数据安全成熟度标准.docx
《数据安全成熟度标准.docx》由会员分享,可在线阅读,更多相关《数据安全成熟度标准.docx(58页珍藏版)》请在冰豆网上搜索。
数据安全成熟度标准
信息安全技术 数据安全能力成熟度模型
1 范围
本标准基于大数据环境下电子化数据在组织机构业务场景中的数据生命周期,从组织建设、制度流程、技术工具以及人员能力四个方面构建了数据安全过程的规范性数据安全能力成熟度分级模型及其评估方法。
本标准适用于组织机构数据安全能力的自身评估,也适用于第三方机构对组织机构的数据安全保障能力进行评估。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。
凡是注日期的引用文件,仅所注日期的版本适用于本文件。
凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2010信息安全技术 术语
GB/T20261—2006信息安全技术系统安全工程-能力成熟度模型
GB/TAAAAA—AAAA信息技术大数据术语
GB/TBBBBB—BBBB信息技术大数据参考框架
GB/TCCCCC—CCCC信息安全技术个人信息安全规范
GB/TDDDDD—DDDD信息安全技术大数据服务安全能力要求
GB/TEEEEE—EEEE信息技术数据管理能力成熟度模型
3 术语、定义和缩略语
GB/T25069—2010中界定的以及下列术语和定义适用于本文件。
3.1 术语和定义
数据安全 datasecurity
以数据为中心的安全,保护数据的可用性、完整性和机密性。
注:
本标准是从组织建设、制度流程、技术工具以及人员能力等方面对组织机构的数据进行安全保护。
数据安全能力 datasecuritycapability
组织机构在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障能力。
成熟度 maturity
对一个组织的有条理的持续改进能力的度量,对实现特定过程的连续性、可持续性、有效性和可信度的度量。
成熟度模型 maturitymodel
对一个组织机构的成熟度进行度量的模型,包括一系列的代表能力和进展的特征、属性、指示或是模式。
模型的内容通常是最佳实践的举例说明。
成熟度模型提供一个组织机构衡量其当前的实践、流程、方法的能力水平的基准,并设置提升的目标和优先级。
当一个模型被广泛应用于某个特定的行业,这个行业可以基于模型,来评估本行业的组织机构的成熟度等级。
组织机构organization
安排了责任、权利和关系的一组人员和设施。
安全过程域securityprocessarea
实现同一安全目标的一系列数据安全相关活动、过程的集合。
数据脱敏datadesensitization
通过模糊化等方法对原始数据的处理,达到屏蔽敏感信息的一种数据保护方法。
数据产品dataproduct
直接或间接使用数据的产品,包括但不限于能访问原始数据,提供数据计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的软件产品。
数据加工dataprocessing
对原始数据进行抽取、转换、加载的过程;包括开发数据产品或数据分析。
合规compliance
对数据所适用的法律法规的遵循。
3.2 缩略语
下列缩略语适用于本标准:
ACL访问控制列表(AccessControlList)
CMM能力成熟度模型(CapabilityMaturityModel)
DDOS分布式拒绝服务(DistributedDenialofService)
DLP数据防泄漏(DataLossPrevetion)
TLS传输层安全(TransportLayerSecurity)
SSL安全套接层(SecureSocketsLayer)
4 数据安全能力成熟度模型架构
