标准搜索结果: 'GB/T 37988-2019'
标准编号 | GB/T 37988-2019 (GB/T37988-2019) | 中文名称 | 信息安全技术 数据安全能力成熟度模型 | 英文名称 | Information security technology -- Data security capability maturity model | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 62,612 | 发布日期 | 2019-08-30 | 实施日期 | 2020-03-01 | 起草单位 | 阿里巴巴(北京)软件服务有限公司、中国电子技术标准化研究院、中国信息安全测评中心、北京奇安信科技有限公司、联想(北京)有限公司、公安部第三研究所、清华大学、中国网络安全审查技术与认证中心、中国科学院软件研究所、中国移动通信集团公司、阿里云计算有限公司、北京天融信科技股份有限公司、中国科学院信息工程研究所、陕西省信息化工程研究院、西北大学、浪潮电子信息产业股份有限公司、北京易华录信息技术股份有限公司、新华三技术有限公司、勤智数码科技股份有限公司、北京数字认证股份有限公司、启明星辰信息技术集团股份有限公司、海 | 归口单位 | 全国信息安全标准化技术委员会(SAC/TC 260) | 提出机构 | 全国信息安全标准化技术委员会(SAC/TC 260) | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 |
GB/T 37988-2019
Information security technology -- Data security capability maturity model
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术 数据安全能力成熟度模型
2019-08-30发布
2020-03-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 3
5 DSMM架构 3
5.1 成熟度模型架构 3
5.2 安全能力维度 4
5.3 能力成熟度等级维度 4
5.4 数据安全过程维度 6
6 数据采集安全 7
6.1 PA01数据分类分级 7
6.2 PA02数据采集安全管理 8
6.3 PA03数据源鉴别及记录 9
6.4 PA04数据质量管理 11
7 数据传输安全 12
7.1 PA05数据传输加密 12
7.2 PA06网络可用性管理 13
8 数据存储安全 14
8.1 PA07存储媒体安全 14
8.2 PA08逻辑存储安全 15
8.3 PA09数据备份和恢复 17
9 数据处理安全 19
9.1 PA10数据脱敏 19
9.2 PA11数据分析安全 20
9.3 PA12数据正当使用 22
9.4 PA13数据处理环境安全 23
9.5 PA14数据导入导出安全 24
10 数据交换安全 26
10.1 PA15数据共享安全 26
10.2 PA16数据发布安全 27
10.3 PA17数据接口安全 28
11 数据销毁安全 29
11.1 PA18数据销毁处置 29
11.2 PA19存储媒体销毁处置 31
12 通用安全 32
12.1 PA20数据安全策略规划 32
12.2 PA21组织和人员管理 34
12.3 PA22合规管理 36
12.4 PA23数据资产管理 38
12.5 PA24数据供应链安全 39
12.6 PA25元数据管理 41
12.7 PA26终端数据安全 42
12.8 PA27监控与审计 43
12.9 PA28鉴别与访问控制 44
12.10 PA29需求分析 46
12.11 PA30安全事件应急 47
附录A(资料性附录) 能力成熟度等级描述与GP 49
A.1 概述 49
A.2 能力成熟度等级1---非正式执行 49
A.3 能力成熟度等级2---计划跟踪 49
A.4 能力成熟度等级3---充分定义 50
A.5 能力成熟度等级4---量化控制 51
A.6 能力成熟度等级5---持续优化 52
附录B(资料性附录) 能力成熟度等级评估参考方法 54
附录C(资料性附录) 能力成熟度等级评估流程和模型使用方法 55
C.1 能力成熟度等级评估流程 55
C.2 能力成熟度模型使用方法 56
参考文献 57
信息安全技术 数据安全能力成熟度模型
1 范围
本标准给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存
储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。
本标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术 术语
GB/T 29246-2017 信息技术 安全技术信息安全管理体系 概述和词汇
3 术语和定义
GB/T 25069-2010和GB/T 29246-2017界定的以及下列术语和定义适用于本文件。
3.1
数据安全 datasecurity
通过管理和技术措施,确保数据有效保护和合规使用的状态。
