数据安全能力成熟度模型DSMM----八、通用安全

文章目录

  • 一、PA20 数据安全策略规划
    • 1、PA描述
    • 2、等级描述
  • 二、PA21 组织和人员管理
    • 1、PA描述
    • 2、等级描述
  • 三、PA22 合规管理
    • 1、PA描述
    • 2、等级描述
  • 四、PA23 数据资产管理
    • 1、PA描述
    • 2、等级描述
  • 五、PA24 数据供应链安全
    • 1、PA描述
    • 2、等级描述
  • 六、PA25 元数据管理
    • 1、PA描述
    • 2、等级描述
  • 七、PA26 终端数据安全
    • 1、PA描述
    • 2、等级描述
  • 八、PA27 监控与审计
    • 1、PA描述
    • 2、等级描述
  • 九、PA28 鉴别与访问控制
    • 1、PA描述
    • 2、等级描述
  • 十、PA29 需求分析
    • 1、PA描述
    • 2、等级描述
  • 十一、PA30 安全事件应急
    • 1、PA描述
    • 2、等级描述


一、PA20 数据安全策略规划

1、PA描述

建立适用于组织数据安全风险状况的组织整体的数据安全策略规划,数据安全策略规划的内容应覆盖数据全生命周期的安全风险。

2、等级描述

2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务中建立成熟稳定的数据安全制度规程,仅根据临时需求或基于个人经验,考虑了数据安全策略和规划。

2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设:应由业务团队相关人员负责数据安全策略。
②制度流程:核心业务应基于主要的数据安全风,建立以数据安全生命周期为核心思想的数据安全制度体系。
③人员能力:核心业务应负责该工作的人员具备对组织执行数据安全风险评估,以及将数据安全要求提炼形成制度的能力。

2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:组织应设立专职的岗位和人员,负责组织数据安全制度流程和战略规划的建设。
②制度流程:
  a)应明确符合组织数据战略规划的数据安全总体策略,明确安全方针、安全目标和安全原则;
  b)应基于组织的数据安全总体策略,在组织层面明确以数据为核心的数据安全制度和规程,覆盖数据生存周期相关的业务、系统和应用,内容包含目的、范围、岗位、责任、管理层承诺、内外部协调机制及合规目标等;
  c)应明确并实施大数据系统和数据应用安全实施细则。
  d)应明确数据安全规程制度分发机制,将数据安全策略、制度、规程分发至组织相关部门、岗位和人员。
  e)应明确数据安全制度及规程的评审、发布流程、并确定适当的频率和时机对制度和规程进行审核和更新;
  f)应明确组织层面的数据安全战略规划,包括各阶段目标、任务、工作重点,并保障其与业务规划相适应。
③技术工具:应建立数据安全策略规划的系统,通过该系统向组织全体员工发布策略规划的解读材料,以便于策略规划的落地推进。
④人员能力:
  a)负责制定数据安全总体策略和战略规划的人员应了解组织的业务发展目标,能够将数据安全工作的目标和业务发展的目标进行有机的结合;
  b)负责制定数据安全制度和规程的人员应具备信息安全管理体系建设的知识,并具备良好的规范撰写能力;
  c)负责推广数据安全策略规划的人员应能够以员工和相关方易理解的方式,通过培训等宣导形式对数据安全管理的仿真、策略和制度进行有效传达。
  
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①制度流程:
a)在组织架构发生重大调整或数据服务业务发生重大变化时,应及时评估数据安全制度与规程的实施效果,并将效果反映到安全制度和规程文件的修订过程中;
b)应对数据安全制度和规程进行体系化的评估,制定数据安全能力提升计划;
c)应对数据安全战略规划进行评估,确保数据安全总体策略、安全目标和战略规划内容的合规性。
②人员能力:负责该工作的人员能够及时评估策略规划的实施效果,并根据实施效果修订数据安全策略规划文件。
  
