本標(biāo)準(zhǔn)基于大數(shù)據(jù)環(huán)境下電子化數(shù)據(jù)在組織機(jī)構(gòu)業(yè)務(wù)場景中的數(shù)據(jù)生命周期,從組織建設(shè)扔仓、制度流程芜赌、技術(shù)工具以及人員能力四個(gè)方面構(gòu)建了數(shù)據(jù)安全過程的規(guī)范性數(shù)據(jù)安全能力成熟度分級(jí)模型及其評(píng)估方法。
本標(biāo)準(zhǔn)適用于組織機(jī)構(gòu)數(shù)據(jù)安全能力的自身評(píng)估冒冬,也適用于第三方機(jī)構(gòu)對(duì)組織機(jī)構(gòu)的數(shù)據(jù)安全保障能力進(jìn)行評(píng)估
本標(biāo)準(zhǔn)借鑒能力成熟度模型(CMM)的思想伸蚯,以CMM的通用實(shí)踐來衡量能力成熟度等級(jí),以《要求》中的安全要求為基礎(chǔ)简烤,定義數(shù)據(jù)安全過程域和基本實(shí)踐剂邮,指導(dǎo)組織機(jī)構(gòu)如何持續(xù)達(dá)到所對(duì)應(yīng)的安全要求。
本標(biāo)準(zhǔn)主要根據(jù)《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》(以下簡稱為《要求》)中的數(shù)據(jù)安全要求對(duì)組織機(jī)構(gòu)?供的數(shù)據(jù)安全能力?出評(píng)估的模型框架及方法論横侦』用龋《要求》中定義了大數(shù)據(jù)服務(wù)?供者應(yīng)具有的組織相關(guān)基礎(chǔ)安全能力和數(shù)據(jù)生命周期相關(guān)的數(shù)據(jù)服務(wù)安全能力,本標(biāo)準(zhǔn)針對(duì)《要求》中定義的每個(gè)安全要求定義基本實(shí)踐枉侧,并根據(jù)本標(biāo)準(zhǔn)定義的成熟度等級(jí)的通用實(shí)踐引瀑,對(duì)基本實(shí)踐進(jìn)行等級(jí)評(píng)估。
本標(biāo)準(zhǔn)闡述了數(shù)據(jù)安全能力評(píng)估的成熟度模型及方法論榨馁,在過程域?qū)用媾c《要求》完全一致憨栽,在基本實(shí)踐層面與《要求》進(jìn)行映射,兩標(biāo)準(zhǔn)可以相互支撐調(diào)用⊥较瘢《要求》中定義了大數(shù)據(jù)服務(wù)?供者?供大數(shù)據(jù)服務(wù)所需要滿足的基線要求黍特,本標(biāo)準(zhǔn)定義了組織機(jī)構(gòu)持續(xù)實(shí)現(xiàn)安全過程、滿足安全要求的能力等級(jí)的評(píng)估方法锯蛀,來指導(dǎo)組織機(jī)構(gòu)?升自身的數(shù)據(jù)安全能力水平灭衷。
數(shù)據(jù)安全能力成熟度模型(DS-CMM)的模型架構(gòu)由以下三方面構(gòu)成(如圖1所示):
——數(shù)據(jù)生命周期安全:圍繞數(shù)據(jù)生命周期,?煉出大數(shù)據(jù)環(huán)境下旁涤,以數(shù)據(jù)為中心翔曲,針對(duì)數(shù)據(jù)生命周期各階段建立的相關(guān)數(shù)據(jù)安全過程域體系。
——安全能力維度:明確組織機(jī)構(gòu)在各數(shù)據(jù)安全領(lǐng)域所需要具備的能力維度劈愚,明確為組織建設(shè)瞳遍、制度流程、技術(shù)工具和人員能力四個(gè)關(guān)鍵能力的維度菌羽。