3.2
保密性 confidentiality
使信息不泄漏给未授权的个人、实体、进程,或不被其利用的特性。
[GB/T 25069-2010,定义2.1.1]
3.3
完整性 integrity
准确和完备的特性。
[GB/T 29246-2017,定义2.40]
3.4
可用性 availability
已授权实体一旦需要就可访问和使用的数据和资源的特性。
[GB/T 25069-2010,定义2.1.20]
3.5
组织在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障。
3.6
能力成熟度 capabilitymaturity
对一个组织有条理的持续改进能力以及实现特定过程的连续性、可持续性、有效性和可信度的
水平。
3.7
对一个组织的能力成熟度进行度量的模型,包括一系列代表能力和进展的特征、属性、指示或者
模式。
注:能力成熟度模型为组织衡量其当前的实践、流程、方法的能力水平提供参考基准,并设置明确的提升目标。
3.8
安全过程 securityprocess
用于实现某一安全目标的完整过程,该过程包含输入和输出。
示例:“安全审计”这一安全过程,输入是系统日志,输出是审计报告。
3.9
过程域 processarea
实现同一安全目标的相关数据安全基本实践的集合。
注:一个过程域中包含一个或多个基本实践。
示例:“元数据管理”这一过程域,包含建立元数据管理规范、建立元数据访问控制策略、建立元数据技术工具等基本
实践。
3.10
基本实践 basepractice
实现某一安全目标的数据安全相关活动。
示例:建立数据资产清单,对数据资产进行分类分级管理等。
3.11
通用实践 genericpractice
在评估中用于确定任何安全过程域或基本实践的实施能力的评定准则。
3.12
数据脱敏 datadesensitization
通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。
3.13
数据处理 dataprocessing
对原始数据进行抽取、转换、加载的过程。
注1:数据处理包括开发数据产品或数据分析等。
注2:数据产品包括但不限于能访问原始数据,提供数据计算、数据存储、数据交换、数据分析、数据挖掘、数据展示
等应用的软硬件产品。
3.14
数据供应链 datasupplychain
为满足数据供应关系,通过资源和过程将需方、供方相互关联的结构。
3.15
规程 procedure
对执行一个给定任务所采取动作历程的书面描述。
[GB/T 25069-2010,定义2.1.7]
3.16
合规 compliance
对数据安全所适用的法律法规的符合程度。
c) 数据安全过程维度
1) 数据安全过程包括数据生存周期安全过程和通用安全过程;
2) 数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理
安全、数据交换安全、数据销毁安全6个阶段。
5.2 安全能力维度
5.2.1 能力构成
通过对组织各数据安全过程应具备安全能力的量化,进而评估每项安全过程的实现能力。
安全能力分为以下4个方面:
a) 组织建设:数据安全组织的设立、职责分配和沟通协作;
b) 制度流程:组织数据安全领域的制度和流程执行;
c) 技术工具:通过技术手段和产品工具落实安全要求或自动化实现安全工作;
d) 人员能力:执行数据安全工作的人员的安全意识及相关专业能力。
5.2.2 组织建设
从承担数据安全工作的组织应具备的组织建设能力角度,根据以下方面进行能力等级区分:
a) 数据安全组织架构对组织业务的适用性;
b) 数据安全组织承担的工作职责的明确性;
c) 数据安全组织运作、沟通协调的有效性。
5.2.3 制度流程
从组织在数据安全制度流程的建设以及执行情况角度,根据以下方面进行能力等级区分:
a) 数据生存周期关键控制节点授权审批流程的明确性;
b) 相关流程制度的制定、发布、修订的规范性;
c) 制度流程实施的一致性和有效性。
5.2.4 技术工具
从组织用于开展数据安全工作的安全技术、应用系统和工具出发,根据以下方面进行能力等级
区分:
a) 数据安全技术在数据全生存周期过程中的利用情况,应对数据全生存周期安全风险的能力;
b) 利用技术工具对数据安全工作的自动化支持能力,对数据安全制度流程固化执行的实现能力。
5.2.5 人员能力
从组织承担数据安全工作的人员应具备的能力出发,根据以下方面进行能力等级区分:
a) 数据安全人员所具备的数据安全技能是否能够满足实现安全目标的能力要求(对数据相关业
务的理解程度以及数据安全专业能力);
b) 数据安全人员的数据安全意识以及对关键数据安全岗位员工数据安全能力的培养。
5.3 能力成熟度等级维度
组织的数据安全能力成熟度等级共分为5级,见表1。
理、数据供应链安全、元数据管理、终端数据安全、监控与审计、鉴别与访问控制、需求分析、安全事件应
急11个PA。
5.4.2.2 编码规则
数据安全PA编码规则如下:
a) 每个PA有对应的编号,分别采用递增的数值01、02,..,表示。
示例1:PA01,代表PA“数据分类分级”。