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①制度流程:应持续跟进国内外的数据安全领域的管理标准和技术发展,并关注组织所在行业的发展动态及组织自身的业务发展方向,及时对数据安全策略规划进行调整和改进。
②技术工具:
  a)应建立数据安全规划动态调整机制,通过信息化系统执行对数据安全规划的动态管理;
  b)应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。
③人员能力:负责该工作的人员应能够持续跟踪国内外数据安全政策、标准、产业趋势、新技术,并能够对组织的数据安全策略规划实现持续优化。


二、PA21 组织和人员管理

1、PA描述

通过建立组织内部负责数据安全工作的职能部门及岗位,以及对人力资源管理过程中各环节进行安全管理,防范组织和人员管理过程中存在的数据安全风险。

2、等级描述

2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:
  a)未在任何业务中设立固定的数据安全管理人员,仅根据临时需求或基于个人经验,由个别人员临时承担了业务的数据安全工作。
  b)未在任何业务建立成熟稳定的人力资源安全管理,仅根据临时需求或基于个人经验考虑过内部人员或第三方人员的数据安全管理。

2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设:
  a)应有业务团队相关人员负责人力资源管理之心安全要求;
  b)核心业务应具有数据安全职能部门或岗位,以实现对关键业务环节数据安全风险的有效管理。
②制度流程:
  a)核心业务应明确震度i数据安全违规的纪律处理制度;
  b)核心业务应对重要岗位候选人从法律法规、行业道德准则等层面执行背景调查;
  c)核心业务应明确数据安全职能部门或岗位的制度,明确数据安全相关岗位和职责;
  d)核心业务应明确数据安全培训计划,并按计划对相关人员开展数据安全培训;
  f)应与所有涉及数据服务的人员签订安全责任协议和保密协议。
③人员能力:负责核心业务数据安全职能架构设置的人员,应能充分了解目前数据安全在组织整体业务目标中的定位。

2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:
  a)人力资源部门与数据安全部门的人员应能够进行有效配合;
  b)组织应建立组织层面专职的数据安全职能部门和岗位并在职能岗位涉及时考虑了职责分离的原则;
  c)应建立组织层面的数据安全领导小组﹐指定机构最高管理者或授权代表担任小组组长,并明确了组长的责任与权力;
  d)应建立组织内部的监督管理职能部门,负责对组织内部的数据操作行为进行安全监督;
  e)应指定大数据系统的安全规划、安全建设、安全运营和系统维护工作的责任部门;
  f)组织应明确在组织层面人力资源管理中承担数据安全要求制定和执行的人员或岗位,并与数据安全人员进行有效配合;
  g)应明确组织层面承担人员数据安全培训管理职责的岗位和人员,负责对数据安全培训需求的分析及落地方案的制定和推进。
②制度流程:
  a)应明确数据安全部门或岗位的要求,明确其工作职责,以及职能部门之间的协作关系和配合机制;
  b)应明确数据安全追责机制,定期对责任部门和安全岗位组织安全检查,形成检查报;
  c)应明确数据服务人力资源安全策略,明确不同岗位人员在数据生存周期各阶段相关的工作范畴和安全管控措施。
  d)应明确组织层面的数据服务人员招聘,录用、上岗、调岗、离岗、考核、选拔等人员安全管理制度,将数据安全相关的要求固化到人力资源管理流程中;
  e)在录用重要岗位人员前应对其进行背景调查,符合相关的法律、法规、合同要求,对数据安全员工候选者的背景调查中也包含了对候选者的安全专业能力的调查;
  f)应明确数据服务重要岗位的兼职和轮岗,权限分离、多人共管等安全管理要求;
  g)应明确针对合作方的安全管理制度﹐对接触个人信息﹑重要数据等数据的人员进行审批和登记,并要求签署保密协议,定期对这些人员行为进行安全审查。
  h)在重要岗位人员调离或终止劳动合同前,应与其签订保密协议或竞业协议;
  i)应明确组织内部员工的数据安全培训计划,按计划定期对员工开展数据安全培训。
  j)应明确重要岗位人员的数据安全培训计划,并在重要岗位转岗,岗位升级等环节对相关人员开展培训。
③技术工具:
  a)应通过技术工具自动化实现了数据安全相关的人力资源管理流程;
  b)应及时终止或变更离岗和转岗员工的数据操作权限,并及时将人员的变更通知到相关方;
  c)员工入职时应按最少够用原则分配初始权限;
  d)应以公开信息且可查询的形式,面向组织全员公布数据安全职能部门的组织架构。
④人员能力:
  a)负责组织和人员管理的人员应充分理解人力资源管理流程中可对安全风险进行把控的环节;
  b)应开展针对员工入职过程中的数据安全教育,通过培训、考试等手段提升其整体的数据安全意识水平;
  c)负责设置数据安全职能的人员应能够明确组织的数据安全工作目标。
  
