GB/T 37988-2019 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型
- 發(fā)表時間:2023-03-23
- 來源:共立消防
- 人氣:
1 范圍
本標準給出了組織數(shù)據(jù)安全能力的成熟度模型架構(gòu),規(guī)定了數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全的成熟度等級要求。
本標準適用于對組織數(shù)據(jù)安全能力進行評估,也可作為組織開展數(shù)據(jù)安全能力建設(shè)時的依據(jù)。
2 規(guī)范性引用文件
下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T 25069-2010 信息安全技術(shù) 術(shù)語
GB/T 29246-2017 信息技術(shù) 安全技術(shù)信息安全管理體系 概述和詞匯
3 術(shù)語和定義
GB/T 25069-2010和GB/T 29246-2017界定的以及下列術(shù)語和定義適用于本文件。
3.1
數(shù)據(jù)安全 data security
通過管理和技術(shù)措施,確保數(shù)據(jù)有效保護和合規(guī)使用的狀態(tài)。
3.2
保密性 confidentiality
使信息不泄漏給未授權(quán)的個人、實體、進程,或不被其利用的特性。
[GB/T 25069-2010,定義2.1.1]
3.3
完整性 integrity
準確和完備的特性。
[GB/T 29246-2017,定義2.40]
3.4
可用性 availability
已授權(quán)實體一旦需要就可訪問和使用的數(shù)據(jù)和資源的特性。
[GB/T 25069-2010,定義2.1.20]
3.5
數(shù)據(jù)安全能力 data security capability
組織在組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對數(shù)據(jù)的安全保障。
3.6
能力成熟度 capability maturity
對一個組織有條理的持續(xù)改進能力以及實現(xiàn)特定過程的連續(xù)性、可持續(xù)性、有效性和可信度的水平。
3.7
能力成熟度模型 capability maturity model
對一個組織的能力成熟度進行度量的模型,包括一系列代表能力和進展的特征、屬性、指示或者模式。
注:能力成熟度模型為組織衡量其當前的實踐、流程、方法的能力水平提供參考基準,并設(shè)置明確的提升目標。
3.8
安全過程 security process
用于實現(xiàn)某一安全目標的完整過程,該過程包含輸入和輸出。
示例:“安全審計”這一安全過程,輸入是系統(tǒng)日志,輸出是審計報告。
3.9
過程域 process area
實現(xiàn)同一安全目標的相關(guān)數(shù)據(jù)安全基本實踐的集合。
注:一個過程域中包含一個或多個基本實踐。
示例:“元數(shù)據(jù)管理”這一過程域,包含建立元數(shù)據(jù)管理規(guī)范、建立元數(shù)據(jù)訪問控制策略、建立元數(shù)據(jù)技術(shù)工具等基本實踐。
3.10
基本實踐 base practice
實現(xiàn)某一安全目標的數(shù)據(jù)安全相關(guān)活動。
示例:建立數(shù)據(jù)資產(chǎn)清單,對數(shù)據(jù)資產(chǎn)進行分類分級管理等。
3.11
通用實踐 generic practice
在評估中用于確定任何安全過程域或基本實踐的實施能力的評定準則。
3.12
數(shù)據(jù)脫敏 data desensitization
通過一系列數(shù)據(jù)處理方法對原始數(shù)據(jù)進行處理以屏蔽敏感數(shù)據(jù)的一種數(shù)據(jù)保護方法。
3.13
數(shù)據(jù)處理 data processing
對原始數(shù)據(jù)進行抽取、轉(zhuǎn)換、加載的過程。
注1:數(shù)據(jù)處理包括開發(fā)數(shù)據(jù)產(chǎn)品或數(shù)據(jù)分析等。
