GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型.pdf
- 文档编号:14661323
- 上传时间:2023-06-25
- 格式:PDF
- 页数:62
- 大小:962.76KB
GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型.pdf
《GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型.pdf》由会员分享,可在线阅读,更多相关《GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型.pdf(62页珍藏版)》请在冰点文库上搜索。
ICS35.040L80中华人民共和国国家标准GB/T379882019信息安全技术数据安全能力成熟度模型InformationsecuritytechnologyDatasecuritycapabilitymaturitymodel2019-08-30发布2020-03-01实施国家市场监督管理总局中国国家标准化管理委员会发布目次前言1范围12规范性引用文件13术语和定义14缩略语35DSMM架构35.1成熟度模型架构35.2安全能力维度45.3能力成熟度等级维度45.4数据安全过程维度66数据采集安全76.1PA01数据分类分级76.2PA02数据采集安全管理86.3PA03数据源鉴别及记录96.4PA04数据质量管理117数据传输安全127.1PA05数据传输加密127.2PA06网络可用性管理138数据存储安全148.1PA07存储媒体安全148.2PA08逻辑存储安全158.3PA09数据备份和恢复179数据处理安全199.1PA10数据脱敏199.2PA11数据分析安全209.3PA12数据正当使用229.4PA13数据处理环境安全239.5PA14数据导入导出安全2410数据交换安全2610.1PA15数据共享安全2610.2PA16数据发布安全2710.3PA17数据接口安全2811数据销毁安全2911.1PA18数据销毁处置2911.2PA19存储媒体销毁处置31GB/T37988201912通用安全3212.1PA20数据安全策略规划3212.2PA21组织和人员管理3412.3PA22合规管理3612.4PA23数据资产管理3812.5PA24数据供应链安全3912.6PA25元数据管理4112.7PA26终端数据安全4212.8PA27监控与审计4312.9PA28鉴别与访问控制4412.10PA29需求分析4612.11PA30安全事件应急47附录A(资料性附录)能力成熟度等级描述与GP49A.1概述49A.2能力成熟度等级1非正式执行49A.3能力成熟度等级2计划跟踪49A.4能力成熟度等级3充分定义50A.5能力成熟度等级4量化控制51A.6能力成熟度等级5持续优化52附录B(资料性附录)能力成熟度等级评估参考方法54附录C(资料性附录)能力成熟度等级评估流程和模型使用方法55C.1能力成熟度等级评估流程55C.2能力成熟度模型使用方法56参考文献57GB/T379882019前言本标准按照GB/T1.12009给出的规则起草。
请注意本文件的某些内容可能涉及专利。
本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:
阿里巴巴(北京)软件服务有限公司、中国电子技术标准化研究院、中国信息安全测评中心、北京奇安信科技有限公司、联想(北京)有限公司、公安部第三研究所、清华大学、中国网络安全审查技术与认证中心、中国科学院软件研究所、中国移动通信集团公司、阿里云计算有限公司、北京天融信科技股份有限公司、中国科学院信息工程研究所、陕西省信息化工程研究院、西北大学、浪潮电子信息产业股份有限公司、北京易华录信息技术股份有限公司、新华三技术有限公司、勤智数码科技股份有限公司、北京数字认证股份有限公司、启明星辰信息技术集团股份有限公司、海信集团有限公司、银川市大数据产业发展服务中心、南京中新赛克科技有限责任公司、北京微步在线科技有限公司、上海观安信息技术有限公司、华为技术有限公司、三六零科技股份有限公司、中电长城网际系统应用有限公司。
本标准主要起草人:
朱红儒、刘贤刚、胡影、贾雪飞、白晓媛、叶晓俊、李克鹏、潘亮、薛勇、谢安明、梅婧婷、金涛、叶润国、孙明亮、张宇光、徐羽佳、杜跃进、陈彩芳、柯妍、张玉东、徐雨晴、张世长、宋玲娓、闵京华、郑新华、苗光胜、刘玉岭、潘正泰、张锐卿、任卫红、任兰芳、蔡晓丹、常玲、赵蓓、张大江、唐海龙、孙晓军、李正、孙骞、赵江、马红霞、鲁晋、王川、杜青峰、薛坤、尤其、王伟、张屹、何军、张兴。
GB/T379882019信息安全技术数据安全能力成熟度模型1范围本标准给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。
本标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。
2规范性引用文件下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T250692010信息安全技术术语GB/T292462017信息技术安全技术信息安全管理体系概述和词汇3术语和定义GB/T250692010和GB/T292462017界定的以及下列术语和定义适用于本文件。
3.1数据安全datasecurity通过管理和技术措施,确保数据有效保护和合规使用的状态。
3.2保密性confidentiality使信息不泄漏给未授权的个人、实体、进程,或不被其利用的特性。
GB/T250692010,定义2.1.13.3完整性integrity准确和完备的特性。
GB/T292462017,定义2.403.4可用性availability已授权实体一旦需要就可访问和使用的数据和资源的特性。
GB/T250692010,定义2.1.203.5数据安全能力datasecuritycapability组织在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障。
3.6能力成熟度capabilitymaturity对一个组织有条理的持续改进能力以及实现特定过程的连续性、可持续性、有效性和可信度的1GB/T379882019水平。
3.7能力成熟度模型capabilitymaturitymodel对一个组织的能力成熟度进行度量的模型,包括一系列代表能力和进展的特征、属性、指示或者模式。
注:
能力成熟度模型为组织衡量其当前的实践、流程、方法的能力水平提供参考基准,并设置明确的提升目标。
3.8安全过程securityprocess用于实现某一安全目标的完整过程,该过程包含输入和输出。
示例:
“安全审计”这一安全过程,输入是系统日志,输出是审计报告。
3.9过程域processarea实现同一安全目标的相关数据安全基本实践的集合。
注:
一个过程域中包含一个或多个基本实践。
示例:
“元数据管理”这一过程域,包含建立元数据管理规范、建立元数据访问控制策略、建立元数据技术工具等基本实践。
3.10基本实践basepractice实现某一安全目标的数据安全相关活动。
示例:
建立数据资产清单,对数据资产进行分类分级管理等。
3.11通用实践genericpractice在评估中用于确定任何安全过程域或基本实践的实施能力的评定准则。
3.12数据脱敏datadesensitization通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。
3.13数据处理dataprocessing对原始数据进行抽取、转换、加载的过程。
注1:
数据处理包括开发数据产品或数据分析等。
注2:
数据产品包括但不限于能访问原始数据,提供数据计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的软硬件产品。
3.14数据供应链datasupplychain为满足数据供应关系,通过资源和过程将需方、供方相互关联的结构。
3.15规程procedure对执行一个给定任务所采取动作历程的书面描述。
GB/T250692010,定义2.1.73.16合规compliance对数据安全所适用的法律法规的符合程度。
2GB/T3798820194缩略语下列缩略语适用于本文件。
BP:
基本实践(BasePractice)DSMM:
数据安全能力成熟度模型(DataSecurityCapabilityMaturityModel)GP:
通用实践(GenericPractice)PA:
过程域(ProcessArea)SSL:
安全套接层(SecureSocketsLayer)TLS:
传输层安全(TransportLayerSecurity)5DSMM架构5.1成熟度模型架构DSMM架构如图1所示。