第二组编码表示具体BP的序号,具体BP的序号采用递增的数值01、02,..,表示。
示例2:BP.01.01表示,过程域PA01“数据分类分级”中的第一个BP。
c) 对于每个PA的每个级别,需要同时满足本级别和所有低于该级别的BP的要求,才能达到本
级别的能力水平,依此类推。
6 数据采集安全
6.1 PA01数据分类分级
6.1.1 PA描述
基于法律法规以及业务需求确定组织内部的数据分类分级方法,对生成或收集的数据进行分类分
级标识。
6.1.2 等级描述
6.1.2.1 等级1:非正式执行
该等级的数据安全能力描述如下:
制度流程:组织未在任何业务建立成熟稳定的数据分类分级,仅根据临时需求或基于个人经验,对
部分数据进行了分类或分级(BP.01.01)。
6.1.2.2 等级2:计划跟踪
该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责相关业务的数据分类分级(BP.01.02);
b) 制度流程:应根据业务特性和外部合规要求,对核心业务的关键数据进行分类分级管理
(BP.01.03)。
6.1.2.3 等级3:充分定义
该等级的数据安全能力要求描述如下:
a) 组织建设:组织应设立负责数据安全分类分级工作的管理岗位和人员,主要负责定义组织整体
的数据分类分级的安全原则(BP.01.04)。
b) 制度流程:
1) 应明确数据分类分级原则、方法和操作指南(BP.01.05);
2) 应对组织的数据进行分类分级标识和管理(BP.01.06);
3) 应对不同类别和级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控
制措施(BP.01.07);
4) 应明确数据分类分级变更审批流程和机制,通过该流程保证对数据分类分级的变更操作
及其结果符合组织的要求(BP.01.08)。
c) 技术工具:应建立数据分类分级打标或数据资产管理工具,实现对数据的分类分级自动标识、
标识结果发布、审核等功能(BP.01.09)。
d) 人员能力:负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感
数据(BP.01.10)。
6.1.2.4 等级4:量化控制
该等级的数据安全能力要求描述如下:
技术工具:
a) 应记录自动分类分级结果与人工审核后的分类分级结果之间的差异,定期分析改进分类分级
标识工具,提升工具处理的准确度(BP.01.11);
b) 应对数据分类分级的操作、变更过程进行日志记录和分析,定期通过日志分析等技术手段进行
变更操作审计,数据分类分级可追溯(BP.01.12)。
6.1.2.5 等级5:持续优化
该等级的数据安全能力要求描述如下:
a) 制度流程:应定期评审数据分类分级的规范和细则,考虑其内容是否完全覆盖了当前的业务,
并执行持续的改进优化工作(BP.01.13);
b) 技术工具:
1) 应跟踪数据分类分级标识效果,持续改进数据分类分级的技术工具(BP.01.14);
2) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆(BP.01.15)。
6.2 PA02数据采集安全管理
6.2.1 PA描述
在采集外部客户、合作伙伴等相关方数据的过程中,组织应明确采集数据的目的和用途,确保满足
数据源的真实性、有效性和最少够用等原则要求,并明确数据采集渠道、规范数据格式以及相关的流程
和方式,从而保证数据采集的合规性、正当性、一致性。
6.2.2 等级描述
6.2.2.1 等级1:非正式执行
该等级的数据安全能力描述如下:
制度流程:未在任何业务建立成熟稳定的数据采集安全管理,仅根据临时需求或基于个人经验对个
别数据采集进行安全管理(BP.02.01)。
6.2.2.2 等级2:计划跟踪
该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责数据采集安全管理(BP.02.02)。
b) 制度流程:
1) 应明确核心业务数据采集原则,保证该业务数据采集的合法、正当(BP.02.03);
2) 核心业务应明示个人信息采集的目的、方式和范围,并经被收集者同意(BP.02.04)。
6.2.2.3 等级3:充分定义
该等级的数据安全能力要求描述如下:
a) 组织建设:组织应设立数据采集安全管理的岗位和人员,负责制定相关的数据采集安全管理的制
度,推动相关要求、流程的落地,并对具体业务或项目的风险评估提供咨询和支持(BP.02.05)。
b) 制度流程:
1) 应明确组织的数据采集原则,定义业务的数据采集流程和方法(BP.02.06);
2) 应明确数据采集的渠道及外部数据源,并对外部数据源的合法性进行确认(BP.02.07);
3) 应明确数据采集范围、数量和频度,确保不收集与提供服务无关的个人信息和重要数据
(BP.02.08);
4) 应明确组织数据采集的风险评估流程,针对采集的数据源、频度、渠道、方式、数据范围和
类型进行风险评估(BP.02.09);
5) 应明确数据采集过程中个人信息和重要数据的知悉范围和需要采取的控制措施,确保采
集过程中的个人信息和重要数据不被泄漏(BP.02.10);