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①制度流程:
a)组织应建立数据安全领导小组,指定机构最高管理者或授权代表担任小组组长,并明确组长责任和权力;
b)应建立覆盖各业务部门的体系化的数据安全管理部门,且配备必要的管理人员和技术人员;
c)应对数据安全职能的运行效果以量化指标的形式进行定期衡量,并根据量化结果优化调整数据职能岗位的设置;
d)应定期评估在当前组织职能架构下,数据安全职能岗位与业务职能岗位之间的关系是否平衡,是否能够保证安全需求在业务中的推广。
②制度流程:
  a)应明确重要岗位人员安全能力要求,并确定其培训技能考核内容和考核指标,定义对重要岗位人员进行审查和能力考核;
  b)应定期对数据安全培训计划审核更新。
③技术工具:应建立人员数据安全意识或能力的客观评价机制,通过在线的人力资源管理系统,量化管理人力资源安全中存在的风险点和改进点。
  
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①组织建设:应能够持续优化组织的数据安全职能设置,以实现整体业务目标的优化。
②制度流程:应能够持续优化组织和人员管理的相关流程,以保证符合业务i发展的实际情况。
③技术工具:应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。


三、PA22 合规管理

1、PA描述

跟进组织需符合的法律法规要求,以保证组织业务的发展不会面临个人信息保护,重要数据保护、跨境数据传输等方面的合规风险。

2、等级描述

2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务建立成熟稳定的个人信息保护、重要数据保护,跨境数据传输等方面的安全合规工作,仅根据临时需求或基于个人经验在个别业务中考虑了个人信息保护、重要数据保护、跨境数据传输的合规要求。

2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设:应由业务团队相关人员负责个人信息保护、重要数据保护、跨境数据传输等方面的安全合规管理。
②制度流程:核心业务应通过识别在个人信息保护、重要数据保护、跨境数据传输等方面的合规要求,将合规要求更新至核心业务相关的制度流程中,并在重要环节中设置了相应的管控措施。
③人员能力:负责该项工作的人员应基本理解个人信息保护、重要数据保护、跨境数据传输等方面的安全合规要求,并可基于业务实际情况制定和推进数据安全合规方案。

2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:应在组织层面设立了专职负责个人信息保护、重要数据保护、跨境数据传输等方面的安全合规的岗位和人员,负责明确组织在个人信息保护、重要数据保护、跨境数据传输等方面的安全合规需求,制定数据安全合规的规范要求和解决方案,推进其在组织整体范围内的执行。
②制度流程:
  a)应明确组织所有的外部合规要求并形成清单,能够定期通过跟进监管机构合规要求的动态对该清单进行更新,同时将其拆分发送给相关方以进行宣贯;
  b)应依据个人信息保护相关法律法规和标准等的要求,制定组织统一的个人信息保护制度,建立符合国家法律法规和相关标准的个人信息保护能力;
  c)应依据相关法律法规及相关标准中对重要数据的保护要求,建立组织统一的重要数据全生存周期保护的制度和管控措施;
  d)应依据相关法律法规和相关标准中对数据跨境传输的安全要求,明确组织统一的数据跨境安全制度和管控措施;
  e)应针对组织内部因业务架构,组织职能变更而引发的重要数据流向变化建立了有效的变更管控机制,以控制重要数据流向变化时可能引发的合规风险;
  f)应定期对重要数据安全策略,规范、制度和管控措施进行风险评估,并及时响应。
③技术工具:
  a)应建立数据安全合规资料库,相关人员可以通过该资料库查询合规要求。
  b)应采取必要的技术手段和控制措施实现个人信息安全保护,例如在个人信息处理过程中进行匿名化,去标识化;
  c)应建立重要数据监控机制,防范重要数据安全事件。
④人员能力:负责该项过程的人员应具备对个人信息保护、重要数据保护、跨境数据传输等方面的安全合规要求的解读和分析能力。
  
