說明

《GBT 37988-2019 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》和《數(shù)據(jù)安全能力建設(shè)實(shí)施指南》原文下載鏈接在文末

???? 2020年3月1日《GBT 37988-2019 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》正式實(shí)施，該標(biāo)準(zhǔn)適用于對(duì)企業(yè)、組織對(duì)數(shù)據(jù)安全能力進(jìn)行評(píng)估和作為數(shù)據(jù)安全能力建設(shè)的實(shí)施依據(jù)。為便于學(xué)習(xí)和理解DSMM標(biāo)準(zhǔn)模型，相關(guān)起草單位還同步制定了配套的數(shù)據(jù)安全能力建設(shè)實(shí)施指南，以數(shù)據(jù)安全能力成熟度三級(jí)為目標(biāo)，解讀如何實(shí)施和落地相應(yīng)數(shù)據(jù)安全措施。

????? 本文以下內(nèi)容是在學(xué)習(xí)實(shí)施指南時(shí)的記錄筆記，以梳理結(jié)構(gòu)、體現(xiàn)重點(diǎn)為原則，適用于對(duì)DSMM和數(shù)據(jù)安全知識(shí)有一定了解的人群。若在此之前沒有了解過DSMM，建議先在文章末尾鏈接處下載原文通讀后再學(xué)習(xí)本文。

筆記

37988數(shù)據(jù)安全能力成熟度模型 配套指南，以等級(jí)三級(jí)為目標(biāo)

1.數(shù)據(jù)安全能力建設(shè)框架

?2.數(shù)據(jù)安全組織建設(shè)

?? 1）決策層

??? 高管、數(shù)據(jù)安全官、其他業(yè)務(wù)的高管

• 制定組織的數(shù)據(jù)安全目標(biāo)和愿景
• 數(shù)據(jù)安全的策略和規(guī)劃、制度與規(guī)范進(jìn)行發(fā)布
• 對(duì)組織的數(shù)據(jù)安全建設(shè)的提供必要的資源
• 對(duì)公司的重大數(shù)據(jù)安全事件做協(xié)調(diào)和決策

??? 2）管理層

???? 數(shù)據(jù)安全管理團(tuán)隊(duì)，數(shù)據(jù)安全工作最核心的部門

• 制定數(shù)據(jù)安全整體解決方案并組織實(shí)施
• 制定數(shù)據(jù)安全管理策略和規(guī)劃，統(tǒng)一數(shù)據(jù)安全規(guī)范體系
• 建立監(jiān)控審計(jì)機(jī)制
• 數(shù)據(jù)安全技術(shù)和意識(shí)培訓(xùn)
• 做組織架構(gòu)的運(yùn)作機(jī)制
• 與外部組織機(jī)構(gòu)保持溝通

??? 3）執(zhí)行層

????? 數(shù)據(jù)安全專職人員、業(yè)務(wù)部門的數(shù)據(jù)安全接口人、數(shù)據(jù)所有者

• 數(shù)據(jù)安全風(fēng)險(xiǎn)的評(píng)估和改進(jìn)
• 數(shù)據(jù)安全運(yùn)營(yíng)工作
• 數(shù)據(jù)安全事件的跟進(jìn)和處理
• 做數(shù)據(jù)分類分級(jí)工作
• 數(shù)據(jù)安全專項(xiàng)管理和實(shí)施

????? 4）員工和合作伙伴（第三方）

• 履行組織對(duì)數(shù)據(jù)安全的要求，部署數(shù)據(jù)安全工作
• 培訓(xùn)、考試、學(xué)習(xí)等提升數(shù)據(jù)安全意識(shí)
• 識(shí)別安全風(fēng)險(xiǎn)、判斷風(fēng)險(xiǎn)并降低風(fēng)險(xiǎn)

????? 5）監(jiān)督層

????? 具備獨(dú)立性、組織內(nèi)部的審計(jì)部門

• 監(jiān)督數(shù)據(jù)安全制度落地執(zhí)行情況
• 監(jiān)督數(shù)據(jù)安全工具執(zhí)行有效性
• 監(jiān)控與審計(jì)數(shù)據(jù)安全風(fēng)險(xiǎn)

