数据安全成熟度标准.docx

1、数据安全成熟度标准信息安全技术数据安全能力成熟度模型1范围本标准基于大数据环境下电子化数据在组织机构业务场景中的数据生命周期,从组织建设、制度流程、技术工具以及人员能力四个方面构建了数据安全过程的规范性数据安全能力成熟度分级模型及其评估方法。本标准适用于组织机构数据安全能力的自身评估,也适用于第三方机构对组织机构的数据安全保障能力进行评估。2规范性引用文件下列文件对于本文件的应用是必不可少的.凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 25069-2010 信息安全技术术语GB/T 20261-2006 信息

2、安全技术 系统安全工程能力成熟度模型GB/T AAAAAAAAA 信息技术 大数据 术语GB/T BBBBBBBBB 信息技术 大数据参考框架GB/T CCCCC-CCCC 信息安全技术 个人信息安全规范GB/T DDDDDDDDD 信息安全技术 大数据服务安全能力要求GB/T EEEEE-EEEE 信息技术 数据管理能力成熟度模型3术语、定义和缩略语GB/T 250692010中界定的以及下列术语和定义适用于本文件。3.1术语和定义数据安全data security以数据为中心的安全，保护数据的可用性、完整性和机密性。注：本标准是从组织建设、制度流程、技术工具以及人员能力等方面对组织机构的数

3、据进行安全保护.数据安全能力data security capability组织机构在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障能力.成熟度maturity 对一个组织的有条理的持续改进能力的度量,对实现特定过程的连续性、可持续性、有效性和可信度的度量。成熟度模型maturity model对一个组织机构的成熟度进行度量的模型，包括一系列的代表能力和进展的特征、属性、指示或是模式.模型的内容通常是最佳实践的举例说明.成熟度模型提供一个组织机构衡量其当前的实践、流程、方法的能力水平的基准，并设置提升的目标和优先级.当一个模型被广泛应用于某个特定的行业,这个行业可以基于模型，来

4、评估本行业的组织机构的成熟度等级。组织机构 organization安排了责任、权利和关系的一组人员和设施。安全过程域 security process area实现同一安全目标的一系列数据安全相关活动、过程的集合。数据脱敏 data desensitization通过模糊化等方法对原始数据的处理，达到屏蔽敏感信息的一种数据保护方法。数据产品 data product直接或间接使用数据的产品，包括但不限于能访问原始数据，提供数据计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的软件产品。数据加工 data processing对原始数据进行抽取、转换、加载的过程；包括开发数据产品或

5、数据分析。合规 compliance对数据所适用的法律法规的遵循.3.2缩略语下列缩略语适用于本标准：ACL 访问控制列表（Access Control List） CMM 能力成熟度模型（Capability Maturity Model）DDOS 分布式拒绝服务（Distributed Denial of Service)DLP 数据防泄漏(Data Loss Prevetion）TLS 传输层安全（Transport Layer Security）SSL 安全套接层（Secure Sockets Layer）4数据安全能力成熟度模型架构4.1模型架构本标准借鉴能力成熟度模型（CMM）的思

6、想，以CMM的通用实践来衡量能力成熟度等级，以信息安全技术 大数据服务安全能力要求中的安全要求为基础，指导组织机构如何持续达到所对应的安全要求。数据安全能力成熟度模型的模型架构由以下三方面构成（如图1所示）：1数据生命周期安全：围绕数据生命周期，提炼出大数据环境下,以数据为中心，针对数据生命周期各阶段建立的相关数据安全过程域体系。2安全能力维度：明确组织机构在各数据安全领域所需要具备的能力维度，明确为制度流程、人员能力、组织建设和技术工具四个关键能力的维度.3能力成熟度等级:基于统一的分级标准，细化组织机构在各数据安全过程域的5个级别的能力成熟度分级要求。图1数据安全能力成熟度模型架构 对于图

7、1的模型架构的说明如下： 1）基于电子数据在组织机构内的数据生命周期,明确定义各阶段特定的数据安全过程域和数据生命周期通用的安全过程域。各阶段特定的数据安全过程域，包括数据采集、数据存储、数据传输、数据处理、数据交换和数据销毁这六个阶段中，各阶段特定的数据安全过程域。数据生命周期通用的安全过程域，是与各个生命周期都相关的，通用的数据安全过程域，比如策略与规程、合规性管理等方面。 2)本标准对组织机构的数据安全保障能力的成熟度的分级评估,是基于各成熟度等级下的数据安全能力通用实践所定义的分级评估方法，对各阶段特定的数据安全基本实践和数据生命周期通用的安全基本实践的实现的成熟度等级进行评估。4.2

8、数据生命周期安全 数据生命周期基于大数据环境下数据在组织机构业务中的流转情况，定义了数据生命周期的6个阶段,具体各阶段的定义如下:4数据采集：指新的数据产生或现有数据内容发生显著改变或更新的阶段。对于组织机构而言，数据的采集既包含在组织机构内部系统中生成的数据也包含组织机构从外部采集的数据。5数据存储：指非动态数据以任何数字格式进行物理存储的阶段。6数据处理：指组织机构在内部针对动态数据进行的一系列活动的组合.7数据传输：指数据在组织机构内部从一个实体通过网络流动到另一个实体的过程。8数据交换：指数据经由组织机构内部与外部组织机构及个人交互过程中提供数据的阶段。9数据销毁：指通过对数据及数据的