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①制度流程:
a)应基于组织内部各类业务所涉及的在个人信息保护,重要数据保护、跨境数据传输等方面的合规风险,在组织整体的数据安全制度中明确了针对个人信息保护、重要数据保护、跨境数据传输等方面的指导细则;
b)应定期或在发生重大信息安全事件后,能够对个人信息保护、重要数据保护,数据跨境传输方面的制度流程进行审核和检验,并将所记录的审核检验结果提交组织最高的数据安全管理组织进行审批;
c)在数据应用及关联业务组件下线以及设备退网时,应妥善转存、销毁保存的个人信息,避免因人员岗位调整或机构业务重组与兼并等原因而规避个人信息保护要求;
②技术工具:
  a)应量化组织整体的合规情况,并将合规结果通过图形化方式上报给管理层,以保证管理层对组织整休的合规情况得到有效了解;
  b)应基于针对个人信息保护、重要数据保护、数据跨境传输的风险进行监控的技术工具,定期审核相关操作记录。
  
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①组织建设:应设置专门的合规岗位,该岗位负责与监管机构对接,跟进监管机构的合规要求动态,并参与合规制度流程的前期制定。
②制度流程:组织的合规制度流程应能够及时根据监管机构的合规要求进行更新。
③技术工具:
  a)应关注行业内个人信息保护、重要数据保护、数据跨境传输等方面的技术动态,能够根据合规要求以及组织业务战略的变化,及时更新个人信息保护、重要数据保护、数据跨境传输的整体解决方案;
  b)应参与国际,国家或行业相关标准制定,在业界分享最佳实践,成为行业标杆。


四、PA23 数据资产管理

1、PA描述

通过建立针对组织数据资产的有效管理手段,从资产的类型,管理模式方面实现统一的管理要求。

2、等级描述

2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务实现成熟稳定的数据资产管理,仅根据临时需求或基于个人经验,摸排了个别业务的数据资产情况。

2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设:应由收集数据的业务团队负责对数据资产进行管理。
②制度流程:
  a)核心业务应制定数据资产登记制度,建立数据资产清单,明确数据资产管理的相关方;
  b)对于密钥类数据资产,应明确密钥管理安全要求,至少应涵盖密钥生成、备份、存储、使用、分发、更新、销毁等相关的流程和要求。
③人员能力:相关人员应充分了解所管理数据资产的相关信息。

2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:组织应设置数据资产管理岗位和人员,对组织的数据资产进行统一管理,负责数据资产管理规范的制定和落地推动。
②制度流程:
  a)应在组织层面建立数据资产安全管理制度,定义数据资产的相关角色定位和职责;
  b)应明确数据资产登记机制,明确数据资产管理范围和属性,确保组织内部重要的数据资产已有明确的管理者或责任部门。
  c)应明确数据资产变更管理要求和变更审批机制,例如数据资产内容、分类、分级、标识、管理者等变更。
③技术工具:
  a)应通过技术工具执行数据资产的登记,实现对数据资产的自动属性标识;
  b)应建立便于索引和查询的数据资产清单,并能够及时更新数据资产相关信息;
  c)应具有密钥管理系统,实现对密钥的全生存周期(生成、存储、使用、分发,更新、销毁等)的安全管理。
④人员能力:负责统一管理组织数据资产的人员应了解组织内部数据资产的管理需求,以及数据资产所涉及的业务范围,能够建立适用于组织业务实际情况的管理制度。
  
