《信息安全技術數(shù)據(jù)安全能力成熟度模型》

GB/TXXXXX—XXXX

信息安全技術數(shù)據(jù)安全能力成熟度模型

1范圍

本標準基于大數(shù)據(jù)環(huán)境下電子化數(shù)據(jù)在組織機構業(yè)務場景中的數(shù)據(jù)生命周期，從組織建設、制度流

程、技術工具以及人員能力四個方面構建了數(shù)據(jù)安全過程的規(guī)范性數(shù)據(jù)安全能力成熟度分級模型及其評

估方法。

本標準適用于組織機構數(shù)據(jù)安全能力的自身評估，也適用于第三方機構對組織機構的數(shù)據(jù)安全保障

能力進行評估。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T25069—2010信息安全技術術語

GB/T20261—2006信息安全技術系統(tǒng)安全工程-能力成熟度模型

GB/TAAAAA—AAAA信息技術大數(shù)據(jù)術語

GB/TBBBBB—BBBB信息技術大數(shù)據(jù)參考框架

GB/TCCCCC—CCCC信息安全技術個人信息安全規(guī)范

GB/TDDDDD—DDDD信息安全技術大數(shù)據(jù)服務安全能力要求

GB/TEEEEE—EEEE信息技術數(shù)據(jù)管理能力成熟度模型

3術語、定義和縮略語

GB/T25069—2010中界定的以及下列術語和定義適用于本文件。

3.1術語和定義

3.1.1

3.1.2數(shù)據(jù)安全datasecurity

以數(shù)據(jù)為中心的安全，保護數(shù)據(jù)的可用性、完整性和機密性。

注：本標準是從組織建設、制度流程、技術工具以及人員能力等方面對組織機構的數(shù)據(jù)進行安全保

護。

3.1.3

3.1.4數(shù)據(jù)安全能力datasecuritycapability

組織機構在組織建設、制度流程、技術工具以及人員能力等方面對數(shù)據(jù)的安全保障能力。

3.1.5

3.1.6成熟度maturity

對一個組織的有條理的持續(xù)改進能力的度量，對實現(xiàn)特定過程的連續(xù)性、可持續(xù)性、有效性和可信

度的度量。

1

GB/TXXXXX—XXXX

3.1.7

3.1.8成熟度模型maturitymodel

對一個組織機構的成熟度進行度量的模型，包括一系列的代表能力和進展的特征、屬性、指示或是

模式。模型的內容通常是最佳實踐的舉例說明。成熟度模型提供一個組織機構衡量其當前的實踐、流程、

方法的能力水平的基準，并設置提升的目標和優(yōu)先級。當一個模型被廣泛應用于某個特定的行業(yè)，這個

行業(yè)可以基于模型，來評估本行業(yè)的組織機構的成熟度等級。

3.1.9

3.1.10組織機構organization

安排了責任、權利和關系的一組人員和設施。

3.1.11

3.1.12安全過程域securityprocessarea

實現(xiàn)同一安全目標的一系列數(shù)據(jù)安全相關活動、過程的集合。

3.1.13

3.1.14數(shù)據(jù)脫敏datadesensitization

通過模糊化等方法對原始數(shù)據(jù)的處理，達到屏蔽敏感信息的一種數(shù)據(jù)保護方法。

3.1.15

3.1.16數(shù)據(jù)產(chǎn)品dataproduct

直接或間接使用數(shù)據(jù)的產(chǎn)品，包括但不限于能訪問原始數(shù)據(jù)，提供數(shù)據(jù)計算、數(shù)據(jù)存儲、數(shù)據(jù)交換、

數(shù)據(jù)分析、數(shù)據(jù)挖掘、數(shù)據(jù)展示等應用的軟件產(chǎn)品。

3.1.17

3.1.18數(shù)據(jù)加工dataprocessing

對原始數(shù)據(jù)進行抽取、轉換、加載的過程；包括開發(fā)數(shù)據(jù)產(chǎn)品或數(shù)據(jù)分析。

3.1.19

3.1.20合規(guī)compliance

對數(shù)據(jù)所適用的法律法規(guī)的遵循。

3.2縮略語

下列縮略語適用于本標準：

ACL訪問控制列表（AccessControlList）

CMM能力成熟度模型（CapabilityMaturityModel）

DDOS分布式拒絕服務（DistributedDenialofService）

DLP數(shù)據(jù)防泄漏（DataLossPrevetion）

TLS傳輸層安全（TransportLayerSecurity）

SSL安全套接層（SecureSocketsLayer）

4數(shù)據(jù)安全能力成熟度模型架構

4.1模型架構

本標準借鑒能力成熟度模型（CMM）的思想，以CMM的通用實踐來衡量能力成熟度等級，以《信息安

全技術大數(shù)據(jù)服務安全能力要求》中的安全要求為基礎，指導組織機構如何持續(xù)達到所對應的安全要

求。數(shù)據(jù)安全能力成熟度模型的模型架構由以下三方面構成（如圖1所示）：

——數(shù)據(jù)生命周期安全：圍繞數(shù)據(jù)生命周期，提煉出大數(shù)據(jù)環(huán)境下，以數(shù)據(jù)為中心，針對數(shù)據(jù)生命

周期各階段建立的相關數(shù)據(jù)安全過程域體系。

2

GB/TXXXXX—XXXX

——安全能力維度：明確組織機構在各數(shù)據(jù)安全領域所需要具備的能力維度，明確為制度流程、人

員能力、組織建設和技術工具四個關鍵能力的維度。

——能力成熟度等級：基于統(tǒng)一的分級標準，細化組織機構在各數(shù)據(jù)安全過程域的5個級別的能力

成熟度分級要求。

圖1數(shù)據(jù)安全能力成熟度模型架構

對于圖1的模型架構的說明如下：

1）基于電子數(shù)據(jù)在組織機構內的數(shù)據(jù)生命周期，明確定義各階段特定的數(shù)據(jù)安全過程域和數(shù)據(jù)生

命周期通用的安全過程域。各階段特定的數(shù)據(jù)安全過程域，包括數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)

處理、數(shù)據(jù)交換和數(shù)據(jù)銷毀這六個階段中，各階段特定的數(shù)據(jù)安全過程域。數(shù)據(jù)生命周期通用的安全過

程域，是與各個生命周期都相關的，通用的數(shù)據(jù)安全過程域，比如策略與規(guī)程、合規(guī)性管理等方面。

2）本標準對組織機構的數(shù)據(jù)安全保障能力的成熟度的分級評估，是基于各成熟度等級下的數(shù)據(jù)安

全能力通用實踐所定義的分級評估方法，對各階段特定的數(shù)據(jù)安全基本實踐和數(shù)據(jù)生命周期通用的安全

基本實踐的實現(xiàn)的成熟度等級進行評估。

4.2數(shù)據(jù)生命周期安全

4.2.1數(shù)據(jù)生命周期

基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織機構業(yè)務中的流轉情況，定義了數(shù)據(jù)生命周期的6個階段，具體各階

段的定義如下：

——數(shù)據(jù)采集：指新的數(shù)據(jù)產(chǎn)生或現(xiàn)有數(shù)據(jù)內容發(fā)生顯著改變或更新的階段。對于組織機構而言，