4.1 模型架构
本标准借鉴能力成熟度模型(CMM)的思想,以CMM的通用实践来衡量能力成熟度等级,以《信息安全技术大数据服务安全能力要求》中的安全要求为基础,指导组织机构如何持续达到所对应的安全要求。
数据安全能力成熟度模型的模型架构由以下三方面构成(如图1所示):
1——数据生命周期安全:
围绕数据生命周期,提炼出大数据环境下,以数据为中心,针对数据生命周期各阶段建立的相关数据安全过程域体系。
2——安全能力维度:
明确组织机构在各数据安全领域所需要具备的能力维度,明确为制度流程、人员能力、组织建设和技术工具四个关键能力的维度。
3——能力成熟度等级:
基于统一的分级标准,细化组织机构在各数据安全过程域的5个级别的能力成熟度分级要求。
图1 数据安全能力成熟度模型架构
对于图1的模型架构的说明如下:
1)基于电子数据在组织机构内的数据生命周期,明确定义各阶段特定的数据安全过程域和数据生命周期通用的安全过程域。
各阶段特定的数据安全过程域,包括数据采集、数据存储、数据传输、数据处理、数据交换和数据销毁这六个阶段中,各阶段特定的数据安全过程域。
数据生命周期通用的安全过程域,是与各个生命周期都相关的,通用的数据安全过程域,比如策略与规程、合规性管理等方面。
2)本标准对组织机构的数据安全保障能力的成熟度的分级评估,是基于各成熟度等级下的数据安全能力通用实践所定义的分级评估方法,对各阶段特定的数据安全基本实践和数据生命周期通用的安全基本实践的实现的成熟度等级进行评估。
4.2 数据生命周期安全
数据生命周期
基于大数据环境下数据在组织机构业务中的流转情况,定义了数据生命周期的6个阶段,具体各阶段的定义如下:
4——数据采集:
指新的数据产生或现有数据内容发生显著改变或更新的阶段。
对于组织机构而言,数据的采集既包含在组织机构内部系统中生成的数据也包含组织机构从外部采集的数据。
5——数据存储:
指非动态数据以任何数字格式进行物理存储的阶段。
6——数据处理:
指组织机构在内部针对动态数据进行的一系列活动的组合。
7——数据传输:
指数据在组织机构内部从一个实体通过网络流动到另一个实体的过程。
8——数据交换:
指数据经由组织机构内部与外部组织机构及个人交互过程中提供数据的阶段。
9——数据销毁:
指通过对数据及数据的存储介质通过相应的操作手段,使数据彻底丢失且无法通过任何手段恢复的过程。
特定的数据所经历的生命周期由实际的业务场景所决定,并非所有的数据都会完整的经历六个阶段。
数据安全过程域体系
安全过程域体系覆盖数据生命周期的六个阶段,包含各生命周期阶段通用的安全过程域和各生命周期阶段下的安全过程域,如图2所示。
图2 数据安全过程域体系
4.3 安全能力维度
能力构成
通过对各项安全过程所需具备安全能力的量化,可供组织机构评估每项安全过程的实现能力。
安全能力从组织建设、制度流程、技术工具及人员能力四个维度展开。
10——组织建设:
数据安全组织机构的架构建立、职责分配和沟通协作。
11——制度流程:
组织机构关键数据安全领域的制度规范和流程落地建设。
12——技术工具:
通过技术手段和产品工具固化安全要求或自动化实现安全工作。
13——人员能力:
执行数据安全工作的人员的意识及专业能力。
组织建设
从承担数据安全工作的组织机构建设应具备的能力出发,从以下方面进行能力的级别区分:
14——数据安全组织架构对组织业务的适用性;
15——数据安全组织机构承担的工作职责的明确性;
16——数据安全组织机构运作、沟通协调的有效性。
制度流程
从组织机构在数据安全层面的制度流程建设,以及制度流程的执行情况出发,从以下维度进行能力的级别区分:
17——数据生命周期关键控制节点授权审批流程的明确性;
18——相关流程制度的制定、发布、修订的规范性;
19——安全要求及流程落地执行的一致性和有效性。
技术工具