9、存储介质通过相应的操作手段，使数据彻底丢失且无法通过任何手段恢复的过程。特定的数据所经历的生命周期由实际的业务场景所决定，并非所有的数据都会完整的经历六个阶段。 数据安全过程域体系安全过程域体系覆盖数据生命周期的六个阶段,包含各生命周期阶段通用的安全过程域和各生命周期阶段下的安全过程域，如图2所示。图2数据安全过程域体系4.3安全能力维度能力构成通过对各项安全过程所需具备安全能力的量化,可供组织机构评估每项安全过程的实现能力.安全能力从组织建设、制度流程、技术工具及人员能力四个维度展开。10组织建设:数据安全组织机构的架构建立、职责分配和沟通协作.11制度流程：组织机构关键数据安全领域的制度规

10、范和流程落地建设。12技术工具：通过技术手段和产品工具固化安全要求或自动化实现安全工作.13人员能力：执行数据安全工作的人员的意识及专业能力。组织建设从承担数据安全工作的组织机构建设应具备的能力出发，从以下方面进行能力的级别区分:14数据安全组织架构对组织业务的适用性；15数据安全组织机构承担的工作职责的明确性；16数据安全组织机构运作、沟通协调的有效性。制度流程从组织机构在数据安全层面的制度流程建设，以及制度流程的执行情况出发，从以下维度进行能力的级别区分：17数据生命周期关键控制节点授权审批流程的明确性；18相关流程制度的制定、发布、修订的规范性；19安全要求及流程落地执行的一致性和有效性

11、.技术工具从组织机构用于开展数据安全工作的安全技术、应用系统和自动化工具出发，从以下维度进行能力的级别区分：20数据安全技术在数据全生命周期过程中的利用情况，针对数据全生命周期安全风险的检测及响应能力;21利用技术工具对数据安全工作的自动化支持能力，对数据安全制度流程的固化执行能力.人员能力 从组织机构内部承担数据安全工作的人员应具备的能力出发，从以下维度进行能力的级别区分：22数据安全人员所具备的数据安全能力是否能够满足复合型能力要求（对数据相关业务的理解力以及专业安全能力）;23数据安全人员的数据安全意识以及关键数据安全岗位员工的数据安全能力的培养。4.4成熟度等级定义组织机构的数据安全能

12、力成熟度模型具有5个成熟度等级，成熟度等级的定义如下：24等级1（非正式执行)，是指具备随机、无序、被动的安全过程；25等级2（计划跟踪），是指具备主动、非体系化的安全过程；26等级3（充分定义）,是指具备正式的规范的安全过程;27等级4(量化控制），是指安全过程可量化；28等级5（持续优化），是指安全过程可持续优化。5数据安全能力通用实践5.1能力级别1-非正式执行能力等级描述在这一级别，数据安全过程域的基本实践通常被执行。但基本实践的执行可能未经严格的计划和跟踪,而是基于个人的知识和努力。组织机构内的个人可标识出一个数据安全过程应被执行,并同意这个数据安全过程会在需要时执行。该能力级别包含

13、如下公共特征：公共特征1.1 执行基本实践。公共特征1。1 - 执行基本实践公共特征描述此公共特征的通用实践只是保证过程域的基本实践以某种方式执行.但是,数据安全管理的一致性、性能和质量会因缺乏适当控制而存在极大的差异.组织机构在数据安全过程域未有效的执行相关工作，仅在部分业务场景中/项目执行过程中根据临时的需求执行了相关工作，却未形成成熟的机制保证相关工作的持续有效进行，执行相关工作的人员能力也未得到有效的保障.所执行的过程可称为“非正式过程”。组织建设未针对数据安全过程域的工作开展建立数据安全相关的团队/岗位和职责。制度流程未建立与数据安全过程域相关的数据安全工作相关的制度流程，数据安全工

14、作的开展多为对特定业务需求的响应而触发.技术工具未部署技术工具以固化数据安全制度流程和提升数据安全能力.人员能力未安排具备数据安全过程域相关知识背景的人参与到数据安全保障工作中。5.2能力级别2计划跟踪在这一级别上，过程域基本实践的执行是经计划并被跟踪的，并对实践情况进行验证.数据安全管理应符合指定的标准和需求。通过测量来跟踪过程域的执行情况，因此,使组织机构能够基于实际实践活动进行管理。与非正式实践级别间的主要区别是过程实践被计划和管理.该能力级别包含如下公共特征:公共特征2.1 - 规划执行；公共特征2.2 规范化执行；公共特征2.3 验证执行;公共特征2。4 - 跟踪执行。公共特征2。1

15、 规划执行公共特征描述该公共特征的基本实践集中在过程域以及相关的基本实践执行的规划方面,因而涉及到过程文档的编制，过程工具的提供，过程实践的计划，规划执行的培训，过程资源的分配以及过程执行的责任分配。这些通用实践为规范化的过程执行提供了最根本的基础。组织建设基于数据安全过程域的内容,规划关键数据安全管理的团队/岗位所需要的任务和责任，该团队/岗位主要负责对数据安全过程域中的关键安全管理规则的制定。任务和责任应规定到，包括内部、外部的和过程实践相关的所有相关方.制度流程以数据为中心建立数据安全制度流程，并将数据安全制度流程形成标准化文档，并通过技术工具进行固化，使制度流程按照设计的方式执行。在此模型中,一个组织机构或一个项目中的过程无需与过程域一一对应。因此,覆盖一个过程域的过程可能可以以不止一种方式进行描述（例如以政策、标准等方式）,一个过程描述可能包含不止一个过程域。对数据安全制度流程的实践进行规划，和对数据