1 范圍

      本標(biāo)準(zhǔn)給出了組織數(shù)據(jù)安全能力的成熟度模型架構(gòu)，規(guī)定了數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全的成熟度等級(jí)要求。

      本標(biāo)準(zhǔn)適用于對(duì)組織數(shù)據(jù)安全能力進(jìn)行評(píng)估，也可作為組織開展數(shù)據(jù)安全能力建設(shè)時(shí)的依據(jù)。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)

      GB/T 29246-2017 信息技術(shù) 安全技術(shù)信息安全管理體系 概述和詞匯

3 術(shù)語(yǔ)和定義

      GB/T 25069-2010和GB/T 29246-2017界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

      數(shù)據(jù)安全 data security

      通過(guò)管理和技術(shù)措施，確保數(shù)據(jù)有效保護(hù)和合規(guī)使用的狀態(tài)。

3.2

      保密性 confidentiality

      使信息不泄漏給未授權(quán)的個(gè)人、實(shí)體、進(jìn)程，或不被其利用的特性。

      ［GB/T 25069-2010，定義2.1.1］

3.3

      完整性 integrity

      準(zhǔn)確和完備的特性。

      ［GB/T 29246-2017，定義2.40］

3.4

      可用性 availability

      已授權(quán)實(shí)體一旦需要就可訪問和使用的數(shù)據(jù)和資源的特性。

      ［GB/T 25069-2010，定義2.1.20］

3.5

      數(shù)據(jù)安全能力 data security capability

      組織在組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對(duì)數(shù)據(jù)的安全保障。

3.6

      能力成熟度 capability maturity

      對(duì)一個(gè)組織有條理的持續(xù)改進(jìn)能力以及實(shí)現(xiàn)特定過(guò)程的連續(xù)性、可持續(xù)性、有效性和可信度的水平。

3.7

      能力成熟度模型 capability maturity model

      對(duì)一個(gè)組織的能力成熟度進(jìn)行度量的模型，包括一系列代表能力和進(jìn)展的特征、屬性、指示或者模式。

      注：能力成熟度模型為組織衡量其當(dāng)前的實(shí)踐、流程、方法的能力水平提供參考基準(zhǔn)，并設(shè)置明確的提升目標(biāo)。

3.8

      安全過(guò)程 security process

      用于實(shí)現(xiàn)某一安全目標(biāo)的完整過(guò)程，該過(guò)程包含輸入和輸出。

      示例：“安全審計(jì)”這一安全過(guò)程，輸入是系統(tǒng)日志，輸出是審計(jì)報(bào)告。

3.9

      過(guò)程域 process area

      實(shí)現(xiàn)同一安全目標(biāo)的相關(guān)數(shù)據(jù)安全基本實(shí)踐的集合。

      注：一個(gè)過(guò)程域中包含一個(gè)或多個(gè)基本實(shí)踐。

      示例：“元數(shù)據(jù)管理”這一過(guò)程域，包含建立元數(shù)據(jù)管理規(guī)范、建立元數(shù)據(jù)訪問控制策略、建立元數(shù)據(jù)技術(shù)工具等基本實(shí)踐。

3.10

      基本實(shí)踐 base practice

      實(shí)現(xiàn)某一安全目標(biāo)的數(shù)據(jù)安全相關(guān)活動(dòng)。

      示例：建立數(shù)據(jù)資產(chǎn)清單，對(duì)數(shù)據(jù)資產(chǎn)進(jìn)行分類分級(jí)管理等。

3.11

      通用實(shí)踐 generic practice

      在評(píng)估中用于確定任何安全過(guò)程域或基本實(shí)踐的實(shí)施能力的評(píng)定準(zhǔn)則。

3.12

      數(shù)據(jù)脫敏 data desensitization

      通過(guò)一系列數(shù)據(jù)處理方法對(duì)原始數(shù)據(jù)進(jìn)行處理以屏蔽敏感數(shù)據(jù)的一種數(shù)據(jù)保護(hù)方法。

3.13

      數(shù)據(jù)處理 data processing

      對(duì)原始數(shù)據(jù)進(jìn)行抽取、轉(zhuǎn)換、加載的過(guò)程。

      注1：數(shù)據(jù)處理包括開發(fā)數(shù)據(jù)產(chǎn)品或數(shù)據(jù)分析等。

      注2：數(shù)據(jù)產(chǎn)品包括但不限于能訪問原始數(shù)據(jù)，提供數(shù)據(jù)計(jì)算、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)交換、數(shù)據(jù)分析、數(shù)據(jù)挖掘、數(shù)據(jù)展示等應(yīng)用的軟硬件產(chǎn)品。

3.14

      數(shù)據(jù)供應(yīng)鏈 data supply chain

      為滿足數(shù)據(jù)供應(yīng)關(guān)系，通過(guò)資源和過(guò)程將需方、供方相互關(guān)聯(lián)的結(jié)構(gòu)。

3.15

      規(guī)程 procedure

      對(duì)執(zhí)行一個(gè)給定任務(wù)所采取動(dòng)作歷程的書面描述。

      ［GB/T 25069-2010，定義2.1.7］

3.16

      合規(guī) compliance

      對(duì)數(shù)據(jù)安全所適用的法律法規(guī)的符合程度。

4 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      BP：基本實(shí)踐（Base Practice）

      DSMM：數(shù)據(jù)安全能力成熟度模型（Data Security Capability Maturity Model）

      GP：通用實(shí)踐（Generic Practice）

      PA：過(guò)程域（Process Area）

      SSL：安全套接層（SecureSockets Layer）

      TLS：傳輸層安全（Transport Layer Security）

5 DSMM架構(gòu)

5.1 成熟度模型架構(gòu)

      DSMM架構(gòu)如圖1所示。

圖1 DSMM架構(gòu)圖

      DSMM的架構(gòu)由以下三個(gè)維度構(gòu)成：

      a）安全能力維度

      安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力，包括組織建設(shè)、制度流程、技術(shù)工具和人員能力。

      b）能力成熟度等級(jí)維度

      數(shù)據(jù)安全能力成熟度等級(jí)劃分為五級(jí)，具體包括：1級(jí)是非正式執(zhí)行級(jí)，2級(jí)是計(jì)劃跟蹤級(jí)，3級(jí)是充分定義級(jí)，4級(jí)是量化控制級(jí)，5級(jí)是持續(xù)優(yōu)化級(jí)。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。