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①制度流程:应明确数据资产更新、运营风险评估和供应链安全审查的规程和制度。
②技术工具:
  a)应建立组织统一的数据资产管理系统,通过技术工具实现对数据资产的统一管理,明确数据资产标识和数据资产相关管理方的属性标识;
  b)应通过数据资产管理系统量化组织内部数据资产的整体情况,包括但不限于数据资产的数据量、各等级数据资产的分布情况等,从而便于数据资产管理人员进行组织整体数据资产现状的统计;
  c)应能够量化评估组织内部数据资产相关管理者在相关数据安全流程中的参与情况,并能够根据评估结果调整管理者的职责。
  
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①制度流程:数据资产管理的相关制度流程和安全机制应能够根据国内外对于数据资产管理的最新要求及时进行更新。
②技术工具:应参与国际,国家或行业相关标准制定,在业界分享最佳实践,成为行业标杆。


五、PA24 数据供应链安全

1、PA描述

通过建立组织的数据供应链管理机制,防范组织上下游的数据供应过程中的安全风险。

2、等级描述

2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务建立成熟稳定的供应链安全管理,仅根据临时需求或基于个人经验,考虑了个别数据供应链的安全管理。

2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设:应由收集数据的业务团队负责对数据资产进行管理。
②制度流程:
  a)核心业务应制定数据资产登记制度,建立数据资产清单,明确数据资产管理的相关方;
  b)对于密钥类数据资产,应明确密钥管理安全要求,至少应涵盖密钥生成、备份、存储、使用、分发、更新、销毁等相关的流程和要求。
③人员能力:相关人员应充分了解所管理数据资产的相关信息。

2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:应由实际存在数据上下游供应的业务团队相关人员负责数据供应链的管理工作。
②制度流程:在核心业务中,应与数据上下游的供应方针对具体的数据供应场景签署了合作协议,在合作协议中明确了数据的使用目的、供应方式、保密约定等。
③人员能力:负负责该项过程的人员应具备对具体数据供应场景的风险评估能力。
  
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①制度流程:应定期对数据供应链上下游数据活动的安全风险和数据供应方的数据安全管理能力进行评估。
②技术工具:
  a)应通过技术工具量化组织整体的数据供应链情况,对组织上下游的数据供应需求、对象和方式进行分类整理,能够及时发现并跟进数据供应链管理过程中的潜在风险。
  b)应对数据供应链上下游的数据服务提供者和数据使用者的行为进行合规性审核和分析;
  c)应基于数据供应链的相关记录,利用技术工具对数据供应链上下游的相关方开展安全审核和分析。
  
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①制度流程:组织整体的数据供应链管理方案应能够根据国内外数据供应链管理领域的监管动态和行业实践进行及时调整。
②技术工具:应参与国际,国家或行业相关标准制定,在业界分享最佳实践,成为行业标杆。


六、PA25 元数据管理

1、PA描述

建立组织的元数据管理体系,实现对组织内元数据的集中管理。

2、等级描述

2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务建立成熟稳定的元数据管理,仅根据临时需求或基于个人经验,考虑了个别元数据管理需求。

2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设:应由业务团队相关人员负责对业务涉及的元数据进行管理。
②制度流程:核心业务应建立元数据语义规范和管理规则:如统一数据格式等。

2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:应设立组织层面的元数据管理人员,统一负责建立组织内部元数据语义规则、管理要求和技术工具。
②制度流程:
  a)应明确数据服务元数据语义统一格式和管理规则,如数据格式、数据域、字段类型、表结构、逻辑存储和物理存储结构及管理方式;
  b)应明确数据安全元数据管理要求,如口令策略、权限列表、授权策略。
③技术工具:
  a)元数据管理工具应支持数据表的导航和搜索,提供表血缘关系、字段信息、使用说明、其他联信息,方便用户使用数据表;
  b)应建立元数据访问控制策略和审计机制,确保元数据操作的追溯。
④人员能力:负责该项工作的人员应了解元数据管理的理论基础,理解组织的元数据管理的业务需求。
  