注2:數(shù)據(jù)產(chǎn)品包括但不限于能訪問原始數(shù)據(jù),提供數(shù)據(jù)計算、數(shù)據(jù)存儲、數(shù)據(jù)交換、數(shù)據(jù)分析、數(shù)據(jù)挖掘、數(shù)據(jù)展示等應(yīng)用的軟硬件產(chǎn)品。
3.14
數(shù)據(jù)供應(yīng)鏈 data supply chain
為滿足數(shù)據(jù)供應(yīng)關(guān)系,通過資源和過程將需方、供方相互關(guān)聯(lián)的結(jié)構(gòu)。
3.15
規(guī)程 procedure
對執(zhí)行一個給定任務(wù)所采取動作歷程的書面描述。
[GB/T 25069-2010,定義2.1.7]
3.16
合規(guī) compliance
對數(shù)據(jù)安全所適用的法律法規(guī)的符合程度。
4 縮略語
下列縮略語適用于本文件。
BP:基本實踐(Base Practice)
DSMM:數(shù)據(jù)安全能力成熟度模型(Data Security Capability Maturity Model)
GP:通用實踐(Generic Practice)
PA:過程域(Process Area)
SSL:安全套接層(SecureSockets Layer)
TLS:傳輸層安全(Transport Layer Security)
5 DSMM架構(gòu)
5.1 成熟度模型架構(gòu)
DSMM架構(gòu)如圖1所示。
圖1 DSMM架構(gòu)圖
DSMM的架構(gòu)由以下三個維度構(gòu)成:
a)安全能力維度
安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力,包括組織建設(shè)、制度流程、技術(shù)工具和人員能力。
b)能力成熟度等級維度
數(shù)據(jù)安全能力成熟度等級劃分為五級,具體包括:1級是非正式執(zhí)行級,2級是計劃跟蹤級,3級是充分定義級,4級是量化控制級,5級是持續(xù)優(yōu)化級。
以上為標準部分內(nèi)容,如需看標準全文,請到相關(guān)授權(quán)網(wǎng)站購買標準正版。
- 2023-08-22消防維修保養(yǎng)記錄
- 2023-08-22消防設(shè)施維修維護
- 2023-08-19消防水池維修
- 2023-08-19消防水炮維修
- 2023-08-19消防線路維修
- 2023-08-19消防維保服務(wù)系統(tǒng)
- 2023-08-19消防主機維修維保大全
- 2023-08-19消防維保作用
- 2023-08-18消防維保工作聯(lián)系單
- 2023-08-18消防維保每年都要做嗎
- 2023-08-18 消防維保技術(shù)服務(wù)
- 2023-08-18消防主板維修
- 2023-08-18消防維保軟件
- 2023-08-18消防維保規(guī)章制度
- 2023-08-17消防檢測和維保
- 2023-08-17消防維保檢查
- IG541混合氣體滅火系統(tǒng)
IG541混合氣體滅火系統(tǒng):IG-541滅火系統(tǒng)采用的IG-541混合氣體滅火劑是由大氣層中的氮氣(N2)、氬氣(Ar)和二氧化碳(CO2)三種氣體分別以52%、40%、8%的比例混合而成的一種滅火劑
- 二氧化碳氣體滅火系統(tǒng)
二氧化碳氣體滅火系統(tǒng):二氧化碳氣體滅火系統(tǒng)由瓶架、滅火劑瓶組、泄漏檢測裝置、容器閥、金屬軟管、單向閥(滅火劑管)、集流管、安全泄漏裝置、選擇閥、信號反饋裝置、滅火劑輸送管、噴嘴、驅(qū)動氣體瓶組、電磁驅(qū)動
- 七氟丙烷滅火系統(tǒng)
七氟丙烷(HFC—227ea)滅火系統(tǒng)是一種高效能的滅火設(shè)備,其滅火劑HFC—ea是一種無色、無味、低毒性、絕緣性好、無二次污染的氣體,對大氣臭氧層的耗損潛能值(ODP)為零,是鹵代烷1211、130
- 手提式干粉滅火器
手提式干粉滅火器適滅火時,可手提或肩扛滅火器快速奔赴火場,在距燃燒處5米左右,放下滅火器。如在室外,應(yīng)選擇在上風(fēng)方向噴射。使用的干粉滅火器若是外掛式儲壓式的,操作者應(yīng)一手緊握噴槍、另一手提起儲氣瓶上的