數(shù)據(jù)的采集既包含在組織機構內部系統(tǒng)中生成的數(shù)據(jù)也包含組織機構從外部采集的數(shù)據(jù)。

——數(shù)據(jù)存儲：指非動態(tài)數(shù)據(jù)以任何數(shù)字格式進行物理存儲的階段。

——數(shù)據(jù)處理：指組織機構在內部針對動態(tài)數(shù)據(jù)進行的一系列活動的組合。

——數(shù)據(jù)傳輸：指數(shù)據(jù)在組織機構內部從一個實體通過網(wǎng)絡流動到另一個實體的過程。

3

GB/TXXXXX—XXXX

——數(shù)據(jù)交換：指數(shù)據(jù)經(jīng)由組織機構內部與外部組織機構及個人交互過程中提供數(shù)據(jù)的階段。

——數(shù)據(jù)銷毀：指通過對數(shù)據(jù)及數(shù)據(jù)的存儲介質通過相應的操作手段，使數(shù)據(jù)徹底丟失且無法通過

任何手段恢復的過程。

特定的數(shù)據(jù)所經(jīng)歷的生命周期由實際的業(yè)務場景所決定，并非所有的數(shù)據(jù)都會完整的經(jīng)歷六個階段。

4.2.2數(shù)據(jù)安全過程域體系

安全過程域體系覆蓋數(shù)據(jù)生命周期的六個階段，包含各生命周期階段通用的安全過程域和各生命周

期階段下的安全過程域，如圖2所示。

圖2數(shù)據(jù)安全過程域體系

4.3安全能力維度

4.3.1能力構成

通過對各項安全過程所需具備安全能力的量化，可供組織機構評估每項安全過程的實現(xiàn)能力。安全

能力從組織建設、制度流程、技術工具及人員能力四個維度展開。

——組織建設：數(shù)據(jù)安全組織機構的架構建立、職責分配和溝通協(xié)作。

——制度流程：組織機構關鍵數(shù)據(jù)安全領域的制度規(guī)范和流程落地建設。

——技術工具：通過技術手段和產(chǎn)品工具固化安全要求或自動化實現(xiàn)安全工作。

——人員能力：執(zhí)行數(shù)據(jù)安全工作的人員的意識及專業(yè)能力。

4.3.2組織建設

從承擔數(shù)據(jù)安全工作的組織機構建設應具備的能力出發(fā)，從以下方面進行能力的級別區(qū)分：

——數(shù)據(jù)安全組織架構對組織業(yè)務的適用性；

——數(shù)據(jù)安全組織機構承擔的工作職責的明確性；

——數(shù)據(jù)安全組織機構運作、溝通協(xié)調的有效性。

4.3.3制度流程

從組織機構在數(shù)據(jù)安全層面的制度流程建設，以及制度流程的執(zhí)行情況出發(fā)，從以下維度進行能力

的級別區(qū)分：

4

GB/TXXXXX—XXXX

——數(shù)據(jù)生命周期關鍵控制節(jié)點授權審批流程的明確性；

——相關流程制度的制定、發(fā)布、修訂的規(guī)范性；

——安全要求及流程落地執(zhí)行的一致性和有效性。

4.3.4技術工具

從組織機構用于開展數(shù)據(jù)安全工作的安全技術、應用系統(tǒng)和自動化工具出發(fā)，從以下維度進行能力

的級別區(qū)分：

——數(shù)據(jù)安全技術在數(shù)據(jù)全生命周期過程中的利用情況，針對數(shù)據(jù)全生命周期安全風險的檢測及響

應能力；

——利用技術工具對數(shù)據(jù)安全工作的自動化支持能力，對數(shù)據(jù)安全制度流程的固化執(zhí)行能力。

4.3.5人員能力

從組織機構內部承擔數(shù)據(jù)安全工作的人員應具備的能力出發(fā)，從以下維度進行能力的級別區(qū)分：

——數(shù)據(jù)安全人員所具備的數(shù)據(jù)安全能力是否能夠滿足復合型能力要求(對數(shù)據(jù)相關業(yè)務的理解力

以及專業(yè)安全能力)；

——數(shù)據(jù)安全人員的數(shù)據(jù)安全意識以及關鍵數(shù)據(jù)安全崗位員工的數(shù)據(jù)安全能力的培養(yǎng)。

4.4成熟度等級定義

組織機構的數(shù)據(jù)安全能力成熟度模型具有5個成熟度等級，成熟度等級的定義如下：

——等級1（非正式執(zhí)行），是指具備隨機、無序、被動的安全過程；

——等級2（計劃跟蹤），是指具備主動、非體系化的安全過程；

——等級3（充分定義），是指具備正式的規(guī)范的安全過程；

——等級4（量化控制），是指安全過程可量化；

——等級5（持續(xù)優(yōu)化），是指安全過程可持續(xù)優(yōu)化。

5數(shù)據(jù)安全能力通用實踐

5.1能力級別1—非正式執(zhí)行

5.1.1能力等級描述

在這一級別，數(shù)據(jù)安全過程域的基本實踐通常被執(zhí)行。但基本實踐的執(zhí)行可能未經(jīng)嚴格的計劃和跟

蹤，而是基于個人的知識和努力。組織機構內的個人可標識出一個數(shù)據(jù)安全過程應被執(zhí)行，并同意這個

數(shù)據(jù)安全過程會在需要時執(zhí)行。

該能力級別包含如下公共特征：

公共特征1.1—執(zhí)行基本實踐。

5.1.2公共特征1.1—執(zhí)行基本實踐

5.1.2.1公共特征描述

此公共特征的通用實踐只是保證過程域的基本實踐以某種方式執(zhí)行。但是，數(shù)據(jù)安全管理的一致性、

性能和質量會因缺乏適當控制而存在極大的差異。

5

GB/TXXXXX—XXXX

組織機構在數(shù)據(jù)安全過程域未有效的執(zhí)行相關工作，僅在部分業(yè)務場景中/項目執(zhí)行過程中根據(jù)臨

時的需求執(zhí)行了相關工作，卻未形成成熟的機制保證相關工作的持續(xù)有效進行，執(zhí)行相關工作的人員能

力也未得到有效的保障。所執(zhí)行的過程可稱為“非正式過程”。

5.1.2.2組織建設

未針對數(shù)據(jù)安全過程域的工作開展建立數(shù)據(jù)安全相關的團隊/崗位和職責。

5.1.2.3制度流程

未建立與數(shù)據(jù)安全過程域相關的數(shù)據(jù)安全工作相關的制度流程，數(shù)據(jù)安全工作的開展多為對特定業(yè)

