中华人民共和国国家标准信息安全技术数据安全能力成熟度模型发布实施国家市场监督管理总局中国国家标准化管理委员会发布目次前言范围规范性引用文件术语和定义缩略语架构成熟度模型架构安全能力维度能力成熟度等级维度数据安全过程维度数据采集安全数据分类分级数据采集安全管理数据源鉴别及记录数据质量管理数据传输安全数据传输加密网络可用性管理数据存储安全存储媒体安全逻辑存储安全数据备份和恢复数据处理安全数据脱敏数据分析安全数据正当使用数据处理环境安全数据导入导出安全数据交换安全数据共享安全数据发布安全数据接口安全数据销毁安全数据销毁处置存储媒体销毁处置通用安全数据安全策略规划组织和人员管理合规管理数据资产管理数据供应链安全元数据管理终端数据安全监控与审计鉴别与访问控制需求分析安全事件应急附录资料性附录能力成熟度等级描述与概述能力成熟度等级非正式执行能力成熟度等级计划跟踪能力成熟度等级充分定义能力成熟度等级量化控制能力成熟度等级持续优化附录资料性附录能力成熟度等级评估参考方法附录资料性附录能力成熟度等级评估流程和模型使用方法能力成熟度等级评估流程能力成熟度模型使用方法参考文献前言本标准按照给出的规则起草请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会提出并归口本标准起草单位阿里巴巴北京软件服务有限公司中国电子技术标准化研究院中国信息安全测评中心北京奇安信科技有限公司联想北京有限公司公安部第三研究所清华大学中国网络安全审查技术与认证中心中国科学院软件研究所中国移动通信集团公司阿里云计算有限公司北京天融信科技股份有限公司中国科学院信息工程研究所陕西省信息化工程研究院西北大学浪潮电子信息产业股份有限公司北京易华录信息技术股份有限公司新华三技术有限公司勤智数码科技股份有限公司北京数字认证股份有限公司启明星辰信息技术集团股份有限公司海信集团有限公司银川市大数据产业发展服务中心南京中新赛克科技有限责任公司北京微步在线科技有限公司上海观安信息技术有限公司华为技术有限公司三六零科技股份有限公司中电长城网际系统应用有限公司本标准主要起草人朱红儒刘贤刚胡影贾雪飞白晓媛叶晓俊李克鹏潘亮薛勇谢安明梅婧婷金涛叶润国孙明亮张宇光徐羽佳杜跃进陈彩芳柯妍张玉东徐雨晴张世长宋玲娓闵京华郑新华苗光胜刘玉岭潘正泰张锐卿任卫红任兰芳蔡晓丹常玲赵蓓张大江唐海龙孙晓军李正孙骞赵江马红霞鲁晋王川杜青峰薛坤尤其王伟张屹何军张兴信息安全技术数据安全能力成熟度模型范围本标准给出了组织数据安全能力的成熟度模型架构规定了数据采集安全数据传输安全数据存储安全数据处理安全数据交换安全数据销毁安全通用安全的成熟度等级要求本标准适用于对组织数据安全能力进行评估也可作为组织开展数据安全能力建设时的依据规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件信息安全技术信息技术术语安全技术信息安全管理体系术语和定义概述和词汇和界定的以及下列术语和定义适用于本文件数据安全通过管理和技术措施确保数据有效保护和合规使用的状态保密性使信息不泄漏给未授权的个人实体进程或不被其利用的特性定义完整性准确和完备的特性定义可用性已授权实体一旦需要就可访问和使用的数据和资源的特性定义数据安全能力组织在组织建设制度流程技术工具以及人员能力等方面对数据的安全保障能力成熟度对一个组织有条理的持续改进能力以及实现特定过程的连续性可持续性有效性和可信度的水平能力成熟度模型对一个组织的能力成熟度进行度量的模型包括一系列代表能力和进展的特征属性指示或者模式注能力成熟度模型为组织衡量其当前的实践流程方法的能力水平提供参考基准并设置明确的提升目标安全过程用于实现某一安全目标的完整过程该过程包含输入和输出示例安全审计这一安全过程输入是系统日志输出是审计报告过程域实现同一安全目标的相关数据安全基本实践的集合注一个过程域中包含一个或多个基本实践示例元数据管理这