从组织机构用于开展数据安全工作的安全技术、应用系统和自动化工具出发,从以下维度进行能力的级别区分:
20——数据安全技术在数据全生命周期过程中的利用情况,针对数据全生命周期安全风险的检测及响应能力;
21——利用技术工具对数据安全工作的自动化支持能力,对数据安全制度流程的固化执行能力。
人员能力
从组织机构内部承担数据安全工作的人员应具备的能力出发,从以下维度进行能力的级别区分:
22——数据安全人员所具备的数据安全能力是否能够满足复合型能力要求(对数据相关业务的理解力以及专业安全能力);
23——数据安全人员的数据安全意识以及关键数据安全岗位员工的数据安全能力的培养。
4.4 成熟度等级定义
组织机构的数据安全能力成熟度模型具有5个成熟度等级,成熟度等级的定义如下:
24——等级1(非正式执行),是指具备随机、无序、被动的安全过程;
25——等级2(计划跟踪),是指具备主动、非体系化的安全过程;
26——等级3(充分定义),是指具备正式的规范的安全过程;
27——等级4(量化控制),是指安全过程可量化;
28——等级5(持续优化),是指安全过程可持续优化。
5 数据安全能力通用实践
5.1 能力级别1—非正式执行
能力等级描述
在这一级别,数据安全过程域的基本实践通常被执行。
但基本实践的执行可能未经严格的计划和跟踪,而是基于个人的知识和努力。
组织机构内的个人可标识出一个数据安全过程应被执行,并同意这个数据安全过程会在需要时执行。
该能力级别包含如下公共特征:
公共特征1.1—执行基本实践。
公共特征1.1—执行基本实践
公共特征描述
此公共特征的通用实践只是保证过程域的基本实践以某种方式执行。
但是,数据安全管理的一致性、性能和质量会因缺乏适当控制而存在极大的差异。
组织机构在数据安全过程域未有效的执行相关工作,仅在部分业务场景中/项目执行过程中根据临时的需求执行了相关工作,却未形成成熟的机制保证相关工作的持续有效进行,执行相关工作的人员能力也未得到有效的保障。
所执行的过程可称为“非正式过程”。
组织建设
未针对数据安全过程域的工作开展建立数据安全相关的团队/岗位和职责。
制度流程
未建立与数据安全过程域相关的数据安全工作相关的制度流程,数据安全工作的开展多为对特定业务需求的响应而触发。
技术工具
未部署技术工具以固化数据安全制度流程和提升数据安全能力。
人员能力
未安排具备数据安全过程域相关知识背景的人参与到数据安全保障工作中。
5.2 能力级别2—计划跟踪
在这一级别上,过程域基本实践的执行是经计划并被跟踪的,并对实践情况进行验证。
数据安全管理应符合指定的标准和需求。
通过测量来跟踪过程域的执行情况,因此,使组织机构能够基于实际实践活动进行管理。
与非正式实践级别间的主要区别是过程实践被计划和管理。
该能力级别包含如下公共特征:
公共特征2.1—规划执行;
公共特征2.2—规范化执行;
公共特征2.3—验证执行;
公共特征2.4—跟踪执行。
公共特征2.1—规划执行
公共特征描述
该公共特征的基本实践集中在过程域以及相关的基本实践执行的规划方面,因而涉及到过程文档的编制,过程工具的提供,过程实践的计划,规划执行的培训,过程资源的分配以及过程执行的责任分配。
这些通用实践为规范化的过程执行提供了最根本的基础。
组织建设
基于数据安全过程域的内容,规划关键数据安全管理的团队/岗位所需要的任务和责任,该团队/岗位主要负责对数据安全过程域中的关键安全管理规则的制定。
任务和责任应规定到,包括内部、外部的和过程实践相关的所有相关方。
制度流程
以数据为中心建立数据安全制度流程,并将数据安全制度流程形成标准化文档,并通过技术工具进行固化,使制度流程按照设计的方式执行。
在此模型中,一个组织机构或一个项目中的过程无需与过程域一一对应。
因此,覆盖一个过程域的过程可能可以以不止一种方式进行描述(例如以政策、标准等方式),一个过程描述可能包含不止一个过程域。