務需求的響應而觸發(fā)。

5.1.2.4技術工具

未部署技術工具以固化數(shù)據(jù)安全制度流程和提升數(shù)據(jù)安全能力。

5.1.2.5人員能力

未安排具備數(shù)據(jù)安全過程域相關知識背景的人參與到數(shù)據(jù)安全保障工作中。

5.2能力級別2—計劃跟蹤

在這一級別上，過程域基本實踐的執(zhí)行是經(jīng)計劃并被跟蹤的，并對實踐情況進行驗證。數(shù)據(jù)安全管

理應符合指定的標準和需求。通過測量來跟蹤過程域的執(zhí)行情況，因此，使組織機構能夠基于實際實踐

活動進行管理。與非正式實踐級別間的主要區(qū)別是過程實踐被計劃和管理。

該能力級別包含如下公共特征：

公共特征2.1—規(guī)劃執(zhí)行；

公共特征2.2—規(guī)范化執(zhí)行；

公共特征2.3—驗證執(zhí)行；

公共特征2.4—跟蹤執(zhí)行。

5.2.1公共特征2.1—規(guī)劃執(zhí)行

5.2.1.1公共特征描述

該公共特征的基本實踐集中在過程域以及相關的基本實踐執(zhí)行的規(guī)劃方面，因而涉及到過程文檔的

編制，過程工具的提供，過程實踐的計劃，規(guī)劃執(zhí)行的培訓，過程資源的分配以及過程執(zhí)行的責任分配。

這些通用實踐為規(guī)范化的過程執(zhí)行提供了最根本的基礎。

5.2.1.2組織建設

基于數(shù)據(jù)安全過程域的內容，規(guī)劃關鍵數(shù)據(jù)安全管理的團隊/崗位所需要的任務和責任，該團隊/

崗位主要負責對數(shù)據(jù)安全過程域中的關鍵安全管理規(guī)則的制定。任務和責任應規(guī)定到，包括內部、外部

的和過程實踐相關的所有相關方。

5.2.1.3制度流程

以數(shù)據(jù)為中心建立數(shù)據(jù)安全制度流程，并將數(shù)據(jù)安全制度流程形成標準化文檔，并通過技術工具進

行固化，使制度流程按照設計的方式執(zhí)行。在此模型中，一個組織機構或一個項目中的過程無需與過程

域一一對應。因此，覆蓋一個過程域的過程可能可以以不止一種方式進行描述（例如以政策、標準等方

式），一個過程描述可能包含不止一個過程域。

6

GB/TXXXXX—XXXX

對數(shù)據(jù)安全制度流程的實踐進行規(guī)劃，和對數(shù)據(jù)安全工程和項目類的過程域規(guī)劃可以按照項目計劃

的形式存在，而組織類的計劃可以在組織機構層面上進行。

5.2.1.4技術工具

規(guī)劃為執(zhí)行數(shù)據(jù)安全過程域基本實踐所需要的技術工具，來確保數(shù)據(jù)安全過程的執(zhí)行。

為支持數(shù)據(jù)安全過程域的規(guī)劃執(zhí)行提供適當?shù)墓ぞ摺?/p>

5.2.1.5人員能力

為執(zhí)行數(shù)據(jù)安全過程域基本實踐規(guī)劃充分的人力資源，分配其所需要的任務和責任，規(guī)劃適當?shù)呐?/p>

訓，來確保過程的執(zhí)行。

5.2.2公共特征2.2—規(guī)范化執(zhí)行

5.2.2.1公共特征描述

該公共特征的通用實踐注重于對過程實踐的控制程度，需要使用過程執(zhí)行計劃、執(zhí)行基于標準和程

序的過程、對數(shù)據(jù)安全過程實施配置管理等。這些通用實踐構成了驗證數(shù)據(jù)安全過程執(zhí)行的重要基礎。

5.2.2.2組織建設

基于數(shù)據(jù)安全過程域的內容，分配在數(shù)據(jù)安全過程域中所涉及的承擔關鍵數(shù)據(jù)安全管理職責的團隊

/崗位，該團隊/崗位主要負責對數(shù)據(jù)安全過程域中的關鍵安全管理規(guī)則的落實。

5.2.2.3制度流程

針對該數(shù)據(jù)安全過程域中的關鍵的風險點提出了相應的安全要求，并將相應的要求以制度流程的形

式進行了文檔化。

對數(shù)據(jù)安全制度流程進行規(guī)范化執(zhí)行，在執(zhí)行過程域中，使用文檔化的計劃、標準指導實踐。基于

過程描述執(zhí)行的過程稱為“描述的過程”。

將數(shù)據(jù)安全制度流程實施配置管理，進行版本控制和/或變更控制。配置管理可視項目具體情況，

組織機構可采用工具和/或人工方式。配置管理應提前做好規(guī)劃。

5.2.2.4技術工具

根據(jù)行業(yè)內對相關數(shù)據(jù)安全過程域的技術產(chǎn)品的普及度，以及組織機構內實現(xiàn)自動化安全控制的可

行性，組織機構已經(jīng)優(yōu)先采用了普及度較高的技術工具或執(zhí)行了可行度較高的自動化安全控制。

5.2.2.5人員能力

從事數(shù)據(jù)安全過程域相關工作的人員具備對該數(shù)據(jù)安全過程域的關鍵風險的安全管理的背景知識

和規(guī)范化執(zhí)行數(shù)據(jù)安全過程的能力。

5.2.3公共特征2.3—驗證執(zhí)行

5.2.3.1公共特征描述

該公共特征的通用實踐注重于確認過程按預定的方式執(zhí)行。因此這個通用實踐涉及到驗證執(zhí)行過程

與可應用的計劃是一致的，以及對數(shù)據(jù)安全過程的審計。這些通用實踐構成了跟蹤過程實踐能力的重要

基礎。

7

GB/TXXXXX—XXXX

5.2.3.2組織建設

基于數(shù)據(jù)安全過程域的內容，分析在數(shù)據(jù)安全過程域中所涉及的承擔關鍵數(shù)據(jù)安全管理職責的團隊

/崗位，該團隊/崗位主要負責對數(shù)據(jù)安全過程域中的關鍵安全管理規(guī)則的制定。

驗證組織機構的團隊/崗位與可用標準、需求及測量目標的一致性。對于組織建設的驗證過程和審

計活動應在計劃中進行定義。

5.2.3.3制度流程

驗證制度流程與可用標準、需求及測量目標的一致性。對于制度流程的驗證過程和審計活動應在計

劃中進行定義。

5.2.3.4技術工具

驗證支撐數(shù)據(jù)安全過程的技術工具與可用標準、需求及測量目標的一致性。對于技術工具的驗證過

程和審計活動應在計劃中進行定義。

5.2.3.5人員能力

驗證人員能力與可用標準、需求及測量目標的一致性。對于人員能力的驗證過程和審計活動應在計

劃中進行定義。

5.2.4公共特征2.4—跟蹤執(zhí)行

5.2.4.1公共特征描述

該公共特征的通用實踐注重于控制數(shù)據(jù)安全項目進展的能力。因此，該過程通過可測量的計劃跟蹤

過程執(zhí)行，當過程實踐與計劃產(chǎn)生重大偏離時采取修正行動。這些通用實踐形成了達到充分定義過程能

力的根本基礎。

5.2.4.2組織建設

對數(shù)據(jù)安全工作相關的組織建設定期進行跟蹤，通過測量來檢查跟蹤數(shù)據(jù)安全組織建設工作執(zhí)行的

狀態(tài)，并建立對項目級別的組織建設測量的歷史記錄。

當數(shù)據(jù)安全組織機構與計劃的數(shù)據(jù)安全組織機構之間有重大差別時適當?shù)夭扇⌒拚胧?。進展可能

由于估算的不精確、實踐受外部因素的影響、作為計劃基礎的需求變動而與計劃發(fā)生偏離。修正措施可

能包括改變組織架構與職責，改變計劃，或二者兼有。

5.2.4.3制度流程

對數(shù)據(jù)安全工作相關的制度流程定期進行跟蹤，通過測量來檢查跟蹤數(shù)據(jù)安全制度流程工作執(zhí)行的

狀態(tài)，并建立對制度流程的測量歷史記錄。

當數(shù)據(jù)安全制度流程與計劃的數(shù)據(jù)安全制度流程間有重大差別時適當?shù)夭扇⌒拚胧＿M展可能由

于估算的不精確、實踐受外部因素的影響、作為計劃基礎的需求變動而與計劃發(fā)生偏離。修正措施可能

包括改變制度流程，改變計劃，或二者兼有。

5.2.4.4技術工具

對數(shù)據(jù)安全工作相關的技術工具定期進行跟蹤，通過測量來檢查跟蹤數(shù)據(jù)安全技術工具的狀態(tài)，并

建立對技術工具的測量歷史記錄。

8

GB/TXXXXX—XXXX

當技術工具與計劃執(zhí)行的效果有重大差別時適當?shù)夭扇⌒拚胧＿M展可能由于估算的不精確、實

踐受外部因素的影響、作為計劃基礎的需求變動而與計劃發(fā)生偏離。修正措施可能包括改變技術工具，

改變計劃，或二者兼有。

5.2.4.5人員能力

對數(shù)據(jù)安全工作相關的人員能力定期進行跟蹤，通過測量來檢查跟蹤數(shù)據(jù)安全人員能力的狀態(tài)，并

建立對人員能力的測量歷史記錄。

當數(shù)據(jù)安全人員能力與計劃的人員能力間有重大差別時適當?shù)夭扇⌒拚胧＿M展可能由于估算的

