中国标准英文版 数据库收录: 159759 更新: 2024-06-28

[PDF] GB/T 37988-2019 - 自动发货. 英文版

标准搜索结果: 'GB/T 37988-2019'
标准号码内文价格美元第2步(购买)交付天数标准名称状态
GB/T 37988-2019 英文版 910 GB/T 37988-2019 3分钟内自动发货[PDF],有增值税发票。 信息安全技术 数据安全能力成熟度模型 有效

PDF提取页预览 (购买全文PDF,9秒内自动发货,有发票)
基本信息
标准编号 GB/T 37988-2019 (GB/T37988-2019)
中文名称 信息安全技术 数据安全能力成熟度模型
英文名称 Information security technology -- Data security capability maturity model
行业 国家标准 (推荐)
中标分类 L80
国际标准分类 35.040
字数估计 62,612
发布日期 2019-08-30
实施日期 2020-03-01
起草单位 阿里巴巴(北京)软件服务有限公司、中国电子技术标准化研究院、中国信息安全测评中心、北京奇安信科技有限公司、联想(北京)有限公司、公安部第三研究所、清华大学、中国网络安全审查技术与认证中心、中国科学院软件研究所、中国移动通信集团公司、阿里云计算有限公司、北京天融信科技股份有限公司、中国科学院信息工程研究所、陕西省信息化工程研究院、西北大学、浪潮电子信息产业股份有限公司、北京易华录信息技术股份有限公司、新华三技术有限公司、勤智数码科技股份有限公司、北京数字认证股份有限公司、启明星辰信息技术集团股份有限公司、海
归口单位 全国信息安全标准化技术委员会(SAC/TC 260)
提出机构 全国信息安全标准化技术委员会(SAC/TC 260)
发布机构 国家市场监督管理总局、中国国家标准化管理委员会

GB/T 37988-2019: 信息安全技术 数据安全能力成熟度模型
GB/T 37988-2019 英文名称: Information security technology -- Data security capability maturity model
1 范围
本标准给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。
本标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 25069-2010 信息安全技术 术语
GB/T 29246-2017 信息技术 安全技术信息安全管理体系 概述和词汇
3 术语和定义
GB/T 25069-2010和GB/T 29246-2017界定的以及下列术语和定义适用于本文件。
3.1
数据安全
通过管理和技术措施,确保数据有效保护和合规使用的状态。
3.2
保密性
使信息不泄漏给未授权的个人、实体、进程,或不被其利用的特性。
3.3
完整性
准确和完备的特性。
3.4
可用性
已授权实体一旦需要就可访问和使用的数据和资源的特性。
3.5
数据安全能力
组织在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障。
3.6
能力成熟度
对一个组织有条理的持续改进能力以及实现特定过程的连续性、可持续性、有效性和可信度的
水平。
3.7
能力成熟度模型
对一个组织的能力成熟度进行度量的模型,包括一系列代表能力和进展的特征、属性、指示或者
模式。
注:能力成熟度模型为组织衡量其当前的实践、流程、方法的能力水平提供参考基准,并设置明确的提升目标。
3.8
安全过程
用于实现某一安全目标的完整过程,该过程包含输入和输出。
示例:“安全审计”这一安全过程,输入是系统日志,输出是审计报告。
3.9
过程域
实现同一安全目标的相关数据安全基本实践的集合。
注:一个过程域中包含一个或多个基本实践。
示例:“元数据管理”这一过程域,包含建立元数据管理规范、建立元数据访问控制策略、建立元数据技术工具等基本实践。
3.10
基本实践
实现某一安全目标的数据安全相关活动。
示例:建立数据资产清单,对数据资产进行分类分级管理等。
3.11
通用实践
在评估中用于确定任何安全过程域或基本实践的实施能力的评定准则。
3.12
数据脱敏
通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。
3.13
数据处理
对原始数据进行抽取、转换、加载的过程。
注1:数据处理包括开发数据产品或数据分析等。
注2:数据产品包括但不限于能访问原始数据,提供数据计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的软硬件产品。
3.14
数据供应链
为满足数据供应关系,通过资源和过程将需方、供方相互关联的结构。
3.15
规程
对执行一个给定任务所采取动作历程的书面描述。
3.16
合规
对数据安全所适用的法律法规的符合程度。
4 缩略语
下列缩略语适用于本文件。
BP:基本实践
DSMM:数据安全能力成熟度模型
GP:通用实践
PA:过程域
SSL:安全套接层
TLS:传输层安全
5 DSMM架构
5.1 成熟度模型架构
a) 安全能力维度
安全能力维度明确了组织在数据安全领域应具备的能力,包括组织建设、制度流程、技术工具
和人员能力。
b) 能力成熟度等级维度
数据安全能力成熟度等级划分为五级,具体包括:1级是非正式执行级,2级是计划跟踪级,3
级是充分定义级,4级是量化控制级,5级是持续优化级。
c) 数据安全过程维度
1) 数据安全过程包括数据生存周期安全过程和通用安全过程;
2) 数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理
安全、数据交换安全、数据销毁安全6个阶段。
5.2 安全能力维度
5.2.1 能力构成
通过对组织各数据安全过程应具备安全能力的量化,进而评估每项安全过程的实现能力。
安全能力分为以下4个方面:
a) 组织建设:数据安全组织的设立、职责分配和沟通协作;
b) 制度流程:组织数据安全领域的制度和流程执行;
c) 技术工具:通过技术手段和产品工具落实安全要求或自动化实现安全工作;
d) 人员能力:执行数据安全工作的人员的安全意识及相关专业能力。
5.2.2 组织建设
从承担数据安全工作的组织应具备的组织建设能力角度,根据以下方面进行能力等级区分:
a) 数据安全组织架构对组织业务的适用性;
b) 数据安全组织承担的工作职责的明确性;
c) 数据安全组织运作、沟通协调的有效性。
5.2.3 制度流程
从组织在数据安全制度流程的建设以及执行情况角度,根据以下方面进行能力等级区分:
a) 数据生存周期关键控制节点授权审批流程的明确性;
b) 相关流程制度的制定、发布、修订的规范性;
c) 制度流程实施的一致性和有效性。
5.2.4 技术工具
从组织用于开展数据安全工作的安全技术、应用系统和工具出发,根据以下方面进行能力等级
区分:
a) 数据安全技术在数据全生存周期过程中的利用情况,应对数据全生存周期安全风险的能力;
b) 利用技术工具对数据安全工作的自动化支持能力,对数据安全制度流程固化......
   
       隐私   ·  优质产品   ·  退款政策   ·  公平交易   ·  关于我们
宁德梧三商贸有限公司 (营业执照期限:2019-2049年. 纳税人识别号:91350900MA32WE2Q2X)
对公账号开户银行:中国建设银行 | 账户名称:宁德梧三商贸有限公司 | 账户号码:35050168730700000955
本公司专职于中国国家标准行业标准英文版