对数据安全制度流程的实践进行规划,和对数据安全工程和项目类的过程域规划可以按照项目计划的形式存在,而组织类的计划可以在组织机构层面上进行。
技术工具
规划为执行数据安全过程域基本实践所需要的技术工具,来确保数据安全过程的执行。
为支持数据安全过程域的规划执行提供适当的工具。
人员能力
为执行数据安全过程域基本实践规划充分的人力资源,分配其所需要的任务和责任,规划适当的培训,来确保过程的执行。
公共特征2.2—规范化执行
公共特征描述
该公共特征的通用实践注重于对过程实践的控制程度,需要使用过程执行计划、执行基于标准和程序的过程、对数据安全过程实施配置管理等。
这些通用实践构成了验证数据安全过程执行的重要基础。
组织建设
基于数据安全过程域的内容,分配在数据安全过程域中所涉及的承担关键数据安全管理职责的团队/岗位,该团队/岗位主要负责对数据安全过程域中的关键安全管理规则的落实。
制度流程
针对该数据安全过程域中的关键的风险点提出了相应的安全要求,并将相应的要求以制度流程的形式进行了文档化。
对数据安全制度流程进行规范化执行,在执行过程域中,使用文档化的计划、标准指导实践。
基于过程描述执行的过程称为“描述的过程”。
将数据安全制度流程实施配置管理,进行版本控制和/或变更控制。
配置管理可视项目具体情况,组织机构可采用工具和/或人工方式。
配置管理应提前做好规划。
技术工具
根据行业内对相关数据安全过程域的技术产品的普及度,以及组织机构内实现自动化安全控制的可行性,组织机构已经优先采用了普及度较高的技术工具或执行了可行度较高的自动化安全控制。
人员能力
从事数据安全过程域相关工作的人员具备对该数据安全过程域的关键风险的安全管理的背景知识和规范化执行数据安全过程的能力。
公共特征2.3—验证执行
公共特征描述
该公共特征的通用实践注重于确认过程按预定的方式执行。
因此这个通用实践涉及到验证执行过程与可应用的计划是一致的,以及对数据安全过程的审计。
这些通用实践构成了跟踪过程实践能力的重要基础。
组织建设
基于数据安全过程域的内容,分析在数据安全过程域中所涉及的承担关键数据安全管理职责的团队/岗位,该团队/岗位主要负责对数据安全过程域中的关键安全管理规则的制定。
验证组织机构的团队/岗位与可用标准、需求及测量目标的一致性。
对于组织建设的验证过程和审计活动应在计划中进行定义。
制度流程
验证制度流程与可用标准、需求及测量目标的一致性。
对于制度流程的验证过程和审计活动应在计划中进行定义。
技术工具
验证支撑数据安全过程的技术工具与可用标准、需求及测量目标的一致性。
对于技术工具的验证过程和审计活动应在计划中进行定义。
人员能力
验证人员能力与可用标准、需求及测量目标的一致性。
对于人员能力的验证过程和审计活动应在计划中进行定义。
公共特征2.4—跟踪执行
公共特征描述
该公共特征的通用实践注重于控制数据安全项目进展的能力。
因此,该过程通过可测量的计划跟踪过程执行,当过程实践与计划产生重大偏离时采取修正行动。
这些通用实践形成了达到充分定义过程能力的根本基础。
组织建设
对数据安全工作相关的组织建设定期进行跟踪,通过测量来检查跟踪数据安全组织建设工作执行的状态,并建立对项目级别的组织建设测量的历史记录。
当数据安全组织机构与计划的数据安全组织机构之间有重大差别时适当地采取修正措施。
进展可能由于估算的不精确、实践受外部因素的影响、作为计划基础的需求变动而与计划发生偏离。
修正措施可能包括改变组织架构与职责,改变计划,或二者兼有。
制度流程
对数据安全工作相关的制度流程定期进行跟踪,通过测量来检查跟踪数据安全制度流程工作执行的状态,并建立对制度流程的测量历史记录。
当数据安全制度流程与计划的数据安全制度流程间有重大差别时适当地采取修正措施。
进展可能由于估算的不精确、实践受外部因素的影响、作为计划基础的需求变动而与计划发生偏离。