-------------------------------------------------------------------------------

不同部門之間聯(lián)動(dòng)

業(yè)務(wù)新增、業(yè)務(wù)運(yùn)營(yíng)、外部合作、安全事件、安全執(zhí)行

人力資源	安全遵守要求、人員違規(guī)的處置
IT部門	介質(zhì)安全管理、防護(hù)措施部署、管理策略執(zhí)行
法務(wù)部門	政策法規(guī)、數(shù)據(jù)安全合規(guī)
風(fēng)險(xiǎn)管理	數(shù)據(jù)安全管理的協(xié)助，風(fēng)控
公共關(guān)系部門	信息發(fā)布的敏感信息控制

3.數(shù)據(jù)安全人員能力

?4.數(shù)據(jù)安全制度流程

?

?5.數(shù)據(jù)安全技術(shù)工具

?6.數(shù)據(jù)安全各階段實(shí)施解讀

?1）數(shù)據(jù)采集

數(shù)據(jù)分類分級(jí)

• 制度流程：說明 分類分級(jí)的角色和職責(zé)、分類分級(jí)原則、實(shí)施流程、不同級(jí)別數(shù)據(jù)的保護(hù)細(xì)則、建立和變更審核流程
• 技術(shù)工具：

采集安全管理

• 制度流程：

???????? 數(shù)據(jù)采集規(guī)則：采集目的、采集用途、采集方式、采集范圍

???????? 采集崗位職責(zé)：負(fù)責(zé)采集相關(guān)的工作崗位和職責(zé)

???????? 數(shù)據(jù)采集評(píng)估：風(fēng)險(xiǎn)評(píng)估方法、評(píng)估周期、評(píng)估對(duì)象、整改要求

???????? 采集過程保護(hù)：保護(hù)數(shù)據(jù)類型、安全措施、審計(jì)要求

???????? 合規(guī)性說明：相關(guān)法律法規(guī)和監(jiān)督要求

• 技術(shù)工具：采集工具、采集過程的防泄漏安全技術(shù)措施

數(shù)據(jù)源鑒別及記錄

• 制度流程：

?????? 數(shù)據(jù)采集來源管理

?????? 數(shù)據(jù)溯源管理

• 技術(shù)工具

???????? 采集數(shù)據(jù)的識(shí)別和記錄：元數(shù)據(jù)管理、數(shù)據(jù)血緣

???????? 數(shù)據(jù)源的識(shí)別和記錄：身份鑒別機(jī)制、指紋識(shí)別機(jī)制

數(shù)據(jù)質(zhì)量管理

• 制度流程：數(shù)據(jù)質(zhì)量定義、數(shù)據(jù)質(zhì)量校驗(yàn)方法、質(zhì)量管理實(shí)施流程、質(zhì)量管理規(guī)范
• 技術(shù)工具：對(duì)離線數(shù)據(jù)采取波動(dòng)值校驗(yàn)、固定值比較的校驗(yàn)方式

2）數(shù)據(jù)傳輸

數(shù)據(jù)傳輸加密

數(shù)據(jù)傳輸通道加密是利用傳輸協(xié)議對(duì)數(shù)據(jù)加密，不是對(duì)發(fā)送的傳輸流量加密。

數(shù)據(jù)傳輸中的加密可以是發(fā)送前對(duì)數(shù)據(jù)加密、傳輸時(shí)用協(xié)議加密

常見數(shù)據(jù)傳輸加密的場(chǎng)景：不可靠網(wǎng)絡(luò)內(nèi)傳輸、高安全等級(jí)到低安全等級(jí)、等保三級(jí)以上的信息系統(tǒng)中傳輸

較多采用VPN加密傳輸通道、使用SSL/TLS加密傳輸協(xié)議

• 制度流程：加密方式、加密算法、密鑰有效期
• 技術(shù)工具

? ? ? ? ? ? 密鑰管理系統(tǒng)