图1DSMM架构图DSMM的架构由以下三个维度构成:
a)安全能力维度安全能力维度明确了组织在数据安全领域应具备的能力,包括组织建设、制度流程、技术工具和人员能力。
b)能力成熟度等级维度数据安全能力成熟度等级划分为五级,具体包括:
1级是非正式执行级,2级是计划跟踪级,3级是充分定义级,4级是量化控制级,5级是持续优化级。
3GB/T379882019c)数据安全过程维度1)数据安全过程包括数据生存周期安全过程和通用安全过程;2)数据生存周期安全过程具体包括:
数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。
5.2安全能力维度5.2.1能力构成通过对组织各数据安全过程应具备安全能力的量化,进而评估每项安全过程的实现能力。
安全能力分为以下4个方面:
a)组织建设:
数据安全组织的设立、职责分配和沟通协作;b)制度流程:
组织数据安全领域的制度和流程执行;c)技术工具:
通过技术手段和产品工具落实安全要求或自动化实现安全工作;d)人员能力:
执行数据安全工作的人员的安全意识及相关专业能力。
5.2.2组织建设从承担数据安全工作的组织应具备的组织建设能力角度,根据以下方面进行能力等级区分:
a)数据安全组织架构对组织业务的适用性;b)数据安全组织承担的工作职责的明确性;c)数据安全组织运作、沟通协调的有效性。
5.2.3制度流程从组织在数据安全制度流程的建设以及执行情况角度,根据以下方面进行能力等级区分:
a)数据生存周期关键控制节点授权审批流程的明确性;b)相关流程制度的制定、发布、修订的规范性;c)制度流程实施的一致性和有效性。
5.2.4技术工具从组织用于开展数据安全工作的安全技术、应用系统和工具出发,根据以下方面进行能力等级区分:
a)数据安全技术在数据全生存周期过程中的利用情况,应对数据全生存周期安全风险的能力;b)利用技术工具对数据安全工作的自动化支持能力,对数据安全制度流程固化执行的实现能力。
5.2.5人员能力从组织承担数据安全工作的人员应具备的能力出发,根据以下方面进行能力等级区分:
a)数据安全人员所具备的数据安全技能是否能够满足实现安全目标的能力要求(对数据相关业务的理解程度以及数据安全专业能力);b)数据安全人员的数据安全意识以及对关键数据安全岗位员工数据安全能力的培养。
5.3能力成熟度等级维度组织的数据安全能力成熟度等级共分为5级,见表1。
4GB/T379882019表1数据安全能力成熟度等级共性特征数据安全能力成熟度等级共性特征说明等级1:
非正式执行执行BP:
组织在数据安全过程中不能有效地执行相关工作,仅在部分业务执行过程中根据临时的需求执行了相关工作,未形成成熟的机制保证相关工作的持续有效进行,执行相关工作的人员未达到相应能力。
所执行的过程称为“非正式过程”随机、无序、被动地执行安全过程,依赖于个人经验,无法复制等级2:
计划跟踪a)规划执行:
对安全过程进行规划,提前分配资源和责任。
b)规范执行:
对安全过程进行控制,使用执行计划、执行基于标准和程序的过程,对数据安全过程实施配置管理。
c)验证执行:
确认过程按预定的方式执行,验证过程的执行与计划是一致的。
d)跟踪执行:
控制数据安全过程执行的进展,通过可测量的计划跟踪过程的执行,当过程实践与计划产生重大偏离时采取修正行动在业务系统级别主动地实现了安全过程的计划与执行,但没有形成体系化等级3:
充分定义a)定义标准过程:
组织对标准过程进行制度化,为组织定义标准化的过程文档,为满足特定用途对标准过程进行裁剪。
b)执行已定义的过程:
充分定义的过程是可重复执行的,并使用过程执行的结果数据,对有缺陷的过程结果和安全实践进行核查。
c)协调安全实践:
确定业务系统内、各业务系统之间、组织外部活动的协调机制在组织级别实现了安全过程的规范执行等级4:
量化控制a)建立可测的安全目标:
为组织的数据安全建立可测量目标。
b)客观地管理执行:
确定过程能力的量化测量,使用量化测量管理安全过程,并以量化测量作为修正行动的基础建立了量化目标,安全过程可度量等级5:
持续优化a)改进组织能力:
在整个组织范围内对规程的使用进行比较,寻找改进规程的机会,并进行改进。
b)改进过程有效性:
制定处于持续改进状态下的规程,对规程的缺陷进行消除,并对规程进行持续改进根据组织的整体目标,不断改进和优化安全过程能力成熟度等级与PA、BP、安全能力的关系如下:
a)将组织在每个数据安全PA的能力成熟度划分为五级,针对每个等级下组织应具备的能力要求,从4个安全能力(组织建设、制度流程、技术工具及人员能力)提出具体的BP。