修正措施可能包括改变制度流程,改变计划,或二者兼有。
技术工具
对数据安全工作相关的技术工具定期进行跟踪,通过测量来检查跟踪数据安全技术工具的状态,并建立对技术工具的测量历史记录。
当技术工具与计划执行的效果有重大差别时适当地采取修正措施。
进展可能由于估算的不精确、实践受外部因素的影响、作为计划基础的需求变动而与计划发生偏离。
修正措施可能包括改变技术工具,改变计划,或二者兼有。
人员能力
对数据安全工作相关的人员能力定期进行跟踪,通过测量来检查跟踪数据安全人员能力的状态,并建立对人员能力的测量历史记录。
当数据安全人员能力与计划的人员能力间有重大差别时适当地采取修正措施。
进展可能由于估算的不精确、实践受外部因素的影响、作为计划基础的需求变动而与计划发生偏离。
修正措施可能包括改变人员能力,改变计划,或二者兼有。
5.3 能力级别3—充分定义
在这一级别,基本实践按照充分定义的过程执行。
充分定义的过程是依据对文档化的标准过程进行裁剪并经批准的过程版本。
这一过程与计划跟踪级的主要区别在于利用组织机构范围内的过程标准来管理和规划。
该能力级别包括以下公共特征:
公共特征3.1—定义标准过程;
公共特征3.2—执行已定义的过程;
公共特征3.3—协调安全实践。
公共特征—定义标准过程
公共特征
该公共特征的通用实践注重于组织机构标准过程的制度化。
过程制度化的起因和基础可能是一个或多个相似过程在特定项目中的成功应用。
一个组织机构的标准过程可能需要适合特定环境的使用,所以也应考虑到如何进行裁剪。
因此,要为组织机构定义标准化的过程文档,要为满足特定用途对标准过程进行裁剪。
这些通用过程形成了执行已定义过程必要的基础。
组织建设
组织机构设立了实体或虚拟的团队,该团队主要负责针对该数据安全域建立有效的安全保护机制,包括但不限于建立组织机构统一的安全管理策略、制度和流程,并制定并面向组织机构范围内提供整体的技术标准解决方案。
该团队与数据安全过程域相关的部门(如业务部门、法律部门等)共同合作,建立有效的沟通和推进机制。
该团队已明确了数据安全的组织机构和岗位,数据安全人员的角色及其职责分配,并建立有效的工作考核机制。
制度流程
对数据安全过程域进行数据安全风险评估,并参考相关的安全管理体系的方法论,建立了适应于组织机构自身在数据安全过程域的标准制度流程。
建立数据安全域的标准制度流程,包括但不限于与组织机构结构和数据业务相一致的安全策略、具有明确管控要求的制度规范、用于相关管控要求落地的流程、指导整体工作执行的实施指南。
组织机构针对该数据安全过程域的制度流程建立标准的培训和宣传方案,实现对与该数据安全过程域相关的团队和人员在对制度流程的理解上的一致性。
技术工具
建立数据安全过程域相关的在线化平台固化并记录相关的流程,在组织机构内部建设、部署数据安全技术产品,强化安全控制。
其中,与数据安全过程域强关联的技术产品包含关键的产品功能,组织机构内基于具体的业务场景实现了对数据安全技术产品的有效运营,以保证产品功能对组织机构的业务场景的适应性。
人员能力
从事数据安全工作的人员具备数据安全标准资质,具备在数据安全领域的工作经验,能够充分理解组织机构在该数据安全过程域的安全风险并具备集合具体的业务场景制定风险改进方案的能力。
公共特征3.2—执行已定义过程
公共特征描述
该公共特征注重于充分定义过程的可重复执行。
因此提出了已定义过程的使用,针对有缺陷的过程结果和工作产品的核查,过程执行及其结果数据的使用。
该通用实践构成了协调安全实践的重要基础。
组织建设
组织机构设立了负责针对该数据安全域执行进行有效安全保护的实体或虚拟的团队。
该团队与数据安全过程域相关的部门(如业务部门、法律部门等)共同合作,建立有效的沟通和推进机制,实现数据安全要求和技术落地方案在数据安全过程域相关场景下的有效推行。