——能力成熟度等級(jí):基于統(tǒng)一的分級(jí)標(biāo)準(zhǔn)掠械,細(xì)化組織機(jī)構(gòu)在各數(shù)據(jù)安全過程域的五個(gè)級(jí)別的能力成熟度分級(jí)要求。
數(shù)據(jù)生命周期安全
基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織機(jī)構(gòu)業(yè)務(wù)中的流轉(zhuǎn)情況注祖,定義數(shù)據(jù)生命周期的6個(gè)階段猾蒂,具體各階段
的定義如下:
——數(shù)據(jù)采集:指在組織機(jī)構(gòu)內(nèi)部系統(tǒng)中新生成數(shù)據(jù),以及從外部收集數(shù)據(jù)的階段是晨。
——數(shù)據(jù)傳輸:指數(shù)據(jù)在組織機(jī)構(gòu)內(nèi)部從一個(gè)實(shí)體通過網(wǎng)絡(luò)流動(dòng)到另一個(gè)實(shí)體的階段肚菠。
——數(shù)據(jù)存儲(chǔ):指數(shù)據(jù)以任何數(shù)字格式進(jìn)行物理存儲(chǔ)或云存儲(chǔ)的階段。
——數(shù)據(jù)處理:指組織機(jī)構(gòu)在內(nèi)部針對(duì)數(shù)據(jù)進(jìn)行計(jì)算罩缴、分析蚊逢、可視化等操作的階段。
——數(shù)據(jù)交換:指數(shù)據(jù)由組織機(jī)構(gòu)與外部組織機(jī)構(gòu)及個(gè)人交互的階段箫章。
——數(shù)據(jù)銷毀:指通過對(duì)數(shù)據(jù)及數(shù)據(jù)的存儲(chǔ)介質(zhì)通過相應(yīng)的操作手段烙荷,使數(shù)據(jù)徹底消除且無法通過任何手段恢復(fù)的過程。
組織機(jī)構(gòu)的數(shù)據(jù)安全能力成熟度
模型分為五個(gè)成熟度等級(jí)炉抒,一級(jí)是非正式執(zhí)行級(jí)奢讨,二級(jí)是計(jì)劃跟蹤級(jí),三級(jí)是充分定義級(jí)焰薄,四級(jí)是量化控制級(jí)拿诸,五級(jí)是持續(xù)改進(jìn)級(jí)。能力級(jí)別從一級(jí)至五級(jí)逐級(jí)?高塞茅,標(biāo)志著組織機(jī)構(gòu)的數(shù)據(jù)安全保障能力的成熟度不斷?升亩码。每個(gè)級(jí)別規(guī)定了對(duì)應(yīng)的公共特征和通用實(shí)踐。
安全能力維度
通過對(duì)各項(xiàng)安全過程所需具備安全能力的量化野瘦,可供組織機(jī)構(gòu)評(píng)估每項(xiàng)安全過程的實(shí)現(xiàn)能力描沟。安全能力從組織建設(shè)飒泻、制度流程、技術(shù)工具及人員能力四個(gè)維度展開吏廉。
——組織建設(shè):數(shù)據(jù)安全組織機(jī)構(gòu)的架構(gòu)建立泞遗、職責(zé)分配和溝通協(xié)作。
——制度流程:組織機(jī)構(gòu)關(guān)鍵數(shù)據(jù)安全領(lǐng)域的制度規(guī)范和流程落地建設(shè)席覆。
——技術(shù)工具:通過技術(shù)手段和產(chǎn)品工具固化安全要求或自動(dòng)化實(shí)現(xiàn)安全工作史辙。
——人員能力:執(zhí)行數(shù)據(jù)安全工作的人員的意識(shí)及專業(yè)能力。
數(shù)據(jù)安全評(píng)估模型 標(biāo)準(zhǔn)下載地址 鏈接: https://pan.baidu.com/s/1YbMYa6BZxnHCTJ0ezNVidg 提取碼: u5rc