b)3级要求应包含全部4个安全能力,其他等级要求可不包含完整的4个数据安全关键能力,并非每个安全PA的能力成熟度等级都包含完整的4个数据安全关键能力。
示例:
某些PA的2级要求具备组织建设和制度流程两个关键能力,而4级和5级的能力要求仅涉及部分关键能力如组织建设、技术工具的提升。
c)对于每个数据安全PA,高等级的能力要求应包括所有低等级能力要求。
针对某一具体数据安全PA,如果5级的能力要求中未涉及某一关键能力的内容,则默认应达到在4级的能力要求中的该关键能力的内容;如果4级的能力要求中依旧未涉及该关键能力,则默认应达到在3级的能力要求中该关键能力的内容,依此类推。
能力成熟度等级的描述与GP参见附录A。
能力成熟度等级评估参考方法,参见附录B。
5GB/T379882019能力成熟度等级评估流程和模型使用方法,参见附录C。
5.4数据安全过程维度5.4.1数据生存周期数据生存周期分为以下6个阶段:
a)数据采集:
组织内部系统中新产生数据,以及从外部系统收集数据的阶段;b)数据传输:
数据从一个实体传输到另一个实体的阶段;c)数据存储:
数据以任何数字格式进行存储的阶段;d)数据处理:
组织在内部对数据进行计算、分析、可视化等操作的阶段;e)数据交换:
组织与组织或个人进行数据交换的阶段;f)数据销毁:
对数据及数据存储媒体通过相应的操作手段,使数据彻底删除且无法通过任何手段恢复的过程。
特定的数据所经历的生存周期由实际的业务所决定,可为完整的6个阶段或是其中的几个阶段。
5.4.2数据安全PA体系5.4.2.1PA体系PA体系分为数据生存周期安全过程和通用安全过程两部分,共包含30个PA,如图2所示。
图2数据安全PA体系数据生存周期安全过程域包括以下6个过程:
a)数据采集安全的PA(PA01PA04)包括:
数据分类分级、数据采集安全管理、数据源鉴别及记录、数据质量管理4个PA;b)数据传输安全的PA(PA05PA06)包括:
数据传输加密、网络可用性管理2个PA;c)数据存储安全的PA(PA07PA09)包括:
存储媒体安全、逻辑存储安全、数据备份和恢复3个安全PA;d)数据处理安全的PA(PA10PA14)包括:
数据脱敏、数据分析安全、数据正当使用、数据处理环境安全、数据导入导出安全5个安全PA;e)数据交换安全的PA(PA15PA17)包括:
数据共享安全、数据发布安全、数据接口安全3个安全PA;f)数据销毁安全的PA(PA18PA19)包括:
数据销毁处置、存储媒体销毁处置2个安全PA。
通用安全过程域(PA20PA30)包括:
数据安全策略规划、组织和人员管理、合规管理、数据资产管6GB/T379882019理、数据供应链安全、元数据管理、终端数据安全、监控与审计、鉴别与访问控制、需求分析、安全事件应急11个PA。
5.4.2.2编码规则数据安全PA编码规则如下:
a)每个PA有对应的编号,分别采用递增的数值01、02,.,表示。
示例1:
PA01,代表PA“数据分类分级”。
b)每个PA由一些BP组成。
BP用BP.来进行编号,第一组编码表示所在PA的序号,第二组编码表示具体BP的序号,具体BP的序号采用递增的数值01、02,.,表示。
示例2:
BP.01.01表示,过程域PA01“数据分类分级”中的第一个BP。
c)对于每个PA的每个级别,需要同时满足本级别和所有低于该级别的BP的要求,才能达到本级别的能力水平,依此类推。
6数据采集安全6.1PA01数据分类分级6.1.1PA描述基于法律法规以及业务需求确定组织内部的数据分类分级方法,对生成或收集的数据进行分类分级标识。
6.1.2等级描述6.1.2.1等级1:
非正式执行该等级的数据安全能力描述如下:
制度流程:
组织未在任何业务建立成熟稳定的数据分类分级,仅根据临时需求或基于个人经验,对部分数据进行了分类或分级(BP.01.01)。
6.1.2.2等级2:
计划跟踪该等级的数据安全能力要求描述如下:
a)组织建设:
应由业务团队相关人员负责相关业务的数据分类分级(BP.01.02);b)制度流程:
应根据业务特性和外部合规要求,对核心业务的关键数据进行分类分级管理(BP.01.03)。
6.1.2.3等级3:
充分定义该等级的数据安全能力要求描述如下:
a)组织建设:
组织应设立负责数据安全分类分级工作的管理岗位和人员,主要负责定义组织整体的数据分类分级的安全原则(BP.01.04)。
b)制度流程:
