数据安全成熟度标准样本.docx
- 文档编号:511410
- 上传时间:2022-10-10
- 格式:DOCX
- 页数:57
- 大小:430.14KB
数据安全成熟度标准样本.docx
《数据安全成熟度标准样本.docx》由会员分享,可在线阅读,更多相关《数据安全成熟度标准样本.docx(57页珍藏版)》请在冰豆网上搜索。
数据安全成熟度标准样本
信息安全技术 数据安全能力成熟度模型
1 范畴
本原则基于大数据环境下电子化数据在组织机构业务场景中数据生命周期,从组织建设、制度流程、技术工具以及人员能力四个方面构建了数据安全过程规范性数据安全能力成熟度分级模型及其评估办法。
本原则合用于组织机构数据安全能力自身评估,也合用于第三方机构对组织机构数据安全保障能力进行评估。
2 规范性引用文献
下列文献对于本文献应用是必不可少。
凡是注日期引用文献,仅所注日期版本合用于本文献。
凡是不注日期引用文献,其最新版本(涉及所有修改单)合用于本文献。
GB/T25069—信息安全技术 术语
GB/T20261—信息安全技术系统安全工程-能力成熟度模型
GB/TAAAAA—AAAA信息技术大数据术语
GB/TBBBBB—BBBB信息技术大数据参照框架
GB/TCCCCC—CCCC信息安全技术个人信息安全规范
GB/TDDDDD—DDDD信息安全技术大数据服务安全能力规定
GB/TEEEEE—EEEE信息技术数据管理能力成熟度模型
3 术语、定义和缩略语
GB/T25069—中界定以及下列术语和定义合用于本文献。
3.1 术语和定义
数据安全 datasecurity
以数据为中心安全,保护数据可用性、完整性和机密性。
注:
本原则是从组织建设、制度流程、技术工具以及人员能力等方面对组织机构数据进行安全保护。
数据安全能力 datasecuritycapability
组织机构在组织建设、制度流程、技术工具以及人员能力等方面对数据安全保障能力。
成熟度 maturity
对一种组织有条理持续改进能力度量,对实现特定过程持续性、可持续性、有效性和可信度度量。
成熟度模型 maturitymodel
对一种组织机构成熟度进行度量模型,涉及一系列代表能力和进展特性、属性、批示或是模式。
模型内容普通是最佳实践举例阐明。
成熟度模型提供一种组织机构衡量其当前实践、流程、办法能力水平基准,并设立提高目的和优先级。
当一种模型被广泛应用于某个特定行业,这个行业可以基于模型,来评估本行业组织机构成熟度级别。
组织机构organization
安排了责任、权利和关系一组人员和设施。
安全过程域securityprocessarea
实现同一安全目的一系列数据安全有关活动、过程集合。
数据脱敏datadesensitization
通过模糊化等办法对原始数据解决,达到屏蔽敏感信息一种数据保护办法。
数据产品dataproduct
直接或间接使用数据产品,涉及但不限于能访问原始数据,提供数据计算、数据存储、数据互换、数据分析、数据挖掘、数据展示等应用软件产品。
数据加工dataprocessing
对原始数据进行抽取、转换、加载过程;涉及开发数据产品或数据分析。
合规compliance
对数据所合用法律法规遵循。
3.2 缩略语
下列缩略语合用于本原则:
ACL访问控制列表(AccessControlList)
CMM能力成熟度模型(CapabilityMaturityModel)
DDOS分布式回绝服务(DistributedDenialofService)
DLP数据防泄漏(DataLossPrevetion)
TLS传播层安全(TransportLayerSecurity)
SSL安全套接层(SecureSocketsLayer)
4 数据安全能力成熟度模型架构
4.1 模型架构
本原则借鉴能力成熟度模型(CMM)思想,以CMM通用实践来衡量能力成熟度级别,以《信息安全技术大数据服务安全能力规定》中安全规定为基本,指引组织机构如何持续达到所相应安全规定。