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①制度流程:应依据数据资产分类分级明确元数据安全属性自动分级机制,并依据元数据属性建立标记定义和标记管理机制。
②技术工具:
  a)应具备实现元数据统一管理的能力,如建立组织统一的元数据管理系统,将各业务的元数据通过集中的系统面向组织内部提供;
  b)应基于元数据管理建立可视化的功能,在元数据管理系统上以数据标签形式实现对数据的存储、访问、所属业务等信息的有效管理;
  c)应在元数据管理系统上建立数据上下游关系链路,实现对字段级、表级、应用级的数据上下游关系的量化管理。
  
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①技术工具:
  a)应基于组织数据规模的发展,提升元数据管理的技术并扩大其覆盖范围,提升组织内数据的使用效率;
  b)应参与国际,国家或行业相关标准制定,在业界分享最佳实践,成为行业标杆。


七、PA26 终端数据安全

1、PA描述

基于组织对终端设备层面的数据保护要求,针对组织内部的工作终端采取相应的技术和管理方案。

2、等级描述

2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务部门开展成熟稳定的终端数据安全管理,仅根据临时需求或基于个人经验考虑了终端数据安全管理需求。

2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①制度流程:核心业务部门应制定面向终端的数据安全管理要求.
②技术工具:
  a)应为进入内部网络环境的终端设备分配了终端识别号,并实现计算机终端设备与用户账号的一对一绑定;
  b)核心业务员工的终端设备均应实现员工和终端设备的绑定,并为终端设备安装了统一的防病毒软件。

2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:组织内应设立统一的终端设备或办公数据安全管理岗位和人员。
②制度流程:组织应明确面向终端设备的数据安全管理规范,明确终端设备的安全配置管理,使用终端数据的注意事项和数据防泄漏管理要求等。
③技术工具:
  a)打印输出设备应采用身份鉴别、访问控制等手段进行安全管控,并对用户账户在此终端设备上的数据操作进行日志记录;
  b)组织内入网的终端设备均应按统一的要求部署防护工具,如防病毒、硬盘加密、终端入侵检测等软件,并定期进行软件的更新,并将终端设备纳入组织整体的访问控制体系中;
  c)组织应部署终端数据防泄漏方案,通过技术工具对终端设备上数据以及数据的操作进行风险监控。
  d)应提供整体的终端安全解决方案,实现终端设备与组织内部员工的有效绑定,,按统一的部署标准在终端设备系统上安装各类防控软件(如防病毒、硬盘加密、终端入侵检测等软件)。
④人员能力:负责该项工作的人员应充分了解终端设备的数据出入口以及相应的数据安全风险,能利用相应的工具实现整体的安全控制方案。
  
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①制度流程:组织应定期对终端数据防泄漏解决方案的成效进行量化评估,评估新风险和需要调整的控制措施,量化提升组织整体的终端数据防泄漏方案。
②技术工具:终端数据安全自动化工具应能够量化统计数据安全泄漏风险,并将相关风险展示,为后续终端数据安全管控能力提升提供技术支持。
  
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①技术工具:
  a)应基于组织内部终端环境的变化,利用新的技术实现对多终端环境的数据防泄漏保护;
  b)应参与国际,国家或行业相关标准制定,在业界分享最佳实践,成为行业标杆。


八、PA27 监控与审计

1、PA描述

针对数据生存周期各阶段开展安全监控和审计,以保证对数据的访问和操作均得到有效的监控和审计,以实现对数据生存周期各阶段中可能存在的未授权访问,数据滥用,数据泄漏等安全风险的防控。

2、等级描述

2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务建立成熟稳定的监控审计手段,仅根据临时需求或基于个人经验对个别业务进行了监控审计。

2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设:应由业务团队相关人员负责对业务的数据交换进行安全监控。
②制度流程:核心业务应建立数据安全风控或审计监控相关规则,如对数据生存周期各阶段的数据访问和操作进行监控的方案(如实时监控、定期批量监控等)。