1)应明确数据分类分级原则、方法和操作指南(BP.01.05);2)应对组织的数据进行分类分级标识和管理(BP.01.06);3)应对不同类别和级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施(BP.01.07);7GB/T3798820194)应明确数据分类分级变更审批流程和机制,通过该流程保证对数据分类分级的变更操作及其结果符合组织的要求(BP.01.08)。
c)技术工具:
应建立数据分类分级打标或数据资产管理工具,实现对数据的分类分级自动标识、标识结果发布、审核等功能(BP.01.09)。
d)人员能力:
负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感数据(BP.01.10)。
6.1.2.4等级4:
量化控制该等级的数据安全能力要求描述如下:
技术工具:
a)应记录自动分类分级结果与人工审核后的分类分级结果之间的差异,定期分析改进分类分级标识工具,提升工具处理的准确度(BP.01.11);b)应对数据分类分级的操作、变更过程进行日志记录和分析,定期通过日志分析等技术手段进行变更操作审计,数据分类分级可追溯(BP.01.12)。
6.1.2.5等级5:
持续优化该等级的数据安全能力要求描述如下:
a)制度流程:
应定期评审数据分类分级的规范和细则,考虑其内容是否完全覆盖了当前的业务,并执行持续的改进优化工作(BP.01.13);b)技术工具:
1)应跟踪数据分类分级标识效果,持续改进数据分类分级的技术工具(BP.01.14);2)应参与国际、国家或行业相关标准制定。
在业界分享最佳实践,成为行业标杆(BP.01.15)。
6.2PA02数据采集安全管理6.2.1PA描述在采集外部客户、合作伙伴等相关方数据的过程中,组织应明确采集数据的目的和用途,确保满足数据源的真实性、有效性和最少够用等原则要求,并明确数据采集渠道、规范数据格式以及相关的流程和方式,从而保证数据采集的合规性、正当性、一致性。
6.2.2等级描述6.2.2.1等级1:
非正式执行该等级的数据安全能力描述如下:
制度流程:
未在任何业务建立成熟稳定的数据采集安全管理,仅根据临时需求或基于个人经验对个别数据采集进行安全管理(BP.02.01)。
6.2.2.2等级2:
计划跟踪该等级的数据安全能力要求描述如下:
a)组织建设:
应由业务团队相关人员负责数据采集安全管理(BP.02.02)。
b)制度流程:
1)应明确核心业务数据采集原则,保证该业务数据采集的合法、正当(BP.02.03);2)核心业务应明示个人信息采集的目的、方式和范围,并经被收集者同意(BP.02.04)。
8GB/T3798820196.2.2.3等级3:
充分定义该等级的数据安全能力要求描述如下:
a)组织建设:
组织应设立数据采集安全管理的岗位和人员,负责制定相关的数据采集安全管理的制度,推动相关要求、流程的落地,并对具体业务或项目的风险评估提供咨询和支持(BP.02.05)。
b)制度流程:
1)应明确组织的数据采集原则,定义业务的数据采集流程和方法(BP.02.06);2)应明确数据采集的渠道及外部数据源,并对外部数据源的合法性进行确认(BP.02.07);3)应明确数据采集范围、数量和频度,确保不收集与提供服务无关的个人信息和重要数据(BP.02.08);4)应明确组织数据采集的风险评估流程,针对采集的数据源、频度、渠道、方式、数据范围和类型进行风险评估(BP.02.09);5)应明确数据采集过程中个人信息和重要数据的知悉范围和需要采取的控制措施,确保采集过程中的个人信息和重要数据不被泄漏(BP.02.10);6)应明确自动化采集数据的范围(BP.02.11)。
c)技术工具:
1)应依据统一的数据采集流程建设数据采集相关的工具,以保证组织数据采集流程实现的一致性,同时相关系统应具备详细的日志记录功能,确保数据采集授权过程的完整记录(BP.02.12);2)应采取技术手段保证数据采集过程中个人信息和重要数据不被泄漏(BP.02.13)。
d)人员能力:
负责该项工作的人员应能够充分理解数据采集的法律要求、安全和业务需求,并能够根据组织的业务提出针对性的
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- GB-T 37988-2019 信息安全技术 数据安全能力成熟度模型 GB 37988 2019 信息 安全技术 数据 安全 能力 成熟度 模型