GB/T 37988-2019信息安全技术数据安全能力成熟度模型

ICS35040

L80.

中华人民共和国国家标准

GB/T37988—2019

信息安全技术数据安全能力成熟度模型

Informationsecuritytechnology—Datasecuritycapabilitymaturitymodel

2019-08-30发布2020-03-01实施

国家市场监督管理总局发布

中国国家标准化管理委员会

GB/T37988—2019

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义

3………………1

缩略语

4……………………3

架构

5DSMM………………3

成熟度模型架构

5.1……………………3

安全能力维度

5.2………………………4

能力成熟度等级维度

5.3………………4

数据安全过程维度

5.4…………………6

数据采集安全

6……………7

数据分类分级

6.1PA01………………7

数据采集安全管理

6.2PA02…………8

数据源鉴别及记录

6.3PA03…………9

数据质量管理

6.4PA04………………11

数据传输安全

7……………12

数据传输加密

7.1PA05………………12

网络可用性管理

7.2PA06……………13

数据存储安全

8……………14

存储媒体安全

8.1PA07………………14

逻辑存储安全

8.2PA08………………15

数据备份和恢复

8.3PA09……………17

数据处理安全

9……………19

数据脱敏

9.1PA10……………………19

数据分析安全

9.2PA11………………20

数据正当使用

9.3PA12………………22

数据处理环境安全

9.4PA13…………23

数据导入导出安全

9.5PA14…………24

数据交换安全

10…………………………26

数据共享安全

10.1PA15……………26

数据发布安全

10.2PA16……………27

数据接口安全

10.3PA17……………28

数据销毁安全

11…………………………29

数据销毁处置

11.1PA18……………29

存储媒体销毁处置

11.2PA19………………………31

Ⅰ

GB/T37988—2019

通用安全

12………………32

数据安全策略规划

12.1PA20………………………32

组织和人员管理

12.2PA21…………34

合规管理

12.3PA22…………………36

数据资产管理

12.4PA23……………38

数据供应链安全

12.5PA24…………39

元数据管理

12.6PA25………………41

终端数据安全

12.7PA26……………42

监控与审计

12.8PA27………………43

鉴别与访问控制

12.9PA28…………44

需求分析

12.10PA29…………………46

安全事件应急

12.11PA30……………47

附录资料性附录能力成熟度等级描述与

A()GP……………………49

概述

A.1………………49

能力成熟度等级非正式执行

A.21———………………49

能力成熟度等级计划跟踪

A.32———…………………49

能力成熟度等级充分定义

A.43———…………………50

能力成熟度等级量化控制

A.54———…………………51

能力成熟度等级持续优化

A.65———…………………52

附录资料性附录能力成熟度等级评估参考方法

B()…………………54

附录资料性附录能力成熟度等级评估流程和模型使用方法

C()……55

能力成熟度等级评估流程

C.1…………55

能力成熟度模型使用方法

C.2…………56

参考文献

……………………57

Ⅱ

GB/T37988—2019

前言

本标准按照给出的规则起草

GB/T1.1—2009。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位阿里巴巴北京软件服务有限公司中国电子技术标准化研究院中国信息安全

:()、、

测评中心北京奇安信科技有限公司联想北京有限公司公安部第三研究所清华大学中国网络安

、、()、、、

全审查技术与认证中心中国科学院软件研究所中国移动通信集团公司阿里云计算有限公司北京天

、、、、

融信科技股份有限公司中国科学院信息工程研究所陕西省信息化工程研究院西北大学浪潮电子信

、、、、

息产业股份有限公司北京易华录信息技术股份有限公司新华三技术有限公司勤智数码科技股份有

、、、

限公司北京数字认证股份有限公司启明星辰信息技术集团股份有限公司海信集团有限公司银川市

、、、、

大数据产业发展服务中心南京中新赛克科技有限责任公司北京微步在线科技有限公司上海观安信

、、、

息技术有限公司华为技术有限公司三六零科技股份有限公司中电长城网际系统应用有限公司

、、、。

本标准主要起草人朱红儒刘贤刚胡影贾雪飞白晓媛叶晓俊李克鹏潘亮薛勇谢安明

:、、、、、、、、、、

梅婧婷金涛叶润国孙明亮张宇光徐羽佳杜跃进陈彩芳柯妍张玉东徐雨晴张世长宋玲娓

、、、、、、、、、、、、、

闵京华郑新华苗光胜刘玉岭潘正泰张锐卿任卫红任兰芳蔡晓丹常玲赵蓓张大江唐海龙

、、、、、、、、、、、、、

孙晓军李正孙骞赵江马红霞鲁晋王川杜青峰薛坤尤其王伟张屹何军张兴

、、、、、、、、、、、、、。

Ⅲ

GB/T37988—2019

信息安全技术数据安全能力成熟度模型

1范围

本标准给出了组织数据安全能力的成熟度模型架构规定了数据采集安全数据传输安全数据存

,、、

储安全数据处理安全数据交换安全数据销毁安全通用安全的成熟度等级要求

、、、、。

本标准适用于对组织数据安全能力进行评估也可作为组织开展数据安全能力建设时的依据

,。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息安全技术术语

GB/T25069—2010

信息技术安全技术信息安全管理体系概述和词汇

GB/T29246—2017

3术语和定义

和界定的以及下列术语和定义适用于本文件

GB/T25069—2010GB/T29246—2017