不精確、實踐受外部因素的影響、作為計劃基礎的需求變動而與計劃發(fā)生偏離。修正措施可能包括改變

人員能力，改變計劃，或二者兼有。

5.3能力級別3—充分定義

在這一級別，基本實踐按照充分定義的過程執(zhí)行。充分定義的過程是依據(jù)對文檔化的標準過程進行

裁剪并經(jīng)批準的過程版本。這一過程與計劃跟蹤級的主要區(qū)別在于利用組織機構范圍內的過程標準來管

理和規(guī)劃。

該能力級別包括以下公共特征：

公共特征3.1—定義標準過程；

公共特征3.2—執(zhí)行已定義的過程；

公共特征3.3—協(xié)調安全實踐。

5.3.1公共特征—定義標準過程

5.3.1.1公共特征

該公共特征的通用實踐注重于組織機構標準過程的制度化。過程制度化的起因和基礎可能是一個或

多個相似過程在特定項目中的成功應用。一個組織機構的標準過程可能需要適合特定環(huán)境的使用，所以

也應考慮到如何進行裁剪。因此，要為組織機構定義標準化的過程文檔，要為滿足特定用途對標準過程

進行裁剪。這些通用過程形成了執(zhí)行已定義過程必要的基礎。

5.3.1.2組織建設

組織機構設立了實體或虛擬的團隊，該團隊主要負責針對該數(shù)據(jù)安全域建立有效的安全保護機制，

包括但不限于建立組織機構統(tǒng)一的安全管理策略、制度和流程，并制定并面向組織機構范圍內提供整體

的技術標準解決方案。

該團隊與數(shù)據(jù)安全過程域相關的部門（如業(yè)務部門、法律部門等）共同合作，建立有效的溝通和推

進機制。

該團隊已明確了數(shù)據(jù)安全的組織機構和崗位，數(shù)據(jù)安全人員的角色及其職責分配，并建立有效的工

作考核機制。

5.3.1.3制度流程

對數(shù)據(jù)安全過程域進行數(shù)據(jù)安全風險評估，并參考相關的安全管理體系的方法論，建立了適應于組

織機構自身在數(shù)據(jù)安全過程域的標準制度流程。

建立數(shù)據(jù)安全域的標準制度流程，包括但不限于與組織機構結構和數(shù)據(jù)業(yè)務相一致的安全策略、具

有明確管控要求的制度規(guī)范、用于相關管控要求落地的流程、指導整體工作執(zhí)行的實施指南。

9

GB/TXXXXX—XXXX

組織機構針對該數(shù)據(jù)安全過程域的制度流程建立標準的培訓和宣傳方案，實現(xiàn)對與該數(shù)據(jù)安全過程

域相關的團隊和人員在對制度流程的理解上的一致性。

5.3.1.4技術工具

建立數(shù)據(jù)安全過程域相關的在線化平臺固化并記錄相關的流程，在組織機構內部建設、部署數(shù)據(jù)安

全技術產(chǎn)品,強化安全控制。

其中，與數(shù)據(jù)安全過程域強關聯(lián)的技術產(chǎn)品包含關鍵的產(chǎn)品功能，組織機構內基于具體的業(yè)務場景

實現(xiàn)了對數(shù)據(jù)安全技術產(chǎn)品的有效運營，以保證產(chǎn)品功能對組織機構的業(yè)務場景的適應性。

5.3.1.5人員能力

從事數(shù)據(jù)安全工作的人員具備數(shù)據(jù)安全標準資質，具備在數(shù)據(jù)安全領域的工作經(jīng)驗，能夠充分理解

組織機構在該數(shù)據(jù)安全過程域的安全風險并具備集合具體的業(yè)務場景制定風險改進方案的能力。

5.3.2公共特征3.2—執(zhí)行已定義過程

5.3.2.1公共特征描述

該公共特征注重于充分定義過程的可重復執(zhí)行。因此提出了已定義過程的使用，針對有缺陷的過程

結果和工作產(chǎn)品的核查，過程執(zhí)行及其結果數(shù)據(jù)的使用。該通用實踐構成了協(xié)調安全實踐的重要基礎。

5.3.2.2組織建設

組織機構設立了負責針對該數(shù)據(jù)安全域執(zhí)行進行有效安全保護的實體或虛擬的團隊。

該團隊與數(shù)據(jù)安全過程域相關的部門（如業(yè)務部門、法律部門等）共同合作，建立有效的溝通和推

進機制，實現(xiàn)數(shù)據(jù)安全要求和技術落地方案在數(shù)據(jù)安全過程域相關場景下的有效推行。

該團隊已明確了相關人員在該數(shù)據(jù)安全過程域下的專職職責，建立執(zhí)行缺陷復查的檢查工作的考核

機制。

5.3.2.3制度流程

組織機構針對該數(shù)據(jù)安全過程域的制度流程建立了有效的培訓和宣傳方案，實現(xiàn)對與該數(shù)據(jù)安全過

程域相關的團隊和人員在對制度流程的理解上的一致性。使用充分定義的過程，并建立專門的缺陷復查

過程域，針對過程域的適當工作產(chǎn)品進行缺陷復查。

5.3.2.4技術工具

針對該數(shù)據(jù)安全過程域中的安全管理要求，一方面建立相應的在線化平臺固化并記錄相關的流程，

另一方面結合行業(yè)內的優(yōu)秀產(chǎn)品方案在組織機構內部建設、部署相應的技術產(chǎn)品,強化相應的安全控制。

使用技術工具收集測量數(shù)據(jù)，得到更積極的應用并且為下一級的定量管理奠定了基礎。

5.3.2.5人員能力

從事數(shù)據(jù)安全工作的人員具備數(shù)據(jù)安全標準資質，具備在數(shù)據(jù)安全領域的工作經(jīng)驗，能夠有效執(zhí)行

已定義的數(shù)據(jù)安全過程。

從事數(shù)據(jù)安全工作的人員能夠充分理解組織機構在該數(shù)據(jù)安全過程域的安全風險，具備集合具體的

業(yè)務場景制定風險改進方案，并執(zhí)行已制定的風險改進方案的能力。

5.3.3公共特征3.3—協(xié)調實踐

5.3.3.1公共特征描述

10

GB/TXXXXX—XXXX

此公共特征側重于單個業(yè)務系統(tǒng)和組織活動的協(xié)調。許多重大活動都是由業(yè)務系統(tǒng)中的不同工作組

和代表業(yè)務系統(tǒng)的組織服務組共同完成的。缺乏協(xié)調將會導致數(shù)據(jù)安全風險和不可比的結果。因此應確

定業(yè)務系統(tǒng)內、各業(yè)務系統(tǒng)之間、組織機構外部活動的協(xié)調機制。這些通用實踐是獲得定量控制過程能

力的必要基礎。

5.3.3.2組織建設

數(shù)據(jù)安全的組織機構能夠協(xié)調業(yè)務系統(tǒng)內、組織機構的不同業(yè)務系統(tǒng)之間，以及與組織機構外部之

間的標準執(zhí)行實踐，保證數(shù)據(jù)安全組織建設相關標準的統(tǒng)一執(zhí)行。

5.3.3.3制度流程

數(shù)據(jù)安全的制度流程能夠協(xié)調業(yè)務系統(tǒng)內、組織機構的不同業(yè)務系統(tǒng)之間，以及與組織機構外部之

間的標準執(zhí)行實踐，保證數(shù)據(jù)安全制度流程相關標準的統(tǒng)一執(zhí)行。

5.3.3.4技術工具

數(shù)據(jù)安全的技術工具能夠協(xié)調業(yè)務系統(tǒng)內、組織機構的不同業(yè)務系統(tǒng)之間，以及與組織機構外部之

間的標準執(zhí)行實踐。保證數(shù)據(jù)安全過程域中技術工具的安全管理標準統(tǒng)一執(zhí)行。

5.3.3.5人員能力

數(shù)據(jù)安全人員能夠協(xié)調項目組內、組織機構的不同項目組之間，以及與組織機構外部之間的標準執(zhí)

行實踐。保證數(shù)據(jù)安全過程域中人員能力相關資質管理標準的統(tǒng)一執(zhí)行。

5.4能力級別4—量化控制

這個級別收集、分析執(zhí)行的詳細測量。這將獲得對過程能力和改進能力的量化理解以預測執(zhí)行情況。

這個級別執(zhí)行的管理是客觀的，數(shù)據(jù)安全管理的質量是量化的。這一級與充分定義級的主要區(qū)別在于定

義的過程是定量的理解和控制。

該能力級別包括如下公共特征：

公共特征4.1—建立可測的安全目標；

公共特征4.2—客觀地管理執(zhí)行。

5.4.1公共特征4.1—建立可測的安全目標

5.4.1.1公共特征描述

該公共特征的通用實踐側重于為組織機構的數(shù)據(jù)安全建立可測量目標。因此這個公共特征提出了安

全目標的建立。這些通用實踐為客觀地執(zhí)行管理提供了必要的基礎。

5.4.1.2組織建設

結合組織機構戰(zhàn)略安全目標、業(yè)務系統(tǒng)的特定要求和優(yōu)先級或業(yè)務策略，將安全目標分解落實到數(shù)

