1 范圍

      本標準給出了組織數(shù)據(jù)安全能力的成熟度模型架構(gòu)，規(guī)定了數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全的成熟度等級要求。

      本標準適用于對組織數(shù)據(jù)安全能力進行評估，也可作為組織開展數(shù)據(jù)安全能力建設(shè)時的依據(jù)。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 29246-2017 信息技術(shù) 安全技術(shù)信息安全管理體系 概述和詞匯

3 術(shù)語和定義

      GB/T 25069-2010和GB/T 29246-2017界定的以及下列術(shù)語和定義適用于本文件。

3.1

      數(shù)據(jù)安全 data security

      通過管理和技術(shù)措施，確保數(shù)據(jù)有效保護和合規(guī)使用的狀態(tài)。

3.2

      保密性 confidentiality

      使信息不泄漏給未授權(quán)的個人、實體、進程，或不被其利用的特性。

      ［GB/T 25069-2010，定義2.1.1］

3.3

      完整性 integrity

      準確和完備的特性。

      ［GB/T 29246-2017，定義2.40］

3.4

      可用性 availability

      已授權(quán)實體一旦需要就可訪問和使用的數(shù)據(jù)和資源的特性。

      ［GB/T 25069-2010，定義2.1.20］

3.5

      數(shù)據(jù)安全能力 data security capability

      組織在組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對數(shù)據(jù)的安全保障。

3.6

      能力成熟度 capability maturity

      對一個組織有條理的持續(xù)改進能力以及實現(xiàn)特定過程的連續(xù)性、可持續(xù)性、有效性和可信度的水平。

3.7

      能力成熟度模型 capability maturity model

      對一個組織的能力成熟度進行度量的模型，包括一系列代表能力和進展的特征、屬性、指示或者模式。

      注：能力成熟度模型為組織衡量其當前的實踐、流程、方法的能力水平提供參考基準，并設(shè)置明確的提升目標。

3.8

      安全過程 security process

      用于實現(xiàn)某一安全目標的完整過程，該過程包含輸入和輸出。

      示例：“安全審計”這一安全過程，輸入是系統(tǒng)日志，輸出是審計報告。

3.9

      過程域 process area

      實現(xiàn)同一安全目標的相關(guān)數(shù)據(jù)安全基本實踐的集合。

      注：一個過程域中包含一個或多個基本實踐。

      示例：“元數(shù)據(jù)管理”這一過程域，包含建立元數(shù)據(jù)管理規(guī)范、建立元數(shù)據(jù)訪問控制策略、建立元數(shù)據(jù)技術(shù)工具等基本實踐。

3.10

      基本實踐 base practice

      實現(xiàn)某一安全目標的數(shù)據(jù)安全相關(guān)活動。

      示例：建立數(shù)據(jù)資產(chǎn)清單，對數(shù)據(jù)資產(chǎn)進行分類分級管理等。

3.11

      通用實踐 generic practice

      在評估中用于確定任何安全過程域或基本實踐的實施能力的評定準則。

3.12

      數(shù)據(jù)脫敏 data desensitization

      通過一系列數(shù)據(jù)處理方法對原始數(shù)據(jù)進行處理以屏蔽敏感數(shù)據(jù)的一種數(shù)據(jù)保護方法。

3.13

      數(shù)據(jù)處理 data processing

      對原始數(shù)據(jù)進行抽取、轉(zhuǎn)換、加載的過程。

      注1：數(shù)據(jù)處理包括開發(fā)數(shù)據(jù)產(chǎn)品或數(shù)據(jù)分析等。

      注2：數(shù)據(jù)產(chǎn)品包括但不限于能訪問原始數(shù)據(jù)，提供數(shù)據(jù)計算、數(shù)據(jù)存儲、數(shù)據(jù)交換、數(shù)據(jù)分析、數(shù)據(jù)挖掘、數(shù)據(jù)展示等應(yīng)用的軟硬件產(chǎn)品。

3.14

      數(shù)據(jù)供應(yīng)鏈 data supply chain

      為滿足數(shù)據(jù)供應(yīng)關(guān)系，通過資源和過程將需方、供方相互關(guān)聯(lián)的結(jié)構(gòu)。

3.15

      規(guī)程 procedure

      對執(zhí)行一個給定任務(wù)所采取動作歷程的書面描述。

      ［GB/T 25069-2010，定義2.1.7］

3.16

      合規(guī) compliance

      對數(shù)據(jù)安全所適用的法律法規(guī)的符合程度。

4 縮略語

      下列縮略語適用于本文件。

      BP：基本實踐（Base Practice）

      DSMM：數(shù)據(jù)安全能力成熟度模型（Data Security Capability Maturity Model）

      GP：通用實踐（Generic Practice）

      PA：過程域（Process Area）

      SSL：安全套接層（SecureSockets Layer）

      TLS：傳輸層安全（Transport Layer Security）

5 DSMM架構(gòu)

5.1 成熟度模型架構(gòu)

      DSMM架構(gòu)如圖1所示。

圖1 DSMM架構(gòu)圖

      DSMM的架構(gòu)由以下三個維度構(gòu)成：

      a）安全能力維度

      安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力，包括組織建設(shè)、制度流程、技術(shù)工具和人員能力。

      b）能力成熟度等級維度

      數(shù)據(jù)安全能力成熟度等級劃分為五級，具體包括：1級是非正式執(zhí)行級，2級是計劃跟蹤級，3級是充分定義級，4級是量化控制級，5級是持續(xù)優(yōu)化級。

以上為標準部分內(nèi)容，如需看標準全文，請到相關(guān)授權(quán)網(wǎng)站購買標準正版。