标准解读

《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》是由中国国家标准化管理委员会发布的一项国家标准,旨在为组织提供一个评估和改进其数据安全管理能力的框架。该标准基于能力成熟度模型的思想,将数据安全能力分为五个等级:初始级、计划跟踪级、充分定义级、量化控制级和持续优化级。

在初始级中,组织的数据安全工作往往是非正式且随机的,缺乏系统性规划与管理。进入计划跟踪级后,开始有了基本的数据安全策略和过程,并能够对这些过程进行一定的监督与追踪。当达到充分定义级时,表明该组织已经建立了明确的数据安全政策、流程及指南,并能有效地执行。到了量化控制级,则意味着不仅有完善的数据安全管理体系,还能够通过定量分析来衡量安全性并作出相应调整。最高级别的持续优化级,则是说组织不仅能够高效运作其数据安全体系,还能不断寻求新的方法和技术以进一步提升整体水平。


如需获取更多详尽信息,请直接参考下方经官方授权发布的权威标准文档。

....

查看全部

  • 现行
  • 正在执行有效
  • 2019-08-30 颁布
  • 2020-03-01 实施
©正版授权
GB∕T 37988-2019 信息安全技术 数据安全能力成熟度模型_第1页
GB∕T 37988-2019 信息安全技术 数据安全能力成熟度模型_第2页
GB∕T 37988-2019 信息安全技术 数据安全能力成熟度模型_第3页
GB∕T 37988-2019 信息安全技术 数据安全能力成熟度模型_第4页
GB∕T 37988-2019 信息安全技术 数据安全能力成熟度模型_第5页
免费预览已结束,剩余59页可下载查看

下载本文档

GB∕T 37988-2019 信息安全技术 数据安全能力成熟度模型-免费下载试读页

文档简介

ICS35040

L80.

中华人民共和国国家标准

GB/T37988—2019

信息安全技术数据安全能力成熟度模型

Informationsecuritytechnology—Datasecuritycapabilitymaturitymodel

2019-08-30发布2020-03-01实施

国家市场监督管理总局发布

中国国家标准化管理委员会

GB/T37988—2019

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………3

架构

5DSMM………………3

成熟度模型架构

5.1……………………3

安全能力维度

5.2………………………4

能力成熟度等级维度

5.3………………4

数据安全过程维度

5.4…………………6

数据采集安全

6……………7

数据分类分级

6.1PA01………………7

数据采集安全管理

6.2PA02…………8

数据源鉴别及记录

6.3PA03…………9

数据质量管理

6.4PA04………………11

数据传输安全

7……………12

数据传输加密

7.1PA05………………12

网络可用性管理

7.2PA06……………13

数据存储安全

8……………14

存储媒体安全

8.1PA07………………14

逻辑存储安全

8.2PA08………………15

数据备份和恢复

8.3PA09……………17

数据处理安全

9……………19

数据脱敏

9.1PA10……………………19

数据分析安全

9.2PA11………………20

数据正当使用

9.3PA12………………22

数据处理环境安全

9.4PA13…………23

数据导入导出安全

9.5PA14…………24

数据交换安全

10…………………………26

数据共享安全

10.1PA15……………26

数据发布安全

10.2PA16……………27

数据接口安全

10.3PA17……………28

数据销毁安全

11…………………………29

数据销毁处置

11.1PA18……………29

存储媒体销毁处置

11.2PA19………………………31

GB/T37988—2019

通用安全

12………………32

数据安全策略规划

12.1PA20………………………32

组织和人员管理

12.2PA21…………34

合规管理

12.3PA22…………………36

数据资产管理

12.4PA23……………38

数据供应链安全

12.5PA24…………39

元数据管理

12.6PA25………………41

终端数据安全

12.7PA26……………42

监控与审计

12.8PA27………………43

鉴别与访问控制

12.9PA28…………44

需求分析

12.10PA29…………………46

安全事件应急

12.11PA30……………47

附录资料性附录能力成熟度等级描述与

A()GP……………………49

概述

A.1………………49

能力成熟度等级非正式执行

A.21———………………49

能力成熟度等级计划跟踪

A.32———…………………49

能力成熟度等级充分定义

A.43———…………………50

能力成熟度等级量化控制

A.54———…………………51

能力成熟度等级持续优化

A.65———…………………52

附录资料性附录能力成熟度等级评估参考方法

B()…………………54

附录资料性附录能力成熟度等级评估流程和模型使用方法

C()……55

能力成熟度等级评估流程

C.1…………55

能力成熟度模型使用方法

C.2…………56

参考文献

……………………57

GB/T37988—2019

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位阿里巴巴北京软件服务有限公司中国电子技术标准化研究院中国信息安全

:()、、

测评中心北京奇安信科技有限公司联想北京有限公司公安部第三研究所清华大学中国网络安

、、()、、、

全审查技术与认证中心中国科学院软件研究所中国移动通信集团公司阿里云计算有限公司北京天

、、、、

融信科技股份有限公司中国科学院信息工程研究所陕西省信息化工程研究院西北大学浪潮电子信

、、、、

息产业股份有限公司北京易华录信息技术股份有限公司新华三技术有限公司勤智数码科技股份有

、、、

限公司北京数字认证股份有限公司启明星辰信息技术集团股份有限公司海信集团有限公司银川市

、、、、

大数据产业发展服务中心南京中新赛克科技有限责任公司北京微步在线科技有限公司上海观安信

、、、

息技术有限公司华为技术有限公司三六零科技股份有限公司中电长城网际系统应用有限公司

、、、。

本标准主要起草人朱红儒刘贤刚胡影贾雪飞白晓媛叶晓俊李克鹏潘亮薛勇谢安明

:、、、、、、、、、、

梅婧婷金涛叶润国孙明亮张宇光徐羽佳杜跃进陈彩芳柯妍张玉东徐雨晴张世长宋玲娓

、、、、、、、、、、、、、

闵京华郑新华苗光胜刘玉岭潘正泰张锐卿任卫红任兰芳蔡晓丹常玲赵蓓张大江唐海龙

、、、、、、、、、、、、、

孙晓军李正孙骞赵江马红霞鲁晋王川杜青峰薛坤尤其王伟张屹何军张兴

、、、、、、、、、、、、、。

GB/T37988—2019

信息安全技术数据安全能力成熟度模型

1范围

本标准给出了组织数据安全能力的成熟度模型架构规定了数据采集安全数据传输安全数据存

,、、

储安全数据处理安全数据交换安全数据销毁安全通用安全的成熟度等级要求

、、、、。

本标准适用于对组织数据安全能力进行评估也可作为组织开展数据安全能力建设时的依据

,。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069—2010

信息技术安全技术信息安全管理体系概述和词汇

GB/T29246—2017

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069—2010GB/T29246—2017

温馨提示

  • 1. 本站所提供的标准文本仅供个人学习、研究之用,未经授权,严禁复制、发行、汇编、翻译或网络传播等,侵权必究。
  • 2. 本站所提供的标准均为PDF格式电子版文本(可阅读打印),因数字商品的特殊性,一经售出,不提供退换货服务。
  • 3. 标准文档要求电子版与印刷版保持一致,所以下载的文档中可能包含空白页,非文档质量问题。

评论

0/150

提交评论