1 范围

      本标准给出了组织数据安全能力的成熟度模型架构，规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。

      本标准适用于对组织数据安全能力进行评估，也可作为组织开展数据安全能力建设时的依据。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 25069-2010 信息安全技术 术语

      GB/T 29246-2017 信息技术 安全技术信息安全管理体系 概述和词汇

3 术语和定义

      GB/T 25069-2010和GB/T 29246-2017界定的以及下列术语和定义适用于本文件。

3.1

      数据安全 data security

      通过管理和技术措施，确保数据有效保护和合规使用的状态。

3.2

      保密性 confidentiality

      使信息不泄漏给未授权的个人、实体、进程，或不被其利用的特性。

      ［GB/T 25069-2010，定义2.1.1］

3.3

      完整性 integrity

      准确和完备的特性。

      ［GB/T 29246-2017，定义2.40］

3.4

      可用性 availability

      已授权实体一旦需要就可访问和使用的数据和资源的特性。

      ［GB/T 25069-2010，定义2.1.20］

3.5

      数据安全能力 data security capability

      组织在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障。

3.6

      能力成熟度 capability maturity

      对一个组织有条理的持续改进能力以及实现特定过程的连续性、可持续性、有效性和可信度的水平。

3.7

      能力成熟度模型 capability maturity model

      对一个组织的能力成熟度进行度量的模型，包括一系列代表能力和进展的特征、属性、指示或者模式。

      注：能力成熟度模型为组织衡量其当前的实践、流程、方法的能力水平提供参考基准，并设置明确的提升目标。

3.8

      安全过程 security process

      用于实现某一安全目标的完整过程，该过程包含输入和输出。

      示例：“安全审计”这一安全过程，输入是系统日志，输出是审计报告。

3.9

      过程域 process area

      实现同一安全目标的相关数据安全基本实践的集合。

      注：一个过程域中包含一个或多个基本实践。

      示例：“元数据管理”这一过程域，包含建立元数据管理规范、建立元数据访问控制策略、建立元数据技术工具等基本实践。

3.10

      基本实践 base practice

      实现某一安全目标的数据安全相关活动。

      示例：建立数据资产清单，对数据资产进行分类分级管理等。

3.11

      通用实践 generic practice

      在评估中用于确定任何安全过程域或基本实践的实施能力的评定准则。

3.12

      数据脱敏 data desensitization

      通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。

3.13

      数据处理 data processing

      对原始数据进行抽取、转换、加载的过程。

      注1：数据处理包括开发数据产品或数据分析等。

      注2：数据产品包括但不限于能访问原始数据，提供数据计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的软硬件产品。

3.14

      数据供应链 data supply chain

      为满足数据供应关系，通过资源和过程将需方、供方相互关联的结构。

3.15

      规程 procedure

      对执行一个给定任务所采取动作历程的书面描述。

      ［GB/T 25069-2010，定义2.1.7］

3.16

      合规 compliance

      对数据安全所适用的法律法规的符合程度。

4 缩略语

      下列缩略语适用于本文件。

      BP：基本实践（Base Practice）

      DSMM：数据安全能力成熟度模型（Data Security Capability Maturity Model）

      GP：通用实践（Generic Practice）

      PA：过程域（Process Area）

      SSL：安全套接层（SecureSockets Layer）

      TLS：传输层安全（Transport Layer Security）

5 DSMM架构

5.1 成熟度模型架构

      DSMM架构如图1所示。

图1 DSMM架构图

      DSMM的架构由以下三个维度构成：

      a）安全能力维度

      安全能力维度明确了组织在数据安全领域应具备的能力，包括组织建设、制度流程、技术工具和人员能力。

      b）能力成熟度等级维度

      数据安全能力成熟度等级划分为五级，具体包括：1级是非正式执行级，2级是计划跟踪级，3级是充分定义级，4级是量化控制级，5级是持续优化级。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型》