據(jù)安全數(shù)據(jù)安全相關的團隊/崗位的職責中，以利于安全目標的量化可測量、可執(zhí)行。

5.4.1.3制度流程

量化地確定已定義的過程，測量活動要被嵌入到過程定義中。建立與數(shù)據(jù)安全過程域相關的數(shù)據(jù)安

全工作相關的制度流程，數(shù)據(jù)安全工作的開展多為對特定業(yè)務需求的響應而觸發(fā)。

11

GB/TXXXXX—XXXX

5.4.1.4技術工具

根據(jù)定量的安全目標，對技術工具提出相應的功能和性能需求。在已有的技術工具的基礎上實現(xiàn)對

關鍵數(shù)據(jù)安全能力的量化培訓和提升。在已有的該數(shù)據(jù)安全過程域的安全技術產(chǎn)品的基礎上，進一步結

合組織機構具體的業(yè)務場景，對安全技術產(chǎn)品的功能和設置進行更為細致化的管理，從而實現(xiàn)產(chǎn)品能力

上的更加細化的量化安全控制。

5.4.1.5人員能力

關鍵崗位的數(shù)據(jù)安全人員具備較高的數(shù)據(jù)安全能力，能夠在理解組織機構整體數(shù)據(jù)安全目標的基礎

上考慮負責的數(shù)據(jù)安全過程領域的安全工作開展方式。

5.4.2公共特征4.2—客觀地管理執(zhí)行

5.4.2.1公共特征描述

該公共特征的通用實踐側重于確定過程能力的量化測量并使用量化測量來管理這一過程。這個公共

特征提出了量化地確定過程能力和以量化測量作為修正行動的基礎。這些通用實踐構成了獲得持續(xù)改進

能力的必要基礎。

5.4.2.2組織建設

組織機構應明確進行定量執(zhí)行的工作要求，在工作團隊中設置負責數(shù)據(jù)收集、存儲和分析的角色和

人員，提供相應的資源，從而在工作中能夠客觀地監(jiān)督過程的執(zhí)行。

5.4.2.3制度流程

在過程執(zhí)行中收集測量數(shù)據(jù)，對各項工作的執(zhí)行情況及其效果進行客觀的度量，為過程的持續(xù)改進

提供決策依據(jù)。

當過程未按定義過程能力執(zhí)行時，適當?shù)夭扇⌒拚袆??；趯^程能力的理解，識別出現(xiàn)偏差的

原因，并制定出適當?shù)募m正、預防措施，提出何時和采取何種修正行動。

針對組織機構在該數(shù)據(jù)安全過程域的制度流程進一步細化，針對所適應的關鍵業(yè)務場景基于組織機

構統(tǒng)一的制度流程細化成相應的管理細則，從而提升其可落地性。制度流程的細化主要由承擔數(shù)據(jù)安全

職責的具體業(yè)務團隊來負責并在該團隊范圍內進行發(fā)布和推廣，例如基于組織機構制定的數(shù)據(jù)對外交換

的原則，各業(yè)務團隊可基于其相關的數(shù)據(jù)交換的業(yè)務場景中所涉及的對外交換的數(shù)據(jù)，制定出詳細的適

用于該團隊業(yè)務場景的對外數(shù)據(jù)交換的安全細則。

組織機構進一步關注制度流程的執(zhí)行效果，從安全要求、流程執(zhí)行的有效性方面進行持續(xù)的跟蹤和

效果度量，從而反饋到相關制度流程的內容修訂上。

5.4.2.4技術工具

提供技術工具支持數(shù)據(jù)的采集、存儲、分析和管理等工作。

5.4.2.5人員能力

關鍵崗位的數(shù)據(jù)安全人員具備客觀地管理執(zhí)行的意識和能力，自覺地根據(jù)制度流程要求，采用技術

工具進行數(shù)據(jù)的采集和分析。

5.5能力級別5—持續(xù)優(yōu)化

12

GB/TXXXXX—XXXX

在這個級別上，基于組織機構的商務目標并針對過程的有效性和執(zhí)行效率建立量化執(zhí)行目標。通過

執(zhí)行已定義過程和有創(chuàng)建的新概念、新技術的量化反饋來保證對這些目標進行持續(xù)過程改進。這一級與

定量控制級的主要區(qū)別在于已定義的過程和標準過程基于對這些過程變化效果的量化理解，進行連續(xù)調

整和改進。

安全過程可持續(xù)優(yōu)化，實時跟蹤行業(yè)的最佳實踐和業(yè)務的最新動向，制度流程和技術工具持續(xù)調整

以更好適應業(yè)務發(fā)展，沉淀下來的數(shù)據(jù)安全最佳實踐能推廣至行業(yè)供其他組織機構借鑒。

該能力級別包括如下公共特征：

公共特征5.1—改進組織能力；

公共特征5.2—改進過程有效性。

5.5.1公共特征5.1—改進組織能力

該公共特征的通用實踐注重于在整個組織機構范圍內標準過程的使用進行比較和在這些不同使用

之間進行比較。當這些過程被使用時，尋找改進標準過程的機會，分析產(chǎn)生的缺陷以標識對標準過程的

其它可能改進。因此，這個公共特征對過程的有效性建立了目標、標識對標準過程的改進以及分析對標

準過程的可能變更。這些通用實踐構成了改進過程有效性的必要基礎。

5.5.1.1組織建設

組織架構的設置與國際上領先的數(shù)據(jù)安全管理理念符合，且能更好適應業(yè)務發(fā)展的戰(zhàn)略規(guī)劃，具備

及時調整的以促進業(yè)務發(fā)展的能力。

5.5.1.2制度流程

為改進過程有效性，根據(jù)組織機構的業(yè)務目標和當前過程能力建立量化目標。實時跟蹤數(shù)據(jù)安全管

理領域的最佳實踐和業(yè)務的最新動向，預先判斷業(yè)務在數(shù)據(jù)安全領域所面臨的風險，并在制度流程上進

行持續(xù)性的優(yōu)化。通過改變組織機構的標準過程族連續(xù)地改進過程，從而提高過程有效性。

5.5.1.3技術工具

基于數(shù)據(jù)安全技術的最新進展以及組織機構沉淀下來的數(shù)據(jù)安全技術能力，結合業(yè)務發(fā)展的實際情

況引入先進的技術工具提升數(shù)據(jù)安全控制的有效性。

5.5.1.4人員能力

密切關注國內外最新的數(shù)據(jù)安全標準及規(guī)范，加強行業(yè)領域內的專家交流，結合本組織機構的特點

合理優(yōu)化并組織機構內的數(shù)據(jù)安全解決方案。

5.5.2公共特征5.2—改進過程有效性

該公共特征的通用實踐注重于制定處于連續(xù)受控改進狀態(tài)下的標準過程。因此這個公共特征提出消

除標準過程產(chǎn)生缺陷的原因和持續(xù)改進的標準過程。

5.5.2.1組織建設

組織架構的設置與國際上領先的數(shù)據(jù)安全管理理念符合，且能更好適應業(yè)務發(fā)展的戰(zhàn)略規(guī)劃，具備

及時調整的以促進業(yè)務發(fā)展的能力。

5.5.2.2制度流程

13

GB/TXXXXX—XXXX

為改進過程有效性，根據(jù)組織機構的業(yè)務目標和當前過程能力建立量化目標。實時跟蹤數(shù)據(jù)安全管

理領域的最佳實踐和業(yè)務的最新動向，預先判斷業(yè)務在數(shù)據(jù)安全領域所面臨的風險，并在制度流程上進

行持續(xù)性的優(yōu)化。執(zhí)行缺陷的因果分析。有選擇的消除已定義過程中缺陷產(chǎn)生的原因。在這個公共實踐

中，意味著公共原因和特殊原因的變化，并且每一種缺陷都會導致采取不同的行動。

5.5.2.3技術工具

基于數(shù)據(jù)安全技術的最新進展以及組織機構沉淀下來的數(shù)據(jù)安全技術能力，結合業(yè)務發(fā)展的實際情

況引入先進的技術工具提升數(shù)據(jù)安全控制的有效性。

5.5.2.4人員能力

密切關注國內外最新的數(shù)據(jù)安全標準及規(guī)范，加強行業(yè)領域內的專家交流，結合本組織機構的特點

合理優(yōu)化并組織機構內的數(shù)據(jù)安全解決方案。

執(zhí)行該過程的人員一般為參與分析的人員。這是一種事前和反復的因果分析活動。以前具有相似屬

性的項目缺陷可作為目標改進區(qū)。

6數(shù)據(jù)生命周期通用的安全基本實踐

6.1策略與規(guī)程

6.1.1數(shù)據(jù)安全策略與規(guī)程

6.1.1.1數(shù)據(jù)安全過程域描述

通過建立組織機構整體的數(shù)據(jù)安全策略及規(guī)程，以實現(xiàn)對數(shù)據(jù)全生命周期的安全風險管控。

6.1.1.2數(shù)據(jù)安全能力基本實踐

a)組織建設：設立數(shù)據(jù)安全的團隊/崗位負責組織機構的數(shù)據(jù)安全策略與規(guī)程的制定、修訂和落

地。（《要求》5.1.1a）b)）

b)制度流程：

1)依據(jù)組織機構的業(yè)務戰(zhàn)略，建立數(shù)據(jù)安全方針和目標，并基于此建立以數(shù)據(jù)生命周期為

核心思想的數(shù)據(jù)安全制度體系，相關制度均從目的、范圍、崗位、責任、管理層承諾、

內外部協(xié)調及合規(guī)性方面提出明確的要求。（《要求》5.1.1a）b)）

2)建立了數(shù)據(jù)安全策略與規(guī)程的分發(fā)流程，策略和規(guī)程均能被組織機構各部門、崗位和人

員獲取。（《要求》5.1.1c））

3)制定并實施與安全策略和規(guī)程相適應的大數(shù)據(jù)平臺和大數(shù)據(jù)應用實施細則,包括外部數(shù)

據(jù)資源整合、數(shù)據(jù)共享、數(shù)據(jù)發(fā)布等數(shù)據(jù)供應鏈安全管理細則、合同要求及審核機制。

（《要求》5.1.1.d））

4)建立策略及規(guī)程的評審、發(fā)布流程，并確定適當?shù)念l率和時機對策略和規(guī)范進行更新，

以確保其持續(xù)的適宜性和有效性。（《要求》5.1.1e）f））

c)技術工具：建立了數(shù)據(jù)安全策略及規(guī)程管理的技術工具，通過該技術工具面向組織機構全體

員工發(fā)布對策略及規(guī)范的解讀材料，以便于策略規(guī)范的落地推進。（《要求》5.1.1c）d））

d)人員能力：

1)負責數(shù)據(jù)安全頂層方針、策略制定的人員了解組織機構的業(yè)務發(fā)展目標，能夠將數(shù)據(jù)安

全工作目標和業(yè)務發(fā)展目標進行有機的結合。（《要求》5.1.1a）、5.1.2a）b)）

2)負責數(shù)據(jù)安全策略與規(guī)程編寫的人員掌握信息安全管理體系建設的知識，并具有專業(yè)的

規(guī)范撰寫能力。（《要求》5.1.1a）、b)、c)、d)）

14

GB/TXXXXX—XXXX

3)負責數(shù)據(jù)安全策略及規(guī)范推廣的人員能夠對數(shù)據(jù)安全管理的方針、策略和制度規(guī)范進行

準確解讀，能夠以員工和相關方易理解的方式通過培訓等形式進行宣傳。（《要求》5.1.1

c））

6.2數(shù)據(jù)與系統(tǒng)資產(chǎn)