一过程域包含建立元数据管理规范建立元数据访问控制策略建立元数据技术工具等基本实践基本实践实现某一安全目标的数据安全相关活动示例建立数据资产清单对数据资产进行分类分级管理等通用实践在评估中用于确定任何安全过程域或基本实践的实施能力的评定准则数据脱敏通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法数据处理对原始数据进行抽取转换加载的过程注数据处理包括开发数据产品或数据分析等注数据产品包括但不限于能访问原始数据提供数据计算数据存储数据交换数据分析数据挖掘数据展示等应用的软硬件产品数据供应链为满足数据供应关系通过资源和过程将需方供方相互关联的结构规程对执行一个给定任务所采取动作历程的书面描述定义合规对数据安全所适用的法律法规的符合程度缩略语下列缩略语适用于本文件基本实践数据安全能力成熟度模型通用实践过程域安全套接层传输层安全架构成熟度模型架构架构如图所示图架构图的架构由以下三个维度构成安全能力维度安全能力维度明确了组织在数据安全领域应具备的能力包括组织建设制度流程技术工具和人员能力能力成熟度等级维度数据安全能力成熟度等级划分为五级具体包括级是非正式执行级级是计划跟踪级级是充分定义级级是量化控制级级是持续优化级数据安全过程维度数据安全过程包括数据生存周期安全过程和通用安全过程数据生存周期安全过程具体包括数据采集安全数据传输安全数据存储安全数据处理安全数据交换安全数据销毁安全个阶段安全能力维度能力构成通过对组织各数据安全过程应具备安全能力的量化进而评估每项安全过程的实现能力安全能力分为以下个方面组织建设数据安全组织的设立职责分配和沟通协作制度流程组织数据安全领域的制度和流程执行技术工具通过技术手段和产品工具落实安全要求或自动化实现安全工作人员能力执行数据安全工作的人员的安全意识及相关专业能力组织建设从承担数据安全工作的组织应具备的组织建设能力角度根据以下方面进行能力等级区分数据安全组织架构对组织业务的适用性数据安全组织承担的工作职责的明确性数据安全组织运作沟通协调的有效性制度流程从组织在数据安全制度流程的建设以及执行情况角度根据以下方面进行能力等级区分数据生存周期关键控制节点授权审批流程的明确性相关流程制度的制定发布修订的规范性制度流程实施的一致性和有效性技术工具从组织用于开展数据安全工作的安全技术应用系统和工具出发根据以下方面进行能力等级区分数据安全技术在数据全生存周期过程中的利用情况应对数据全生存周期安全风险的能力利用技术工具对数据安全工作的自动化支持能力对数据安全制度流程固化执行的实现能力人员能力从组织承担数据安全工作的人员应具备的能力出发根据以下方面进行能力等级区分数据安全人员所具备的数据安全技能是否能够满足实现安全目标的能力要求对数据相关业务的理解程度以及数据安全专业能力数据安全人员的数据安全意识以及对关键数据安全岗位员工数据安全能力的培养能力成熟度等级维度组织的数据安全能力成熟度等级共分为级见表表数据安全能力成熟度等级共性特征数据安全能力共性特征说明执行组织在数据安全过程中不能有效地执行相关工作仅在部分业随机无序被动地执成熟度等级等级务执行过程中根据临时的需求执行了相关工作未形成成熟的机制保证非正式执行相关工作的持续有效进行执行相关工作的人员未达到相应能力所执行的过程称为非正式过程行安全过程依赖于个人经验无法复制规划执行对安全过程进行规划提前分配资源和责任规范执行对安全过程进行控制使用执行计划执行基于标准和程等级计划跟踪序的过程对数据安全过程实施配置管理在业务系统级别主动验证执行确认过程按预定的方式执行验证过程的执行与计划是地实现了安全过程的跟踪执行控制数据安全过程执行的进展通过可测量的计划跟踪成体系化一致的过程的执行当过程实践与计划产生重大偏离时采取修正行动计划与执行但没有形定义标准过程组织对标准过程进行制度化为组织定义标准化的过程文档为满足特定用途对标准过程进行裁剪等级充分定义执