發(fā)布日期:2023-03-23 11:08 瀏覽次數(shù):
本標(biāo)準(zhǔn)給出了組織數(shù)據(jù)安全能力的成熟度模型架構(gòu),規(guī)定了數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全的成熟度等級要求。
本標(biāo)準(zhǔn)適用于對組織數(shù)據(jù)安全能力進(jìn)行評估,也可作為組織開展數(shù)據(jù)安全能力建設(shè)時的依據(jù)。
下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 25069-2010 信息安全技術(shù) 術(shù)語
GB/T 29246-2017 信息技術(shù) 安全技術(shù)信息安全管理體系 概述和詞匯
GB/T 25069-2010和GB/T 29246-2017界定的以及下列術(shù)語和定義適用于本文件。
3.1
數(shù)據(jù)安全 data security
通過管理和技術(shù)措施,確保數(shù)據(jù)有效保護(hù)和合規(guī)使用的狀態(tài)。
3.2
保密性 confidentiality
使信息不泄漏給未授權(quán)的個人、實體、進(jìn)程,或不被其利用的特性。
[GB/T 25069-2010,定義2.1.1]
3.3
完整性 integrity
準(zhǔn)確和完備的特性。
[GB/T 29246-2017,定義2.40]
3.4
可用性 availability
已授權(quán)實體一旦需要就可訪問和使用的數(shù)據(jù)和資源的特性。
[GB/T 25069-2010,定義2.1.20]
3.5
數(shù)據(jù)安全能力 data security capability
組織在組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對數(shù)據(jù)的安全保障。
3.6
能力成熟度 capability maturity
對一個組織有條理的持續(xù)改進(jìn)能力以及實現(xiàn)特定過程的連續(xù)性、可持續(xù)性、有效性和可信度的水平。
3.7
能力成熟度模型 capability maturity model
對一個組織的能力成熟度進(jìn)行度量的模型,包括一系列代表能力和進(jìn)展的特征、屬性、指示或者模式。
注:能力成熟度模型為組織衡量其當(dāng)前的實踐、流程、方法的能力水平提供參考基準(zhǔn),并設(shè)置明確的提升目標(biāo)。
3.8
安全過程 security process
用于實現(xiàn)某一安全目標(biāo)的完整過程,該過程包含輸入和輸出。
示例:“安全審計”這一安全過程,輸入是系統(tǒng)日志,輸出是審計報告。
3.9
過程域 process area
實現(xiàn)同一安全目標(biāo)的相關(guān)數(shù)據(jù)安全基本實踐的集合。
注:一個過程域中包含一個或多個基本實踐。
示例:“元數(shù)據(jù)管理”這一過程域,包含建立元數(shù)據(jù)管理規(guī)范、建立元數(shù)據(jù)訪問控制策略、建立元數(shù)據(jù)技術(shù)工具等基本實踐。
3.10
基本實踐 base practice
實現(xiàn)某一安全目標(biāo)的數(shù)據(jù)安全相關(guān)活動。
示例:建立數(shù)據(jù)資產(chǎn)清單,對數(shù)據(jù)資產(chǎn)進(jìn)行分類分級管理等。
3.11
通用實踐 generic practice
在評估中用于確定任何安全過程域或基本實踐的實施能力的評定準(zhǔn)則。
3.12
數(shù)據(jù)脫敏 data desensitization
通過一系列數(shù)據(jù)處理方法對原始數(shù)據(jù)進(jìn)行處理以屏蔽敏感數(shù)據(jù)的一種數(shù)據(jù)保護(hù)方法。
3.13
數(shù)據(jù)處理 data processing
對原始數(shù)據(jù)進(jìn)行抽取、轉(zhuǎn)換、加載的過程。
注1:數(shù)據(jù)處理包括開發(fā)數(shù)據(jù)產(chǎn)品或數(shù)據(jù)分析等。
注2:數(shù)據(jù)產(chǎn)品包括但不限于能訪問原始數(shù)據(jù),提供數(shù)據(jù)計算、數(shù)據(jù)存儲、數(shù)據(jù)交換、數(shù)據(jù)分析、數(shù)據(jù)挖掘、數(shù)據(jù)展示等應(yīng)用的軟硬件產(chǎn)品。
3.14
數(shù)據(jù)供應(yīng)鏈 data supply chain
為滿足數(shù)據(jù)供應(yīng)關(guān)系,通過資源和過程將需方、供方相互關(guān)聯(lián)的結(jié)構(gòu)。
3.15
規(guī)程 procedure
對執(zhí)行一個給定任務(wù)所采取動作歷程的書面描述。
[GB/T 25069-2010,定義2.1.7]
3.16
合規(guī) compliance
對數(shù)據(jù)安全所適用的法律法規(guī)的符合程度。
下列縮略語適用于本文件。
BP:基本實踐(Base Practice)
DSMM:數(shù)據(jù)安全能力成熟度模型(Data Security Capability Maturity Model)
GP:通用實踐(Generic Practice)
PA:過程域(Process Area)
SSL:安全套接層(SecureSockets Layer)
TLS:傳輸層安全(Transport Layer Security)
5.1 成熟度模型架構(gòu)
DSMM架構(gòu)如圖1所示。

圖1 DSMM架構(gòu)圖
DSMM的架構(gòu)由以下三個維度構(gòu)成:
a)安全能力維度
安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力,包括組織建設(shè)、制度流程、技術(shù)工具和人員能力。
b)能力成熟度等級維度
數(shù)據(jù)安全能力成熟度等級劃分為五級,具體包括:1級是非正式執(zhí)行級,2級是計劃跟蹤級,3級是充分定義級,4級是量化控制級,5級是持續(xù)優(yōu)化級。
以上為標(biāo)準(zhǔn)部分內(nèi)容,如需看標(biāo)準(zhǔn)全文,請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。