GB/T 37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

ICS35040

L80.

中華人民共和國(guó)國(guó)家標(biāo)準(zhǔn)

GB/T37988—2019

信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

Informationsecuritytechnology—Datasecuritycapabilitymaturitymodel

2019-08-30發(fā)布2020-03-01實(shí)施

國(guó)家市場(chǎng)監(jiān)督管理總局發(fā)布

中國(guó)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T37988—2019

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語(yǔ)和定義

3………………1

縮略語(yǔ)

4……………………3

架構(gòu)

5DSMM………………3

成熟度模型架構(gòu)

5.1……………………3

安全能力維度

5.2………………………4

能力成熟度等級(jí)維度

5.3………………4

數(shù)據(jù)安全過(guò)程維度

5.4…………………6

數(shù)據(jù)采集安全

6……………7

數(shù)據(jù)分類(lèi)分級(jí)

6.1PA01………………7

數(shù)據(jù)采集安全管理

6.2PA02…………8

數(shù)據(jù)源鑒別及記錄

6.3PA03…………9

數(shù)據(jù)質(zhì)量管理

6.4PA04………………11

數(shù)據(jù)傳輸安全

7……………12

數(shù)據(jù)傳輸加密

7.1PA05………………12

網(wǎng)絡(luò)可用性管理

7.2PA06……………13

數(shù)據(jù)存儲(chǔ)安全

8……………14

存儲(chǔ)媒體安全

8.1PA07………………14

邏輯存儲(chǔ)安全

8.2PA08………………15

數(shù)據(jù)備份和恢復(fù)

8.3PA09……………17

數(shù)據(jù)處理安全

9……………19

數(shù)據(jù)脫敏

9.1PA10……………………19

數(shù)據(jù)分析安全

9.2PA11………………20

數(shù)據(jù)正當(dāng)使用

9.3PA12………………22

數(shù)據(jù)處理環(huán)境安全

9.4PA13…………23

數(shù)據(jù)導(dǎo)入導(dǎo)出安全

9.5PA14…………24

數(shù)據(jù)交換安全

10…………………………26

數(shù)據(jù)共享安全

10.1PA15……………26

數(shù)據(jù)發(fā)布安全

10.2PA16……………27

數(shù)據(jù)接口安全

10.3PA17……………28

數(shù)據(jù)銷(xiāo)毀安全

11…………………………29

數(shù)據(jù)銷(xiāo)毀處置

11.1PA18……………29

存儲(chǔ)媒體銷(xiāo)毀處置

11.2PA19………………………31

Ⅰ

GB/T37988—2019

通用安全

12………………32

數(shù)據(jù)安全策略規(guī)劃

12.1PA20………………………32

組織和人員管理

12.2PA21…………34

合規(guī)管理

12.3PA22…………………36

數(shù)據(jù)資產(chǎn)管理

12.4PA23……………38

數(shù)據(jù)供應(yīng)鏈安全

12.5PA24…………39

元數(shù)據(jù)管理

12.6PA25………………41

終端數(shù)據(jù)安全

12.7PA26……………42

監(jiān)控與審計(jì)

12.8PA27………………43

鑒別與訪(fǎng)問(wèn)控制

12.9PA28…………44

需求分析

12.10PA29…………………46

安全事件應(yīng)急

12.11PA30……………47

附錄資料性附錄能力成熟度等級(jí)描述與

A()GP……………………49

概述

A.1………………49

能力成熟度等級(jí)非正式執(zhí)行

A.21———………………49

能力成熟度等級(jí)計(jì)劃跟蹤

A.32———…………………49

能力成熟度等級(jí)充分定義

A.43———…………………50

能力成熟度等級(jí)量化控制

A.54———…………………51

能力成熟度等級(jí)持續(xù)優(yōu)化

A.65———…………………52

附錄資料性附錄能力成熟度等級(jí)評(píng)估參考方法

B()…………………54

附錄資料性附錄能力成熟度等級(jí)評(píng)估流程和模型使用方法

C()……55

能力成熟度等級(jí)評(píng)估流程

C.1…………55

能力成熟度模型使用方法

C.2…………56

參考文獻(xiàn)

……………………57

Ⅱ

GB/T37988—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請(qǐng)注意本文件的某些內(nèi)容可能涉及專(zhuān)利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識(shí)別這些專(zhuān)利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位阿里巴巴北京軟件服務(wù)有限公司中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院中國(guó)信息安全

:()、、

測(cè)評(píng)中心北京奇安信科技有限公司聯(lián)想北京有限公司公安部第三研究所清華大學(xué)中國(guó)網(wǎng)絡(luò)安

、、()、、、

全審查技術(shù)與認(rèn)證中心中國(guó)科學(xué)院軟件研究所中國(guó)移動(dòng)通信集團(tuán)公司阿里云計(jì)算有限公司北京天

、、、、

融信科技股份有限公司中國(guó)科學(xué)院信息工程研究所陜西省信息化工程研究院西北大學(xué)浪潮電子信

、、、、

息產(chǎn)業(yè)股份有限公司北京易華錄信息技術(shù)股份有限公司新華三技術(shù)有限公司勤智數(shù)碼科技股份有

、、、

限公司北京數(shù)字認(rèn)證股份有限公司啟明星辰信息技術(shù)集團(tuán)股份有限公司海信集團(tuán)有限公司銀川市

、、、、

大數(shù)據(jù)產(chǎn)業(yè)發(fā)展服務(wù)中心南京中新賽克科技有限責(zé)任公司北京微步在線(xiàn)科技有限公司上海觀(guān)安信

、、、

息技術(shù)有限公司華為技術(shù)有限公司三六零科技股份有限公司中電長(zhǎng)城網(wǎng)際系統(tǒng)應(yīng)用有限公司

、、、。

本標(biāo)準(zhǔn)主要起草人朱紅儒劉賢剛胡影賈雪飛白曉媛葉曉俊李克鵬潘亮薛勇謝安明

:、、、、、、、、、、

梅婧婷金濤葉潤(rùn)國(guó)孫明亮張宇光徐羽佳杜躍進(jìn)陳彩芳柯妍張玉東徐雨晴張世長(zhǎng)宋玲娓

、、、、、、、、、、、、、

閔京華鄭新華苗光勝劉玉嶺潘正泰張銳卿任衛(wèi)紅任蘭芳蔡曉丹常玲趙蓓張大江唐海龍

、、、、、、、、、、、、、

孫曉軍李正孫騫趙江馬紅霞魯晉王川杜青峰薛坤尤其王偉張屹何軍張興

、、、、、、、、、、、、、。

Ⅲ

GB/T37988—2019

信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

1范圍

本標(biāo)準(zhǔn)給出了組織數(shù)據(jù)安全能力的成熟度模型架構(gòu)規(guī)定了數(shù)據(jù)采集安全數(shù)據(jù)傳輸安全數(shù)據(jù)存

,、、

儲(chǔ)安全數(shù)據(jù)處理安全數(shù)據(jù)交換安全數(shù)據(jù)銷(xiāo)毀安全通用安全的成熟度等級(jí)要求

、、、、。

本標(biāo)準(zhǔn)適用于對(duì)組織數(shù)據(jù)安全能力進(jìn)行評(píng)估也可作為組織開(kāi)展數(shù)據(jù)安全能力建設(shè)時(shí)的依據(jù)

,。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語(yǔ)

GB/T25069—2010

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T29246—2017

3術(shù)語(yǔ)和定義

和界定的以及下列術(shù)語(yǔ)和定義適用于本文件

GB/T25069—2010GB/T29246—2017