数据安全能力成熟度模型模型架构由如下三方面构成(如图1所示):
1——数据生命周期安全:
环绕数据生命周期,提炼出大数据环境下,以数据为中心,针对数据生命周期各阶段建立有关数据安全过程域体系。
2——安全能力维度:
明确组织机构在各数据安全领域所需要具备能力维度,明确为制度流程、人员能力、组织建设和技术工具四个核心能力维度。
3——能力成熟度级别:
基于统一分级原则,细化组织机构在各数据安全过程域5个级别能力成熟度分级规定。
图1 数据安全能力成熟度模型架构
对于图1模型架构阐明如下:
1)基于电子数据在组织机构内数据生命周期,明拟定义各阶段特定数据安全过程域和数据生命周期通用安全过程域。
各阶段特定数据安全过程域,涉及数据采集、数据存储、数据传播、数据解决、数据互换和数据销毁这六个阶段中,各阶段特定数据安全过程域。
数据生命周期通用安全过程域,是与各个生命周期都有关,通用数据安全过程域,例如方略与规程、合规性管理等方面。
2)本原则对组织机构数据安全保障能力成熟度分级评估,是基于各成熟度级别下数据安全能力通用实践所定义分级评估办法,对各阶段特定数据安全基本实践和数据生命周期通用安全基本实践实现成熟度级别进行评估。
4.2 数据生命周期安全
数据生命周期
基于大数据环境下数据在组织机构业务中流转状况,定义了数据生命周期6个阶段,详细各阶段定义如下:
4——数据采集:
指新数据产生或既有数据内容发生明显变化或更新阶段。
对于组织机构而言,数据采集既包括在组织机构内部系统中生成数据也包括组织机构从外部采集数据。
5——数据存储:
指非动态数据以任何数字格式进行物理存储阶段。
6——数据解决:
指组织机构在内部针对动态数据进行一系列活动组合。
7——数据传播:
指数据在组织机构内部从一种实体通过网络流动到另一种实体过程。
8——数据互换:
指数据经由组织机构内部与外部组织机构及个人交互过程中提供数据阶段。
9——数据销毁:
指通过对数据及数据存储介质通过相应操作手段,使数据彻底丢失且无法通过任何手段恢复过程。
特定数据所经历生命周期由实际业务场景所决定,并非所有数据都会完整经历六个阶段。
数据安全过程域体系
安全过程域体系覆盖数据生命周期六个阶段,包括各生命周期阶段通用安全过程域和各生命周期阶段下安全过程域,如图2所示。
图2 数据安全过程域体系
4.3 安全能力维度
能力构成
通过对各项安全过程所需具备安全能力量化,可供组织机构评估每项安全过程实现能力。
安全能力从组织建设、制度流程、技术工具及人员能力四个维度展开。
10——组织建设:
数据安全组织机构架构建立、职责分派和沟通协作。
11——制度流程:
组织机构核心数据安全领域制度规范和流程落地建设。
12——技术工具:
通过技术手段和产品工具固化安全规定或自动化实现安全工作。
13——人员能力:
执行数据安全工作人员意识及专业能力。
组织建设
从承担数据安全工作组织机构建设应具备能力出发,从如下方面进行能力级别区别:
14——数据安全组织架构对组织业务合用性;
15——数据安全组织机构承担工作职责明确性;
16——数据安全组织机构运作、沟通协调有效性。
制度流程
从组织机构在数据安全层面制度流程建设,以及制度流程执行状况出发,从如下维度进行能力级别区别:
17——数据生命周期核心控制节点授权审批流程明确性;
18——有关流程制度制定、发布、修订规范性;
19——安全规定及流程落地执行一致性和有效性。
技术工具
从组织机构用于开展数据安全工作安全技术、应用系统和自动化工具出发,从如下维度进行能力级别区别:
20——数据安全技术在数据全生命周期过程中运用状况,针对数据全生命周期安全风险检测及响应能力;
21——运用技术工具对数据安全工作自动化支持能力,对数据安全制度流程固化执行能力。
人员能力
从组织机构内部承担数据安全工作人员应具备能力出发,从如下维度进行能力级别区别:
22——数据安全人员所具备数据安全能力与否可以满足复合型能力规定(对数据有关业务理解力以及专业安全能力);
23——数据安全人员数据安全意识以及核心数据安全岗位员工数据安全能力培养。
4.4 成熟度级别定义
组织机构数据安全能力成熟度模型具备5个成熟度级别,成熟度级别定义如下:
24——级别1(非正式执行),是指具备随机、无序、被动安全过程;
25——级别2(筹划跟踪),是指具备积极、非体系化安全过程;
26——级别3(充分定义),是指具备正式规范安全过程;
27——级别4(量化控制),是指安全过程可量化;
28——级别5(持续优化),是指安全过程可持续优化。
5 数据安全能力通用实践
5.1 能力级别1—非正式执行
能力级别描述
在这一级别,数据安全过程域基本实践普通被执行。
但基本实践执行也许未经严格筹划和跟踪,而是基于个人知识和努力。
组织机构内个人可标记出一种数据安全过程应被执行,并批准这个数据安全过程会在需要时执行。
该能力级别包括如下公共特性:
●公共特性1.1—执行基本实践。
公共特性1.1—执行基本实践
公共特性描述
此公共特性通用实践只是保证过程域基本实践以某种方式执行。
但是,数据安全管理一致性、性能和质量会因缺少恰当控制而存在极大差别。
组织机构在数据安全过程域未有效执行有关工作,仅在某些业务场景中/项目执行过程中依照暂时需求执行了有关工作,却未形成成熟机制保证有关工作持续有效进行,执行有关工作人员能力也未得到有效保障。
所执行过程可称为“非正式过程”。
组织建设
未针对数据安全过程域工作开展建立数据安全有关团队/岗位和职责。
制度流程
未建立与数据安全过程域有关数据安全工作有关制度流程,数据安全工作开展多为对特定业务需求响应而触发。
技术工具
未布置技术工具以固化数据安全制度流程和提高数据安全能力。
人员能力
未安排具备数据安全过程域有关知识背景人参加到数据安全保障工作中。
5.2 能力级别2—筹划跟踪
在这一级别上,过程域基本实践执行是经筹划并被跟踪,并对实践状况进行验证。
数据安全管理应符合指定原则和需求。
通过测量来跟踪过程域执行状况,因而,使组织机构可以基于实际实践活动进行管理。
与非正式实践级别间重要区别是过程实践被筹划和管理。
该能力级别包括如下公共特性:
●公共特性2.1—规划执行;
●公共特性2.2—规范化执行;
●公共特性2.3—验证执行;
●公共特性2.4—跟踪执行。
公共特性2.1—规划执行
公共特性描述
该公共特性基本实践集中在过程域以及有关基本实践执行规划方面,因而涉及到过程文档编制,过程工具提供,过程实践筹划,规划执行培训,过程资源分派以及过程执行责任分派。
这些通用实践为规范化过程执行提供了最主线基本。
组织建设
基于数据安全过程域内容,规划核心数据安全管理团队/岗位所需要任务和责任,该团队/岗位重要负责对数据安全过程域中核心安全管理规则制定。
任务和责任应规定到,涉及内部、外部和过程实践有关所有有关方。
制度流程
以数据为中心建立数据安全制度流程,并将数据安全制度流程形成原则化文档,并通过技术工具进行固化,使制度流程按照设计方式执行。
在此模型中,一种组织机构或一种项目中过程无需与过程域一一相应。
因而,覆盖一种过程域过程也允许以以不止一种方式进行描述(例如以政策、原则等方式),一种过程描述也许包括不止一种过程域。
对数据安全制度流程实践进行规划,和对数据安全工程和项目类过程域规划可以按照项目筹划形式存在,而组织类筹划可以在组织机构层面上进行。
技术工具
规划为执行数据安全过程域基本实践所需要技术工具,来保证数据安全过程执行。
为支持数据安全过程域规划执行提供恰当工具。
人员能力
为执行数据安全过程域基本实践规划充分人力资源,分派其所需要任务和责任,规划恰当培训,来保证过程执行。
公共特性2.2—规范化执行
公共特性描述
该
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 数据 安全 成熟度 标准 样本