该团队已明确了相关人员在该数据安全过程域下的专职职责,建立执行缺陷复查的检查工作的考核机制。
制度流程
组织机构针对该数据安全过程域的制度流程建立了有效的培训和宣传方案,实现对与该数据安全过程域相关的团队和人员在对制度流程的理解上的一致性。
使用充分定义的过程,并建立专门的缺陷复查过程域,针对过程域的适当工作产品进行缺陷复查。
技术工具
针对该数据安全过程域中的安全管理要求,一方面建立相应的在线化平台固化并记录相关的流程,另一方面结合行业内的优秀产品方案在组织机构内部建设、部署相应的技术产品,强化相应的安全控制。
使用技术工具收集测量数据,得到更积极的应用并且为下一级的定量管理奠定了基础。
人员能力
从事数据安全工作的人员具备数据安全标准资质,具备在数据安全领域的工作经验,能够有效执行已定义的数据安全过程。
从事数据安全工作的人员能够充分理解组织机构在该数据安全过程域的安全风险,具备集合具体的业务场景制定风险改进方案,并执行已制定的风险改进方案的能力。
公共特征3.3—协调实践
公共特征描述
此公共特征侧重于单个业务系统和组织活动的协调。
许多重大活动都是由业务系统中的不同工作组和代表业务系统的组织服务组共同完成的。
缺乏协调将会导致数据安全风险和不可比的结果。
因此应确定业务系统内、各业务系统之间、组织机构外部活动的协调机制。
这些通用实践是获得定量控制过程能力的必要基础。
组织建设
数据安全的组织机构能够协调业务系统内、组织机构的不同业务系统之间,以及与组织机构外部之间的标准执行实践,保证数据安全组织建设相关标准的统一执行。
制度流程
数据安全的制度流程能够协调业务系统内、组织机构的不同业务系统之间,以及与组织机构外部之间的标准执行实践,保证数据安全制度流程相关标准的统一执行。
技术工具
数据安全的技术工具能够协调业务系统内、组织机构的不同业务系统之间,以及与组织机构外部之间的标准执行实践。
保证数据安全过程域中技术工具的安全管理标准统一执行。
人员能力
数据安全人员能够协调项目组内、组织机构的不同项目组之间,以及与组织机构外部之间的标准执行实践。
保证数据安全过程域中人员能力相关资质管理标准的统一执行。
5.4 能力级别4—量化控制
这个级别收集、分析执行的详细测量。
这将获得对过程能力和改进能力的量化理解以预测执行情况。
这个级别执行的管理是客观的,数据安全管理的质量是量化的。
这一级与充分定义级的主要区别在于定义的过程是定量的理解和控制。
该能力级别包括如下公共特征:
公共特征4.1—建立可测的安全目标;
公共特征4.2—客观地管理执行。
公共特征4.1—建立可测的安全目标
公共特征描述
该公共特征的通用实践侧重于为组织机构的数据安全建立可测量目标。
因此这个公共特征提出了安全目标的建立。
这些通用实践为客观地执行管理提供了必要的基础。
组织建设
结合组织机构战略安全目标、业务系统的特定要求和优先级或业务策略,将安全目标分解落实到数据安全数据安全相关的团队/岗位的职责中,以利于安全目标的量化可测量、可执行。
制度流程
量化地确定已定义的过程,测量活动要被嵌入到过程定义中。
建立与数据安全过程域相关的数据安全工作相关的制度流程,数据安全工作的开展多为对特定业务需求的响应而触发。
技术工具
根据定量的安全目标,对技术工具提出相应的功能和性能需求。
在已有的技术工具的基础上实现对关键数据安全能力的量化培训和提升。
在已有的该数据安全过程域的安全技术产品的基础上,进一步结合组织机构具体的业务场景,对安全技术产品的功能和设置进行更为细致化的管理,从而实现产品能力上的更加细化的量化安全控制。
人员能力
关键岗位的数据安全人员具备较高的数据安全能力,能够在理解组织机构整体数据安全目标的基础上考虑负责的数据安全过程领域的安全工作开展方式。
公共特征4.2—客观地管理执行
公共特征描述
该公共特征的通用实践侧重于确定过程能力的量化测
升级会员 