6.2.1數(shù)據(jù)資產(chǎn)

6.2.1.1數(shù)據(jù)安全過程域描述

通過建立針對組織機構數(shù)據(jù)資產(chǎn)的有效管理手段，從資產(chǎn)的類型、管理模式方面實現(xiàn)統(tǒng)一的管理標

準。

6.2.1.2數(shù)據(jù)安全能力基本實踐

a)組織建設：設置數(shù)據(jù)安全的團隊/崗位負責組織機構統(tǒng)一的數(shù)據(jù)資產(chǎn)管理工作，主要負責對數(shù)

據(jù)資產(chǎn)管理的規(guī)范制定和落地推動，并由各業(yè)務團隊的具體人員承擔各業(yè)務范圍內的數(shù)據(jù)資

產(chǎn)管理工作。（《要求》5.2.1.1a）b)c)d)e)）

b)制度流程：

1)制定數(shù)據(jù)資產(chǎn)的安全管理規(guī)范，明確數(shù)據(jù)資產(chǎn)的安全管理目標和安全原則，管理規(guī)范明

確了數(shù)據(jù)資產(chǎn)的登記制度，定義了數(shù)據(jù)資產(chǎn)的數(shù)據(jù)管理者和安全管理者在組織機構中的

角色定位和所應承擔的職責，并提出數(shù)據(jù)資產(chǎn)的分類管理要求。（《要求》5.2.1.1a）

c)）

2)建立數(shù)據(jù)資產(chǎn)分類分級方法和操作指南，以及數(shù)據(jù)資產(chǎn)分類分級的變更審批流程和機制。

（《要求》5.2.1.1b））

3)建立數(shù)據(jù)資產(chǎn)清單，明確數(shù)據(jù)資產(chǎn)管理范圍和屬性。（《要求》5.2.1.1d））

4)建立組織機構內部數(shù)據(jù)資產(chǎn)管理過程中需要數(shù)據(jù)管理者和安全管理者需要參與的審批流

程，并清晰定期其在各流程中所承擔的審批職責。（《要求》5.2.1.1b））

5)定期審核和更新數(shù)據(jù)資產(chǎn)安全管理相關的安全規(guī)范、操作細則。（《要求》5.2.1.1e））

6)依據(jù)數(shù)據(jù)資產(chǎn)和數(shù)據(jù)主體安全分級要求建立相應的標記策略、訪問控制、數(shù)據(jù)加解密、

數(shù)據(jù)脫敏等安全機制和管控措施。（《要求》5.2.1.2a））

7)建立組織機構業(yè)務所需的內外部數(shù)據(jù)資產(chǎn)的安全治理原則和數(shù)據(jù)資源整合規(guī)范。（《要

求》5.2.1.2b））

c)技術工具：

1)建立組織機構統(tǒng)一的數(shù)據(jù)資產(chǎn)管理平臺，通過技術工具整體量化組織機構內部的數(shù)據(jù)資

產(chǎn)情況，實現(xiàn)對數(shù)據(jù)資產(chǎn)的統(tǒng)一管理，包括但不限于標識數(shù)據(jù)的數(shù)據(jù)管理者和安全管理

者，數(shù)據(jù)資產(chǎn)等級，數(shù)據(jù)資產(chǎn)數(shù)據(jù)量，各等級的數(shù)據(jù)資產(chǎn)的分布情況等信息，從而便于

數(shù)據(jù)管理人員進行整體的數(shù)據(jù)資產(chǎn)現(xiàn)狀統(tǒng)計。（《要求》5.2.1.2c））

2)量化數(shù)據(jù)管理者和安全管理者在相關數(shù)據(jù)安全流程中的參與情況，調整數(shù)據(jù)管理者和安

全管理者的職責要求。（《要求》5.2.1.2a））

d)人員能力：具備對組織機構內部數(shù)據(jù)資產(chǎn)管理需求的理解，以及對數(shù)據(jù)資產(chǎn)所涉及業(yè)務范圍

的整體概念的理解，能夠建立適用于組織機構業(yè)務實際情況的可落地的管理制度。（《要求》

5.2.1.1a）b)c)d)e)、《要求》5.2.1.2a)b)c)）

6.2.2系統(tǒng)資產(chǎn)

6.2.2.1數(shù)據(jù)安全過程域描述

15

GB/TXXXXX—XXXX

通過建立針對組織機構內部信息系統(tǒng)資產(chǎn)的有效管理手段，從資產(chǎn)的類型、管理模式方面實現(xiàn)統(tǒng)一

的管理標準。

6.2.2.2數(shù)據(jù)安全能力基本實踐

a)組織建設：設置專門的團隊/崗位負責組織機構統(tǒng)一的信息系統(tǒng)資產(chǎn)管理工作，主要負責對信

息系統(tǒng)資產(chǎn)管理的規(guī)范制定和落地推動，并由各業(yè)務團隊的具體人員承擔各業(yè)務范圍內的信

息系統(tǒng)資產(chǎn)管理工作。（《要求》5.2.2.1a）、b)、c)、d)、e)）

b)制度流程：

1)制定信息系統(tǒng)資產(chǎn)的安全管理制度，明確信息系統(tǒng)資產(chǎn)安全管理目標和安全原則、信息

系統(tǒng)資產(chǎn)的全生命周期管理要求、資產(chǎn)登記要求和分類標記要求，并針對安全管理制度

執(zhí)行定期審核和更新。（《要求》5.2.2.1a）、e））

2)建立信息系統(tǒng)資產(chǎn)建設和運營管理制度和機制，明確規(guī)劃、設計、采購、開發(fā)、運行、

維護及報廢等資產(chǎn)管理過程的安全要求。（《要求》5.2.2.1b））

3)建立組織機構內的信息系統(tǒng)資產(chǎn)登記機制，形成整體的信息系統(tǒng)軟硬件資產(chǎn)清單，明確

系統(tǒng)資產(chǎn)安全責任主體及相關方，并及時更新系統(tǒng)資產(chǎn)相關信息。（《要求》5.2.2.1c））

4)建立和實施信息系統(tǒng)資產(chǎn)分類和標記規(guī)程，使資產(chǎn)標記易于填寫和依附在相應的系統(tǒng)資

產(chǎn)上。（《要求》5.2.2.1d））

5)建立信息系統(tǒng)資產(chǎn)更新、運營風險評估和供應鏈安全審查規(guī)程和制度。（《要求》5.2.2.2

b））

c)技術工具：

1)針對易通過技術工具執(zhí)行資產(chǎn)登記、分類標記的信息系統(tǒng)，實現(xiàn)自動化的屬性標識工作。

（《要求》5.2.2.1d））

2)組織機構建立信息系統(tǒng)資產(chǎn)管理平臺，能夠通過技術工具整體量化組織機構內部的信息

系統(tǒng)資產(chǎn)情況，包括但不限于整體的信息系統(tǒng)資產(chǎn)數(shù)量等信息，具備系統(tǒng)資產(chǎn)統(tǒng)一注冊、

管理和使用監(jiān)控等能力，從而便于信息系統(tǒng)管理人員進行整體的信息系統(tǒng)資產(chǎn)現(xiàn)狀統(tǒng)計。

（《要求》5.2.2.2a））

d)人員能力：負責組織機構統(tǒng)一的信息系統(tǒng)資產(chǎn)管理工作的人員具備對組織機構內部信息系統(tǒng)

