數(shù)據(jù)安全評估實(shí)施指南

1注2：個人信息一般不屬于重要數(shù)據(jù)，基于海量個人信息形成的2以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反34.2.5人員能力從組織承擔(dān)數(shù)據(jù)安全工作的人員應(yīng)具備的能力出發(fā)，根據(jù)以下方面進(jìn)行能力等）；依據(jù)國家標(biāo)準(zhǔn)，組織的數(shù)據(jù)安全能力成熟度等級共分為5級，每級的共性和必要性說明部分業(yè)務(wù)執(zhí)行過程中根據(jù)臨時的需求執(zhí)行了相關(guān)工作，未形成成熟的機(jī)制保證相關(guān)工作的持續(xù)有效進(jìn)行，執(zhí)行相關(guān)工作的人員未規(guī)范執(zhí)行：對安全過程進(jìn)行控制，使用執(zhí)行計劃、執(zhí)行基于標(biāo)準(zhǔn)驗(yàn)證執(zhí)行：確認(rèn)過程按預(yù)定的方式執(zhí)行，驗(yàn)證過程的執(zhí)行與計劃跟蹤執(zhí)行：控制數(shù)據(jù)安全過程執(zhí)行的進(jìn)展，通過可測量的計劃跟在業(yè)務(wù)系統(tǒng)級別主動地實(shí)現(xiàn)了安全過定義標(biāo)準(zhǔn)過程：組織對標(biāo)準(zhǔn)過程進(jìn)行制度化，為組織定義標(biāo)準(zhǔn)化執(zhí)行已定義的過程：充分定義的過程是可重復(fù)執(zhí)行的，并使用過協(xié)調(diào)安全實(shí)踐：確定業(yè)務(wù)系統(tǒng)內(nèi)、各業(yè)務(wù)系統(tǒng)之間、組織外部活在組織級別實(shí)現(xiàn)了安全過程的規(guī)范執(zhí)等級4：客觀地管理執(zhí)行：確定過程能力的量化測量，使用量化測量管理改進(jìn)組織能力：在整個組織范圍內(nèi)對規(guī)程的使用進(jìn)行比較，尋找改進(jìn)過程有效性：制定處于持續(xù)改進(jìn)狀態(tài)下的規(guī)程，對規(guī)程的缺根據(jù)組織的整體目c)對于每個數(shù)據(jù)安全PA，高等級的能力要求應(yīng)包括所有低等級能力要求。針對某一4PA體系分為數(shù)據(jù)生存周期安全過程和通用安全過程兩部分，共l數(shù)據(jù)采集安全的PA（PA01-PA04）包括：數(shù)據(jù)分類分級、數(shù)據(jù)采集安全管理、數(shù)l數(shù)據(jù)存儲安全的PA（PA07-PA09）包括：存儲媒體安全、邏輯存儲安全、數(shù)據(jù)備l數(shù)據(jù)處理安全的PA（PA10-PA14）包括：數(shù)據(jù)脫敏、數(shù)據(jù)分析安全、數(shù)據(jù)正當(dāng)使l數(shù)據(jù)交換安全的PA（PA15-PA17）包括：數(shù)據(jù)共享安全、數(shù)據(jù)發(fā)布安全、數(shù)據(jù)接5l通用安全的PA（PA20-PA30）包括：數(shù)據(jù)安全策略規(guī)劃、組織和人員管理、合規(guī)級別的數(shù)據(jù)安全能力的基礎(chǔ)。例如，組織在某個安全過程域下的數(shù)