2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:组织应设立负责对数据生存周期各阶段的数据访问和操作的安全风险进行监控和审计的岗位和人员,该岗位和人员属于组织风险管理架构的一部分,遵循风险管理整体的职能设置。
②制度流程:
  a)应明确对组织内部各类数据访问和操作的日志记录要求,安全监控要求和审计要求;
  b)应记录数据操作事件,并制定数据安全风险行为识别和评估规则;
  c)应定期对组织内部员工数据操作行为进行人工审计。
③技术工具:
  a)应采用自动和人工审计相结合的方法或手段对数据的高风险操作进行监控;
  b)应建立针对数据访问和操作的日志监控技术工具,实现对数据异常访问和操作进行告警,高敏感数据以及特权账户对数据的访问和操作都纳人重点的监控范围;
  c)应部署必要的数据防泄漏实时监控技术手段,监控及报告个人信息,重要数据等的外发行为;
  d)应采用技术工具对数据交换服务流量数据进行安全监控和分析。
④人员能力负责该项工作的人员应了解数据访问和操作涉及的数据范围,具备对安全风险的判断能力。
  
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①技术工具:
  a)应建立统一的数据访问和操作的日志监控技术工具,该技术工具可对各类数据访问和操作的日志进行统一的处理和分析,并量化数据访问和操作引发的数据安全风险,实现对数据安全风险的整体感知;
  b)应记录数据交换服务接口调用事件信息,监控是否存在恶意数据获取,数据盗用等风险;
  c)应具备对数据的异常或高风险操作进行自动识别和实时预警的能力。
②人员能力:负责该项工作的人员应充分理解数据监控和审计的要求,能够识别数据泄漏风险并及时应对。
  
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①技术工具:
  a)应利用数据分析的技术改进日志监控技术工具,提升对安全风险事件发现的精确度和效率;
  b)应持续提升数据安全风险控制能力,不断完善改进数据安全风险识别规则和模型;
  c)应参与国际,国家或行业相关标准制定,在业界分享最佳实践,成为行业标杆。


九、PA28 鉴别与访问控制

1、PA描述

通过基于组织的数据安全需求和合规性要求建立身份鉴别和数据访问控制机制,防止对数据的未授权访问风险。

2、等级描述

2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务中建立成熟稳定的身份鉴别与访问控制机制,仅根据临时需求或基于个人经验在个别系统中采用了身份鉴别与访问控制手段。

2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设::应由业务团队相关人员负责管理核心业务系统的用户身份及数据权限管理。
②制度流程:核心业务应明确重要系统和数据库的身份鉴别、访问控制和权限管理的安全要求。
③技术工具:
  a)核心业务系统应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;
  b)核心业务系统应提供访问控制功能,对登录的用户分配账户和权限;
  c)核心业务系统应提供并启用登录失败处理功能,多次登录失败后应采取必要的保护措施。

2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:组织应设立统一的岗位和人员,负责制定组织内用户身份鉴别,访问控制和权限管理的策略,提供相关技术能力或进行统一管理。
②制度流程:
  a)应明确组织的身份鉴别、访问控制与权限管理要求,明确对身份标识与鉴别、访问控制及权限的分配、变更、撒销等权限管理的要求;
  b)应按最少够用职权分离等原则,授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
  c)应明确数据权限授权审批流程,对数据权限申请和变更进行审核;
  d)应定期审核数据访问权限,及时删除或停用多余的,过期的账户和角色,避免共享账户和角色权限冲突的存在;
  e)应对外包人员和实习生的数据访问权限进行严格控制。
③技术工具:
  a)应建立组织统一的身份鉴别管理系统,支持组织主要应用接入,实现对人员访问数据资源的统一身份鉴别;
  b)应建立组织统一的权限管理系统,支持组织主要应用接入,对人员访问数据资源进行访问控制和权限管理;
  c)应采用技术手段实现身份鉴别和权限管理的联动控制;
  d)应采用口令,密码技术,生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;
  e)访问控制的粒度应达到主体为用户级,客体为系统、文件﹑数据库表级或字段。
④人员能力:负责该项工作的人员应熟悉相关的数据访问控制的技术知识,并能够根据组织数据安全管理制度对数据权限进行审批管理。
  
