术语解读：GB/T 37988-2019 数据安全能力成熟度模型

GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型

Information security technology – Data security capability maturity mode

 

主要内容

主要包含以下内容：

模型架构

• 安全能力维度：明确组织在数据安全领域应具备的能力，包括组织建设、制度流程、技术工具和人员能力。
  • 组织建设：涉及建立数据安全组织架构，明确各部门及人员在数据安全中的职责，确保数据安全工作的有效开展与协同。
  • 制度流程：制定涵盖数据全生命周期的安全管理制度与流程，如数据分类分级制度、访问控制流程、数据备份与恢复流程等，保障数据安全工作有章可循。
  • 技术工具：运用加密、访问控制、数据备份与恢复、数据脱敏等技术手段和工具，实现数据安全防护与管理的自动化、智能化。
  • 人员能力：提升组织内人员的数据安全意识与专业技能，通过培训、教育等方式，使人员具备相应的数据安全能力，更好地履行数据安全职责。
• 能力成熟度等级维度：将组织的数据安全能力成熟度划分为 5 个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级。
  • 非正式执行级：组织的数据安全工作缺乏系统性和规范性，多基于临时需求或个人经验开展，未形成有效工作机制，执行过程随机、无序、被动。
  • 计划跟踪级：在业务系统级别主动规划和执行数据安全过程，对安全过程进行控制、验证和跟踪，但尚未形成完整体系。
  • 充分定义级：在组织级别实现安全过程的规范化执行，将标准过程制度化，过程可重复，结果可核查，建立了相对完善的数据安全管理体系。
  • 量化控制级：为数据安全建立可量化目标，通过量化指标度量安全过程，实现基于数据的科学管理和决策。
  • 持续优化级：组织能够依据整体目标，不断优化数据安全能力和安全过程，形成持续改进的良性循环，以适应内外部环境变化。
• 数据安全过程维度：按照数据的生命周期，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全 6 个阶段，以及通用安全过程。
  • 数据采集安全：关注数据的分类分级、采集获取、清洗转换等环节的安全性，如明确数据分类分级变更审批流程，保证数据采集的合法性、准确性和完整性。
  • 数据传输安全：强调数据在传输过程中的加密、完整性保护和网络可用性管理，防止数据被窃取、篡改或泄露。
  • 数据存储安全：涉及存储媒体安全、逻辑存储安全、数据备份与恢复等，确保数据在存储阶段的保密性、完整性和可用性。
  • 数据处理安全：包括数据脱敏、数据分析安全、数据正当使用和处理环境安全等，保障数据处理过程的合规性与安全性。
  • 数据交换安全：涵盖数据共享安全、发布安全、接口安全等，规范数据在不同组织或系统间交换的流程和安全控制。
  • 数据销毁安全：关注数据销毁处置和存储媒体销毁处置，防止数据残留导致的安全风险。
  • 通用安全过程：包括数据安全策略规划、组织和人员管理、合规管理、数据资产管理、数据供应链安全、元数据管理、终端数据安全、监控与审计、鉴别与访问控制、需求分析、安全事件应急等，为数据安全提供全面保障。

评估流程

评价方法

术语和定义

1 数据安全 datas ecurity

通过管理和技术措施，确保数据有效保护和合规使用的状态。

 

2 保密性 confidentiality

使信息不泄漏给未授权的个人、实体、进程，或不被其利用的特性。

 

3 完整性 integrity

准确和完备的特性。

 

4 可用性 availability

已授权实体一旦需要就可访问和使用的数据和资源的特性。

 

5 数据安全能力 data security capability

组织在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障。

 

6 能力成熟度 capability maturity

对一个组织有条理的持续改进能力以及实现特定过程的连续性、可持续性、有效性和可信度的水平。

 

7 能力成熟度模型 capability maturity model

对一个组织的能力成熟度进行度量的模型，包括一系列代表能力和进展的特征、属性、指示或者模式。

注：能力成熟度模型为组织衡量其当前的实践、流程、方法的能力水平提供参考基准，并设置明确的提升目标。

 

8 安全过程 securityprocess

用于实现某一安全目标的完整过程，该过程包含输入和输出。

示例：“安全审计”这一安全过程，输入是系统日志，输出是审计报告。

 

9 过程域 process area

实现同一安全目标的相关数据安全基本实践的集合。

注：一个过程域中包含一个或多个基本实践。

示例：“元数据管理”这一过程域，包含建立元数据管理规范、建立元数据访问控制策略、建立元数据技术工具等基本实践。

 

10 基本实践 base practice

实现某一安全目标的数据安全相关活动。

示例 ：建立数据资产清单，对数据资产进行分类分级管理等。

 

11 通用实践 generic practice

在评估中用于确定任何安全过程域或基本实践的实施能力的评定准则。

 

12 数据脱敏 data desensitization

通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。

 

13 数据处理 datap rocessing

对原始数据进行抽取、转换、加载的过程。

注 1：数据处理包括开发数据产品或数据分析等。

注 2：数据产品包括但不限于能访问原始数据，提供数据计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的软硬件产品。

 

14 数据供应链 data supply chain

为满足数据供应关系，通过资源和过程将需方、供方相互关联的结构。

 

15 规程 procedure

对执行一个给定任务所采取动作历程的书面描述。

 

16 合规 compliance

对数据安全所适用的法律法规的符合程度。