6) 应明确自动化采集数据的范围(BP.02.11)。
c) 技术工具:
1) 应依据统一的数据采集流程建设数据采集相关的工具,以保证组织数据采集流程实现的
一致性,同时相关系统应具备详细的日志记录功能,确保数据采集授权过程的完整记录
(BP.02.12);
2) 应采取技术手段保证数据采集过程中个人信息和重要数据不被泄漏(BP.02.13)。
d) 人员能力:负责该项工作的人员应能够充分理解数据采集的法律要求、安全和业务需求,并能
够根据组织的业务提出针对性的解决方案(BP.02.14)。
6.2.2.4 等级4:量化控制
该等级的数据安全能力要求描述如下:
a) 制度流程:应明确数据采集安全管理效果的评估方式,如数据采集安全管理在业务的覆盖率、
制度流程执行效果、数据采集授权率等(BP.02.15)。
b) 技术工具:
1) 应采取必要的技术手段对采集的数据进行校验(BP.02.16);
2) 应跟踪和记录数据采集和获取过程,支持对数据采集和获取操作过程的可追溯(BP.02.17)。
6.2.2.5 等级5:持续优化
该等级的数据安全能力要求描述如下:
a) 制度流程:数据采集安全管理应持续优化,持续跟踪数据采集安全管理执行效果、新业务产生
的需求、行业新技术和最佳实践、合规新要求新变化等(BP.02.18)。
b) 技术工具:
1) 应根据制度流程的更新,不断升级优化数据采集工具(BP.02.19);
2) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆(BP.02.20)。
6.3 PA03数据源鉴别及记录
6.3.1 PA描述
对产生数据的数据源进行身份鉴别和记录,防止数据仿冒和数据伪造。
6.3.2 等级描述
6.3.2.1 等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未对任何业务的采集数据源进行有效管理,仅根据临时需求或基于个人经验对采集的数
据源进行临时记录(BP.03.01)。
6.3.2.2 等级2:计划跟踪
该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责数据源鉴别和记录(BP.03.02);
b) 制度流程:核心业务系统的在线数据采集和外部第三方采集,均应建立了相应机制执行数据源
的鉴别和记录(BP.03.03);
c) 技术工具:核心业务应具有技术工具支持对数据源的鉴别和记录(BP.03.04)。
6.3.2.3 等级3:充分定义
该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责对数据源进行鉴别和记录(BP.03.05)。
b) 制度流程:应明确数据源管理的制度,对组织采集的数据源进行鉴别和记录(BP.03.06)。
c) 技术工具:
1) 组织应采取技术手段对外部收集的数据和数据源进行识别和记录(BP.03.07);
2) 应对关键追溯数据进行备份,并采取技术手段对追溯数据进行安全保护(BP.03.08)。
d) 人员能力:负责该项工作的人员应理解数据源鉴别标准和组织内部数据采集的业务,能够结合
实际情况执行(BP.03.09)。
6.3.2.4 等级4:量化控制
该等级的数据安全能力要求描述如下:
a) 制度流程:
1) 组织应定义了数据追溯策略要求、追溯数据格式、追溯数据安全存储与使用的管理制度
等。根据组织内的业务梳理数据源的类型,并明确在关键的数据管理系统(如数据库管理
系统、元数据管理系统)上对数据源类型标记的要求(BP.03.10);
2) 应明确基于追溯数据的数据业务与法律法规合规性审核的机制,并依据审核结果增强或
改进与数据服务相关的访问控制与合规性保障机制和策略(BP.03.11)。
b) 技术工具:组织关键的数据管理系统中应提供了标记数据的数据源类型的功能,从而实现对组
织内部各类数据源的统计和分析(BP.03.12)。
6.3.2.5 等级5:持续优化
该等级的数据安全能力要求描述如下:
a) 制度流程:应对数据源鉴别方式和分类方法进行持续的改进,基于业务的发展变化以及行业最
佳实践,提升数据源管理的成效(BP.03.13)。
b) 技术工具:
1) 应面向制度流程的更新,持续改进工具在数据鉴别、记录和追溯等方面的服务能力(BP.03.14);
2) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆(BP.03.15)。
6.4 PA04数据质量管理
6.4.1 PA描述
建立组织的数据质量管理体系,保证对数据采集过程中收集/产生的数据的准确性、一致性和完
整性。
6.4.2 等级描述
6.4.2.1 等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务建立成熟稳定的数据质量管理或监控,仅根据临时需求或基于个人经验考
虑数据质量管理(BP.04.01)。
6.4.2.2 等级2:计划跟踪
该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员根据业务需求进行数据质量管理(BP.04.02)。
b......
|