資產(chǎn)管理需求的理解，以及對信息系統(tǒng)資產(chǎn)所涉及業(yè)務范圍的整體概念的理解，能夠建立適

用于組織機構業(yè)務實際情況的可落地的管理制度。（《要求》5.2.2.1a）、b）、c）、d）、

e））

6.3組織和人員管理

6.3.1組織管理

6.3.1.1數(shù)據(jù)安全過程域描述

通過建立組織機構內部負責數(shù)據(jù)安全工作的職能部門及崗位，并明確職能部門及崗位承擔的數(shù)據(jù)安

全責任，防范人員管理過程中存在的安全風險。

6.3.1.2數(shù)據(jù)安全能力基本實踐

a)組織建設：

1)基于組織機構的數(shù)據(jù)安全方針及策略，充分定義了組織機構內部正式的數(shù)據(jù)安全職能部

門/崗位，數(shù)據(jù)安全的職能框架包括但不限于：（《要求》5.3.1.1a）、c)）

數(shù)據(jù)安全規(guī)范及標準：負責組織機構內數(shù)據(jù)安全相關的規(guī)范制度和詳細標準的制定，

為組織機構數(shù)據(jù)安全相關工作的開展提供依據(jù)和要求。

數(shù)據(jù)安全技術及產(chǎn)品：負責組織機構內數(shù)據(jù)安全技術的應用、數(shù)據(jù)安全產(chǎn)品的開發(fā)

和部署，建立整體的技術防護及應急保障體系。

16

GB/TXXXXX—XXXX

數(shù)據(jù)安全監(jiān)控及審計：負責建立組織機構內的數(shù)據(jù)安全風險管理體系，對數(shù)據(jù)全生

命周期的安全風險進行審計，從風險的預防、發(fā)現(xiàn)、跟進等環(huán)節(jié)實現(xiàn)對風險的有效

管理。

數(shù)據(jù)安全宣傳與促進：負責面向組織機構內全體人員普及數(shù)據(jù)安全相關知識，通過

多種形式推廣數(shù)據(jù)安全的風險防范思路和方法，提高組織機構內全體人員的數(shù)據(jù)安

全意識，促進數(shù)據(jù)安全工作的具體落地。

數(shù)據(jù)安全合作與交流：負責與監(jiān)管機構進行持續(xù)的溝通，并在行業(yè)內交流數(shù)據(jù)安全

的實踐經(jīng)驗、開展相關合作以促進行業(yè)的整體發(fā)展。

信息系統(tǒng)安全管理：負責信息系統(tǒng)的安全規(guī)劃、安全建設、安全運營和系統(tǒng)維護工

作，實現(xiàn)基礎信息系統(tǒng)的安全管理。

2)組織機構層面建立數(shù)據(jù)安全領導小組，指定機構最高管理者或授權代表擔任小組組長，

并明確組長責任與權力。（《要求》5.3.1.1b））

3)職能崗位設計時考慮了職責分離的原則，并建立組織機構內部監(jiān)督管理職能部門，對組

織機構內部的數(shù)據(jù)安全管理的相關職能崗位的操作行為進行安全監(jiān)督管理。（《要求》

5.3.1.1d））

4)建立體系化的大數(shù)據(jù)安全管理機構，組織機構最高管理人員應作為大數(shù)據(jù)安全領導小組

組長，且配備必要的管理人員和技術人員。（《要求》5.3.1.2a））

5)設置專職的大數(shù)據(jù)服務安全崗位，建立規(guī)范化的大數(shù)據(jù)服務安全保護、評估及考核專職

隊伍。（《要求》5.3.1.2b））

b)制度流程：

1)制定數(shù)據(jù)安全職能的工作規(guī)范，以明確各職能崗位之間的協(xié)作關系，明確了各職能崗位

的運行配合機制。（《要求》5.3.1.1a））

2)制定大數(shù)據(jù)安全追責制度，定期對責任部門和安全崗位組織安全檢查，形成檢查報告。

（《要求》5.3.1.1e））

c)技術工具：在組織機構通過技術工具以公開信息且可查詢的形式面向全員公布數(shù)據(jù)安全職能

部門的組織架構。（《要求》5.3.1.1a，5.3.1.2a））

d)人員能力：

1)負責執(zhí)行數(shù)據(jù)安全職能設置的人員能夠明確組織機構的數(shù)據(jù)安全工作目標。（《要求》

5.3.1.1a））

2)能夠充分理解數(shù)據(jù)安全職能現(xiàn)狀，并具備基于職能運作的效果有效調整職能設置的能力。

（《要求》5.3.1.2a）、b））

6.3.2人員管理

6.3.2.1數(shù)據(jù)安全過程域描述

通過對人力資源管理過程中各環(huán)節(jié)的安全管理，有效降低對組織機構內部的員工和第三方員工的管

理過程中存在的安全風險。

6.3.2.2數(shù)據(jù)安全能力基本實踐

a)組織建設：明確在人力資源管理過程中承擔數(shù)據(jù)安全管理職責的崗位，該崗位負責對數(shù)據(jù)安

全需求的分析及落地方案的制訂和推進。（《要求》5.3.2.1a）、b）、c）、d）、e）、f）、

g））

b)制度流程：

1)制定人力資源安全策略，明確不同崗位人員在數(shù)據(jù)生命周期各階段數(shù)據(jù)服務和系統(tǒng)服務

相關的工作范疇和安全管控措施。（《要求》5.3.2.1a））

17

GB/TXXXXX—XXXX

2)制定大數(shù)據(jù)服務人員招聘、錄用、上崗、調崗、離崗、考核、選拔等人員安全管理制度，

將數(shù)據(jù)安全相關的環(huán)節(jié)固化到涉及的人力資源流程中。制度中明確要求在錄用重要崗位

人員前對其進行背景調查，確保符合相關的法律、法規(guī)、合同和道德要求，并與所有涉

及大數(shù)據(jù)服務崗位人員簽訂安全責任協(xié)議；明確大數(shù)據(jù)服務重要崗位的兼職和輪崗、權

限分離、多人共管等安全管理要求；建立在崗人員安全責任獎懲管理機制，將員工在職

期間在數(shù)據(jù)安全方面的義務和職責納入人力資源激勵和懲罰的范疇，并按照規(guī)定對造成

大數(shù)據(jù)安全損失的人員給予相應的處理，記錄并保存相關信息；在重要崗位人員調離或

終止勞動合同時，與其簽訂保密協(xié)議。（《要求》5.3.2.1b）、c）、d）、e）、g））

3)制定第三方人員安全管理制度，對接觸個人信息、重要數(shù)據(jù)等數(shù)據(jù)的人員進行審批和登

記，并要求簽署保密協(xié)議，定期對這些人員行為進行安全審查。（《要求》5.3.2.1f））

4)明確關鍵崗位人員背景調查范圍，定期對關鍵崗位人員進行背景審查；對員工候選者的

背景調查中也包含了對候選者的專業(yè)能力的調查。（《要求》5.3.2.2a））

c)技術工具：通過技術化手段將人力資源安全相關的流程通過系統(tǒng)平臺自動化實現(xiàn)。（《要求》

5.3.2.1a）、b）、c）、d）、e）、f)、g））

d)人員能力：

1)負責人力資源安全管理的人員應充分理解人力資源管理流程中可對安全風險進行把控

的環(huán)節(jié)。并通過培訓、考試等手段提升全體人員數(shù)據(jù)安全意識水平。（《要求》5.3.2.1

a）、b）、c）、d）、e）、f)、g））

2)明確關鍵崗位人員安全能力要求，并確定他們培訓技能考核內容與考核指標，定期對關

鍵崗位人員進行審查和能力考核。（《要求》5.3.2.2b））

6.3.3角色管理

6.3.3.1數(shù)據(jù)安全過程域描述

通過對大數(shù)據(jù)安全管理過程中各角色的安全管理，有效降低對組織機構內部的員工和第三方員工的

管理過程中存在的安全風險。

6.3.3.2數(shù)據(jù)安全能力基本實踐

a)組織建設：明確在人力資源管理過程中承擔數(shù)據(jù)安全管理職責的崗位，該崗位負責對數(shù)據(jù)安

全需求的分析及落地方案的制訂和推進。（《要求》5.3.3.1a）、b)、c)）

b)制度流程：

1)建立大數(shù)據(jù)相關的安全角色，明確安全角色的分配策略和授權范圍。（《要求》5.3.3.1

a））

2)建立用戶角色及角色權限沖突的定期審查機制，及時更新用戶角色及角色權限授權信息。

（《要求》5.3.3.1b））

3)明確大數(shù)據(jù)安全相關重要崗位及其角色安全要求，建立重要崗位角色清單和授權機制。

（《要求》5.3.1.1c））

4)依照大數(shù)據(jù)業(yè)務需求和大數(shù)據(jù)系統(tǒng)架構建立分層的角色體系、職責分離等大數(shù)據(jù)業(yè)務安

全角色管理機制。（《要求》5.3.3.2a））

5)建立用戶應用上下文感知的角色啟動、停用與禁用的動態(tài)管理策略、規(guī)程和機制。（《要

求》5.3.3.2b））

c)技術工具：通過技術化手段將角色管理相關的規(guī)則與組織機構的身份認證管理平臺進行聯(lián)動，

自動化實現(xiàn)相關安全控制。（《要求》5.3.3.1a）、b)、c)）

d)人員能力：負責角色管理的人員應充分理解角色管理流程中可對安全風險進行把控的環(huán)節(jié),通

過培訓、考試等手段提升各角色人員數(shù)據(jù)安全意識水平。（《要求》5.3.3.1a）、b)、c)）

18

GB/TXXXXX—XXXX

6.3.4人員培訓

6.3.4.1數(shù)據(jù)安全過程域描述

通過對人力培訓管理過程中各環(huán)節(jié)的管理，有效提升組織機構內部的員工和第三方員工的數(shù)據(jù)安全

意識和數(shù)據(jù)安全能力水平。

6.3.4.2數(shù)據(jù)安全能力基本實踐

a)組織建設：明確組織機構內部承擔人員數(shù)據(jù)安全培訓管理職責的崗位，該崗位負責對數(shù)據(jù)安

全培訓需求的分析及落地方案的制訂和推進。（《要求》5.3.4.1a）、b）、c））

b)制度流程：

1)制定大數(shù)據(jù)安全崗位人員的安全培訓計劃，并對培訓計劃定期審核和更新。（《要求》

5.3.4.1a））?

