云中保护PII的实践指南》
该标准依据ISO/IEC 29100给出的隐私保护原则，为在公有云计算环境中保护可识别个人信息（PII），建立了普遍接受的控制目标、控制措施和测量实现指南。特别是，该标准考虑到在公有云提供者的信息安全风险环境下适用的PII保护法规要求，基于ISO/IEC 27002给出指南。该标准适用于作为PII处理者通过云计算提供信息处理服务的所有类型和规模的组织。
（五）ISO/IEC 29134《信息技术 安全技术 隐私影响评估指南》该标准为隐私影响评估（PIA）过程以及PIA报告的结构和内容给出指南。该标准适用于所有类型和规模组织。
（六）ISO/IEC 29151《信息技术 安全技术 可识别个人信息（PII）保护实践指南》
该标准为满足通过可识别个人信息（PII）保护相关的风险和影响评估而识别的要求，建立了控制目标和控制措施，并提供了控制措施实现指南。该标准考虑到在组织信息安全风险环境下适用的PII处理要求，基于ISO/IEC 27002给出指南。该标准适用于作为PII控制者的所有类型和规模的组织。
（七）BS 10012:2009《数据保护 个人信息管理系统规范》
该标准由英国标准协会（BSI）于 2009 年 6 月发布，主要是针对个人信息保护所提出的“个人信息保护标准”，其中参考了经济开发合作组织（OECD）的个人隐私权保护的八大原则，用于支撑欧盟隐私保护条例和英国的数据保护法案，强调要建立一个管理体系，并且就个人信息跨境管理的情况给出了建议。
该标准规范了个人信息管理体系（PIMS）要求，提供了一个框架用于维护和改进数据保护的合规性和最佳实践。该标准适用于任何规模和行业的组织，主要为在其内部启动、实施和维护PIMS的组织所用。该标准旨在提供个人信息管理的共同基础，以便增强个人信息管理的信心，并使 得内部和外部评估者能够有效地评估数据保护的合规性和最佳实践。
（八）《信息安全技术 个人信息安全规范》（国家标准，在研）该标准提出了通过计算机系统处理个人信息时，应当遵循的原则和采取的安全控制措施。该标准要求个人信息控制者在使用计算机系统对个人信息进行处理时，应遵循以下基本原则：目的明确原则、同意和选择原则、最少够用原则、开放透明原则、质量保证原则、确保安全原则、个体参与原则、问责原则、披露限制原则。该标准用于指导组织内部建立个人信息保护策略，并用于指导产品、服务、内部信息系统的设计、开发和实现。

大数据安全标准规范

（一）ISO/IEC 20547-4《信息技术 大数据参考架构 第4部分：安全与隐私保护》（国际标准，在研）该标准分析了大数据面临的安全与隐私保护问题和相关风险，在ISO/IEC 20547-3《信息技术　大数据参考架构　第 3 部分：参考架构》给出的大数据参考架构（BDRA）基础上，提出了大数据安全与隐私保护参考架构（BDRA-S&P）。BDRA-S&P包括用户视角的大数据安全与隐私保护角色和活动，以及功能视角的支持大数据安全与隐私保护活动的功能组件。该标准还汇集了信息安全领域中已有的安全控制措施和隐私保护控制措施，作为大数据安全与隐私保护功能组件的选项。
（二）NIST 1500-4《NIST大数据互操作框架：第4册 安全与隐私》（美国标准）该标准聚焦于提出、分析和解决大数据特有的安全与隐私保护问题。
在理解和执行安全与隐私保护要求上，大数据触发了需求模式的根本转变，从而满足大数据的体量大、种类多、速度快和易变化的特点。基础架构的安全解决方案目标也发生了变化，例如，分布式计算系统和非关系型数据存储的安全。大数据场景下新的安全问题需要解决，其中包括平衡隐私与实用性，对加密数据开展分析和治理，以及核查认证用户和匿名用户。该标准分析了特定应用场景（包括医疗、政府、零售、航空等）下的大数据安全与隐私保护问题，提出了大数据安全与隐私保护的主要概念和角色，开发了一个大数据安全与隐私保护参考架构来补充NIST大数据参考架构（NBDRA），并对行业应用案例和NBDRA之间的映射进行了相关 探索。
（三）《大数据服务安全能力要求》（国家标准，在研）
该标准定义了大数据服务业务模式、大数据服务角色、大数据服务安全能力框架和大数据服务的数据安全目标和系统安全目标，规范了大数据服务提供者的大数据服务基本安全能力、数据服务安全能力和系统服务安全能力要求，为大数据服务提供者的组织能力建设、数据业务服务安全管理、大数据平台安全建设和大数据安全运营规范安全能力要求。该标准一方面可以为大数据服务提供者提升大数据服务安全能力提供指导，另一方面则为第三方机构对大数据服务安全测评提供依据。
该标准将大数据服务安全能力分为一般要求和增强要求。大数据服务提供者应依据大数据框架服务模式和大数据应用模式，根据大数据系统所存储和分析数据的敏感度和业务重要性的不同，提供相应级别的大数据服务安全能力。
（四）《大数据安全管理指南》（国家标准，在研）
该标准分析了数据生命周期各阶段中的主要安全风险，尤其是在数据转移的环节，对角色提出安全管理要求。该标准指导大数据生态环境中各角色安全地管理和处理大数据，形成一个安全大数据环境，确定各角色的责任和行为规范，为各角色安全地处理大数据提出管理和技术要求。该标准规范大数据处理中的各个关键环节，为大数据应用和发展提供安全的规 范原则，解决数据开放、共享中的基本原则。

更多大数据相关材料
GB/T 35295-2017 信息技术 大数据 术语
GB/T 35589-2017 信息技术 大数据 技术参考模型
GB/T 37721-2019 信息技术 大数据分析系统功能要求
GB/T 37722-2019 信息技术 大数据存储与处理系统功能要求