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①制度流程:组织应建立数据安全角色清单,明确数据安全角色的安全要求、分配策略、授权机制和权限范围。
②技术工具:
  a)应建立面向数据应用的访问控制机制,包括访问控制时效的管理和验证,以及数据应用接入的合法性和安全性取证机制;
  b)应建立人力资源管理与身份鉴别管理、权限管理的联动控制,及时删除离岗、转岗人员的权限;
  c)应采用技术手段对系统或应用访问敏感数据进行访问控制。
  
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①技术工具:
  a)应建立针对数据生存周期各阶段的数据安全主动防御机制或措施,如基于用户行为或设备行为安全控制机制;
  b)应参与国际,国家或行业相关标准制定,在业界分享最佳实践,成为行业标杆。


十、PA29 需求分析

1、PA描述

通过建立针对组织业务的数据安全需求分析体系,分析组织内数据业务的安全需求。

2、等级描述

2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务建立成熟稳定的数据安全需求分析机制,仅根据临时需求或基于个人经验对个别新业务进行了数据安全需求分析。

2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设:业务部门应设置负责数据安全需求分析的岗位或人员。
②制度流程:核心业务应开展数据安全需求分析。

2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:组织应设立负责数据安全需求分析的岗位和人员,负责对数据业务设计开发等阶段开展数据安全需求分析工作,确保安全需求的有效制定和规范化表达。
②制度流程:
  a)应明确数据安全需求分析的制定流程和评审机制,明确安全需求文档内容要求;
  b)应依据国家法律,法规、标准等要求,分析数据安全合规性需求;
  c)应结合机构战略规划数据服务业务目标和业务特点,明确数据服务安全需求和安全规划实施的优先级;
  d)应识别数据服务面临的威胁和自身脆弱性,分析数据安全风险和应对措施需求。
③技术工具:应建立承载数据业务的安全需求分析系统,该系统记录所有的数据业务的需求分析的申请、需求分析以及相关安全方案,以保证对所有的数据业务的安全需求分析过程的有效追溯。
④人员能力:负责该项工作的人员应具有需求分析挖掘能力,对组织的数据安全管理的业务有充分的理解,并通过培训实现各业务的需求分析人员对数据安全需求分析标准的一致性理解。
  
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①制度流程:应使用数据驱动分析方法或安全需求工程思想进行数据安全需求分析,确保数据安全需求的有效表达。
  
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①制度流程:应持续优化数据安全需求分析,以保证符合组织发展战略和业务发展的实际需要。
②技术工具:应参与国际,国家或行业相关标准制定,在业界分享最佳实践,成为行业标杆。


十一、PA30 安全事件应急

1、PA描述

建立针对数据的安全事件应急响应体系,对各类安全事件进行及时响应和处置。

2、等级描述

2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务建立成熟稳定的数据安全事件应急响应机制,仅根据临时需求或基于个人经验对个别数据安全事件进行过应急处理。

2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设:核心业务应设立负责数据安全事件管理和应急响应的岗位和人员。
②制度流程:核心业务应明确数据安全事件管理和应急响应的策略和具体方案。

2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:组织应设立专职负责数据安全事件管理和应急响应的岗位和人员。
②制度流程:
  a)应明确数据安全事件管理和应急响应工作指南,定义数据安全事件类型,明确不同类别事件的处置流程和方法;
  b)应明确数据安全事件应急预案,定期开展应急演练活动;
  c)组织的数据安全事件应急响应机制,应符合国家有关主管部门的政策文件要求。
③技术工具:应建立统一的安全事件管理系统,对日志,流量等内容进行关联分析。
④人员能力:负责该项工作的人员应具备安全事件的判断能力,熟悉安全事件应急响应措施。
  
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①技术工具:安全事件管理系统应能够基于分析的内容实现预警及自动化响应决策。
  
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①制度流程:安全事件管理和应急响应机制应随着组织实际情况不断调整,更新和完善,并定期对组织员工开展流程培训和宣贯。
②技术工具:应参与国际,国家或行业相关标准制定,在业界分享最佳实践,成为行业标杆。


数据来源:GB/T 37988-2019

你可能感兴趣的:(安全,运维,DSMM模型,通用安全)