2)制定大數(shù)據(jù)安全關鍵崗位轉崗、崗位升級等相應的人員安全培訓計劃，并對培訓計劃定

期審核和更新。?（《要求》5.3.4.1b））

3)按計劃對相關人員開展數(shù)據(jù)安全培訓，包括政策、法律、法規(guī)、標準等合規(guī)性培訓，并

對培訓結果進行評價、記錄和歸檔。（《要求》5.3.4.1c））

4)根據(jù)不同的業(yè)數(shù)據(jù)各類業(yè)務場景下的數(shù)據(jù)安全培訓計劃和培訓材料。（《要求》5.3.4.2

a））

c)技術工具：

1)通過技術化手段將數(shù)據(jù)安全人員培訓相關的流程通過系統(tǒng)平臺自動化實現(xiàn)。（《要求》

5.3.4.1a）、b）、c））

2)通過在線的人員培訓管理平臺，量化管理人員培訓的效果。（《要求》5.3.4.1a）、b）、

c）、5.3.4.2a））

d)人員能力：固化了針對員工、第三方人員進行數(shù)據(jù)安全能力培訓的環(huán)節(jié)，通過培訓、考試等

手段提升全體人員數(shù)據(jù)安全能力水平。（《要求》5.3.4.1a）、b）、c）、5.3.4.2a））

6.4業(yè)務規(guī)劃與管理

6.4.1戰(zhàn)略規(guī)劃

6.4.1.1數(shù)據(jù)安全過程域描述

通過建立組織層面大數(shù)據(jù)安全戰(zhàn)略規(guī)劃體系，保證大數(shù)據(jù)戰(zhàn)略規(guī)劃與組織機構的大數(shù)據(jù)業(yè)務規(guī)劃相

適應。

6.4.1.2數(shù)據(jù)安全能力基本實踐

a)組織建設：設立專門的大數(shù)據(jù)戰(zhàn)略規(guī)劃崗位，負責對制定組織機構整體的戰(zhàn)略規(guī)劃并推進階

段性的規(guī)劃執(zhí)行；同時，設立大數(shù)據(jù)安全戰(zhàn)略規(guī)劃評估小組，負責機構安全規(guī)劃評估，確保

大數(shù)據(jù)安全策略、安全目標和戰(zhàn)略規(guī)劃內容的合規(guī)性。（《要求》5.4.1.1c））

b)制度流程：

1)依據(jù)機構大數(shù)據(jù)安全戰(zhàn)略規(guī)劃目標，制定大數(shù)據(jù)安全規(guī)劃各階段目標、任務和工作重點，

并對戰(zhàn)略規(guī)劃目標和安全規(guī)劃實施過程進行監(jiān)督與控制。（《要求》5.4.1.1b））

2)建立大數(shù)據(jù)安全管理綱領性文件，包括但不限于：數(shù)據(jù)治理、數(shù)據(jù)質量、元數(shù)據(jù)，以及

平臺與應用安全相關的數(shù)據(jù)所有權、數(shù)據(jù)開放與共享等安全策略。（《要求》5.4.1.2b））

3)建立大數(shù)據(jù)安全規(guī)劃動態(tài)調整制度，并通過信息化平臺進行管理。（《要求》5.4.1.2a））

c)技術工具：

1)建立組織機構統(tǒng)一的信息化平臺對大數(shù)據(jù)安全戰(zhàn)略規(guī)劃面向組織機構內部全員進行發(fā)布，

以該信息可被全員所知悉。（《要求》5.4.1.1a）、b)、c)）

19

GB/TXXXXX—XXXX

2)通過組織機構的信息化平臺執(zhí)行對大數(shù)據(jù)安全規(guī)劃的動態(tài)管理。（《要求》5.4.1.2a））

d)人員能力：負責該項工作的人員均具有戰(zhàn)略規(guī)劃能力，并對組織機構的數(shù)據(jù)安全管理的業(yè)務

需求有充分的理解，通過培訓和宣傳等手段實現(xiàn)各業(yè)務的數(shù)據(jù)管理人員對戰(zhàn)略規(guī)劃的一致性

理解。（《要求》5.4.1.1a）、b)、c））

6.4.2需求分析

6.4.2.1數(shù)據(jù)安全過程域描述

通過建立針對組織機構業(yè)務的大數(shù)據(jù)安全需求分析體系，分析組織機構內大數(shù)據(jù)業(yè)務的安全需求。

6.4.2.2數(shù)據(jù)安全能力基本實踐

a)組織建設：針對開展大數(shù)據(jù)業(yè)務的團隊均設立了對應的安全需求分析的崗位，負責在大數(shù)據(jù)

業(yè)務規(guī)劃階段開展安全需求分析工作，確保安全需求的有效制定和規(guī)范化表達。（《要求》

5.4.2.1a）、b）、c）、d）、e））

b)制度流程：

1)建立大數(shù)據(jù)業(yè)務的安全需求分析的指南，明確安全需求分析工作需要依據(jù)國家法律、法

規(guī)、標準與主管機構的政策規(guī)范要求，分析大數(shù)據(jù)業(yè)務所面臨的安全合規(guī)性需求；依據(jù)

組織機構的業(yè)務戰(zhàn)略規(guī)劃目標、大數(shù)據(jù)業(yè)務的目標和特定，分析大數(shù)據(jù)業(yè)務的安全需求；

識別大數(shù)據(jù)業(yè)務面臨的威脅和自身脆弱性，分析大數(shù)據(jù)業(yè)務的安全風險和應對措施需求；

依據(jù)組織機構的業(yè)務戰(zhàn)略規(guī)劃，明確大數(shù)據(jù)業(yè)務安全需求和安全規(guī)劃實施的優(yōu)先級。（《要

求》5.4.2.1b）、c）、d）、e））

2)使用數(shù)據(jù)驅動分析方法或安全需求工程思想進行大數(shù)據(jù)安全需求分析，確保大數(shù)據(jù)安全

需求的有效制定和規(guī)范化表達。（《要求》5.4.2.2a））

c)技術工具：建立承載大數(shù)據(jù)業(yè)務的安全需求分析的平臺，該平臺記錄所有的大數(shù)據(jù)業(yè)務的需

求分析的申請、需求分析以及相關安全方案，以保證對所有的大數(shù)據(jù)業(yè)務的安全需求分析過

程的有效追溯。（《要求》5.4.2.1a）、b）、c）、d）、e））

d)人員能力：負責該項工作的人員均具有需求分析挖掘能力，對組織機構的數(shù)據(jù)安全管理的業(yè)

務場景有充分的理解，并通過培訓實現(xiàn)各業(yè)務的需求分析人員對大數(shù)據(jù)安全需求分析標準的

一致性理解。（《要求》5.4.2.1a）、b）、c）、d）、e））

6.4.3元數(shù)據(jù)安全

6.4.3.1數(shù)據(jù)安全過程域描述

通過建立組織機構的元數(shù)據(jù)管理體系，實現(xiàn)對組織機構內元數(shù)據(jù)的有效管理。

6.4.3.2數(shù)據(jù)安全能力基本實踐

a)組織建設：

1)設立了固定的團隊/崗位負責組織機構的統(tǒng)一元數(shù)據(jù)管理工作建立相應的原則并提供統(tǒng)

一的技術工具，并由各業(yè)務的數(shù)據(jù)管理團隊/崗位負責具體的元數(shù)據(jù)管理執(zhí)行工作。（《要

求》5.4.3