GB/T 37988-2019信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

ICS35040

L80.

中華人民共和國國家標(biāo)準(zhǔn)

GB/T37988—2019

信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

Informationsecuritytechnology—Datasecuritycapabilitymaturitymodel

2019-08-30發(fā)布2020-03-01實(shí)施

國家市場監(jiān)督管理總局發(fā)布

中國國家標(biāo)準(zhǔn)化管理委員會(huì)

GB/T37988—2019

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語和定義

3………………1

縮略語

4……………………3

架構(gòu)

5DSMM………………3

成熟度模型架構(gòu)

5.1……………………3

安全能力維度

5.2………………………4

能力成熟度等級維度

5.3………………4

數(shù)據(jù)安全過程維度

5.4…………………6

數(shù)據(jù)采集安全

6……………7

數(shù)據(jù)分類分級

6.1PA01………………7

數(shù)據(jù)采集安全管理

6.2PA02…………8

數(shù)據(jù)源鑒別及記錄

6.3PA03…………9

數(shù)據(jù)質(zhì)量管理

6.4PA04………………11

數(shù)據(jù)傳輸安全

7……………12

數(shù)據(jù)傳輸加密

7.1PA05………………12

網(wǎng)絡(luò)可用性管理

7.2PA06……………13

數(shù)據(jù)存儲(chǔ)安全

8……………14

存儲(chǔ)媒體安全

8.1PA07………………14

邏輯存儲(chǔ)安全

8.2PA08………………15

數(shù)據(jù)備份和恢復(fù)

8.3PA09……………17

數(shù)據(jù)處理安全

9……………19

數(shù)據(jù)脫敏

9.1PA10……………………19

數(shù)據(jù)分析安全

9.2PA11………………20

數(shù)據(jù)正當(dāng)使用

9.3PA12………………22

數(shù)據(jù)處理環(huán)境安全

9.4PA13…………23

數(shù)據(jù)導(dǎo)入導(dǎo)出安全

9.5PA14…………24

數(shù)據(jù)交換安全

10…………………………26

數(shù)據(jù)共享安全

10.1PA15……………26

數(shù)據(jù)發(fā)布安全

10.2PA16……………27

數(shù)據(jù)接口安全

10.3PA17……………28

數(shù)據(jù)銷毀安全

11…………………………29

數(shù)據(jù)銷毀處置

11.1PA18……………29

存儲(chǔ)媒體銷毀處置

11.2PA19………………………31

Ⅰ

GB/T37988—2019

通用安全

12………………32

數(shù)據(jù)安全策略規(guī)劃

12.1PA20………………………32

組織和人員管理

12.2PA21…………34

合規(guī)管理

12.3PA22…………………36

數(shù)據(jù)資產(chǎn)管理

12.4PA23……………38

數(shù)據(jù)供應(yīng)鏈安全

12.5PA24…………39

元數(shù)據(jù)管理

12.6PA25………………41

終端數(shù)據(jù)安全

12.7PA26……………42

監(jiān)控與審計(jì)

12.8PA27………………43

鑒別與訪問控制

12.9PA28…………44

需求分析

12.10PA29…………………46

安全事件應(yīng)急

12.11PA30……………47

附錄資料性附錄能力成熟度等級描述與

A()GP……………………49

概述

A.1………………49

能力成熟度等級非正式執(zhí)行

A.21———………………49

能力成熟度等級計(jì)劃跟蹤

A.32———…………………49

能力成熟度等級充分定義

A.43———…………………50

能力成熟度等級量化控制

A.54———…………………51

能力成熟度等級持續(xù)優(yōu)化

A.65———…………………52

附錄資料性附錄能力成熟度等級評估參考方法

B()…………………54

附錄資料性附錄能力成熟度等級評估流程和模型使用方法

C()……55

能力成熟度等級評估流程

C.1…………55

能力成熟度模型使用方法

C.2…………56

參考文獻(xiàn)

……………………57

Ⅱ

GB/T37988—2019

前言

本標(biāo)準(zhǔn)按照給出的規(guī)則起草

GB/T1.1—2009。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機(jī)構(gòu)不承擔(dān)識別這些專利的責(zé)任

。。

本標(biāo)準(zhǔn)由全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)提出并歸口

(SAC/TC260)。

本標(biāo)準(zhǔn)起草單位阿里巴巴北京軟件服務(wù)有限公司中國電子技術(shù)標(biāo)準(zhǔn)化研究院中國信息安全

:()、、

測評中心北京奇安信科技有限公司聯(lián)想北京有限公司公安部第三研究所清華大學(xué)中國網(wǎng)絡(luò)安

、、()、、、

全審查技術(shù)與認(rèn)證中心中國科學(xué)院軟件研究所中國移動(dòng)通信集團(tuán)公司阿里云計(jì)算有限公司北京天

、、、、

融信科技股份有限公司中國科學(xué)院信息工程研究所陜西省信息化工程研究院西北大學(xué)浪潮電子信

、、、、

息產(chǎn)業(yè)股份有限公司北京易華錄信息技術(shù)股份有限公司新華三技術(shù)有限公司勤智數(shù)碼科技股份有

、、、

限公司北京數(shù)字認(rèn)證股份有限公司啟明星辰信息技術(shù)集團(tuán)股份有限公司海信集團(tuán)有限公司銀川市

、、、、

大數(shù)據(jù)產(chǎn)業(yè)發(fā)展服務(wù)中心南京中新賽克科技有限責(zé)任公司北京微步在線科技有限公司上海觀安信

、、、

息技術(shù)有限公司華為技術(shù)有限公司三六零科技股份有限公司中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司

、、、。

本標(biāo)準(zhǔn)主要起草人朱紅儒劉賢剛胡影賈雪飛白曉媛葉曉俊李克鵬潘亮薛勇謝安明

:、、、、、、、、、、

梅婧婷金濤葉潤國孫明亮張宇光徐羽佳杜躍進(jìn)陳彩芳柯妍張玉東徐雨晴張世長宋玲娓

、、、、、、、、、、、、、

閔京華鄭新華苗光勝劉玉嶺潘正泰張銳卿任衛(wèi)紅任蘭芳蔡曉丹常玲趙蓓張大江唐海龍

、、、、、、、、、、、、、

孫曉軍李正孫騫趙江馬紅霞魯晉王川杜青峰薛坤尤其王偉張屹何軍張興

、、、、、、、、、、、、、。

Ⅲ

GB/T37988—2019

信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

1范圍

本標(biāo)準(zhǔn)給出了組織數(shù)據(jù)安全能力的成熟度模型架構(gòu)規(guī)定了數(shù)據(jù)采集安全數(shù)據(jù)傳輸安全數(shù)據(jù)存

,、、

儲(chǔ)安全數(shù)據(jù)處理安全數(shù)據(jù)交換安全數(shù)據(jù)銷毀安全通用安全的成熟度等級要求

、、、、。

本標(biāo)準(zhǔn)適用于對組織數(shù)據(jù)安全能力進(jìn)行評估也可作為組織開展數(shù)據(jù)安全能力建設(shè)時(shí)的依據(jù)

,。

2規(guī)范性引用文件

下列文件對于本文件的應(yīng)用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術(shù)術(shù)語

GB/T25069—2010

信息技術(shù)安全技術(shù)信息安全管理體系概述和詞匯

GB/T29246—2017

3術(shù)語和定義

和界定的以及下列術(shù)語和定義適用于本文件

GB/T25069—2010GB/T29246—2017