行已定义的过程充分定义的过程是可重复执行的并使用过程执行的结果数据对有缺陷的过程结果和安全实践进行核查在组织级别实现了安全过程的规范执行协调安全实践确定业务系统内各业务系统之间组织外部活动的协调机制等级量化控制等级持续优化建立可测的安全目标为组织的数据安全建立可测量目标客观地管理执行确定过程能力的量化测量使用量化测量管理安全过程并以量化测量作为修正行动的基础改进组织能力在整个组织范围内对规程的使用进行比较寻找改进规程的机会并进行改进改进过程有效性制定处于持续改进状态下的规程对规程的缺陷进行消除并对规程进行持续改进建立了量化目标安全过程可度量根据组织的整体目标不断改进和优化安全过程能力成熟度等级与安全能力的关系如下将组织在每个数据安全的能力成熟度划分为五级针对每个等级下组织应具备的能力要求从个安全能力组织建设制度流程技术工具及人员能力提出具体的级要求应包含全部个安全能力其他等级要求可不包含完整的个数据安全关键能力并非每个安全的能力成熟度等级都包含完整的个数据安全关键能力示例某些的级要求具备组织建设和制度流程两个关键能力而级和级的能力要求仅涉及部分关键能力如组织建设技术工具的提升对于每个数据安全高等级的能力要求应包括所有低等级能力要求针对某一具体数据安全如果级的能力要求中未涉及某一关键能力的内容则默认应达到在级的能力要求中的该关键能力的内容如果级的能力要求中依旧未涉及该关键能力则默认应达到在级的能力要求中该关键能力的内容依此类推能力成熟度等级的描述与参见附录能力成熟度等级评估参考方法参见附录能力成熟度等级评估流程和模型使用方法参见附录数据安全过程维度数据生存周期数据生存周期分为以下个阶段数据采集组织内部系统中新产生数据以及从外部系统收集数据的阶段数据传输数据从一个实体传输到另一个实体的阶段数据存储数据以任何数字格式进行存储的阶段数据处理组织在内部对数据进行计算分析可视化等操作的阶段数据交换组织与组织或个人进行数据交换的阶段数据销毁对数据及数据存储媒体通过相应的操作手段使数据彻底删除且无法通过任何手段恢复的过程特定的数据所经历的生存周期由实际的业务所决定可为完整的个阶段或是其中的几个阶段数据安全体系体系体系分为数据生存周期安全过程和通用安全过程两部分共包含个如图所示图数据安全体系数据生存周期安全过程域包括以下个过程数据采集安全的包括数据分类分级数据采集安全管理数据源鉴别及记录数据质量管理个数据传输安全的包括数据传输加密网络可用性管理个数据存储安全的包括存储媒体安全逻辑存储安全数据备份和恢复个安全数据处理安全的包括数据脱敏数据分析安全数据正当使用数据处理环境安全数据导入导出安全个安全数据交换安全的包括数据共享安全数据发布安全数据接口安全个安全数据销毁安全的包括数据销毁处置存储媒体销毁处置个安全通用安全过程域包括数据安全策略规划组织和人员管理合规管理数据

pdf文档 GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型

文档预览
中文文档 62 页 50 下载 1000 浏览 0 评论 0 收藏 3.0分
温馨提示:本文档共62页,可预览 3 页,如浏览全部内容或当前文档出现乱码,可开通会员下载原始文档
GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型 第 1 页 GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型 第 2 页 GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型 第 3 页
下载文档到电脑,方便使用
本文档由 路人甲 于 2022-05-24 14:31:50上传分享
友情链接
站内资源均来自网友分享或网络收集整理,若无意中侵犯到您的权利,敬请联系我们微信(点击查看客服),我们将及时删除相关资源。