??????????? 傳輸端點(diǎn)身份鑒別

???????????? 加密工具

???????????? 堡壘機(jī)：管理人員通過堡壘機(jī)對(duì)密鑰管理系統(tǒng)和數(shù)據(jù)加密策略配置進(jìn)行操作。

網(wǎng)絡(luò)可用性管理

• 制度流程：GBT 25068.1-2012 《信息技術(shù) 安全技術(shù) IT網(wǎng)絡(luò)安全 第1部分：網(wǎng)絡(luò)安全管理》
• 技術(shù)工具：

?????????? 關(guān)鍵鏈路、網(wǎng)絡(luò)節(jié)點(diǎn)的冗余建設(shè)

?????????? 負(fù)載均衡、網(wǎng)絡(luò)安全防護(hù)設(shè)備

? ? ? ? ?? 是否對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)、鏈路做了冗余建設(shè)

3）數(shù)據(jù)存儲(chǔ)安全

存儲(chǔ)介質(zhì)安全

物理實(shí)體介質(zhì)（磁盤/硬盤）、虛擬存儲(chǔ)介質(zhì)（容器/虛擬盤）

• 制度流程

????? 存儲(chǔ)介質(zhì)分類及定義

????? 存儲(chǔ)介質(zhì)購(gòu)買及審批

????? 存儲(chǔ)介質(zhì)審批及凈化處理要求

????? 存儲(chǔ)介質(zhì)標(biāo)記要求

????? 存儲(chǔ)介質(zhì)入庫(kù)和保存要求

????? 安全管理員職責(zé)

????? 附件：使用/維修/報(bào)廢登記表

• 技術(shù)工具

數(shù)據(jù)消除工具，基于國(guó)家保密局頒發(fā)的BMB2T-2007《涉及國(guó)家秘密的載體銷毀與信息消除安全保密要求》

邏輯存儲(chǔ)安全

針對(duì)存儲(chǔ)容器和存儲(chǔ)架構(gòu)的安全要求

認(rèn)證鑒權(quán)、訪問控制、日志管理、通信舉證、文件防病毒、安全配置策略

• 制度流程

?????? 參考《GB/T 31916.1-2015 信息技術(shù)云數(shù)據(jù)存儲(chǔ)和管理 第1部分：總則》

• 技術(shù)工具

?????? 對(duì)存儲(chǔ)系統(tǒng)的安全配置掃描、采集存儲(chǔ)系統(tǒng)的操作日志

數(shù)據(jù)備份與恢復(fù)

• 制度流程

?????? 備份和恢復(fù)管理規(guī)范

???? 《GB/T 31500-2015 信息安全技術(shù) 存儲(chǔ)介質(zhì)數(shù)據(jù)恢復(fù)服務(wù)要求》

???? 《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

4）數(shù)據(jù)處理安全

??? 數(shù)據(jù)脫敏

???? 關(guān)注數(shù)據(jù)脫敏

• 制度流程

????? 脫敏制度規(guī)范、使用者的崗位職責(zé)、業(yè)務(wù)范圍

???? 《ISO&IEC 27038_2014 數(shù)字脫敏規(guī)范》

???? 《DB52/T 1126-2016 政府?dāng)?shù)據(jù) 數(shù)據(jù)脫敏工作指南》

• 技術(shù)工具

?????? 數(shù)據(jù)脫敏工具、與數(shù)據(jù)權(quán)限管理平臺(tái)聯(lián)動(dòng)、脫敏過程的日志留存

?????? 使用哪些數(shù)據(jù)、用數(shù)據(jù)來做什么事情

數(shù)據(jù)分析安全

?數(shù)據(jù)集的關(guān)聯(lián)分析和深度挖掘

• 制度流程

?????? 數(shù)據(jù)資源操作規(guī)范、數(shù)據(jù)分析結(jié)果的風(fēng)險(xiǎn)評(píng)估機(jī)制

?????? 數(shù)據(jù)分析結(jié)果審核機(jī)制（評(píng)估后二次導(dǎo)出）

• 技術(shù)工具

??????? 去標(biāo)識(shí)化記錄工具、敏感數(shù)據(jù)操作日志記錄工具

?????? 《個(gè)人信息去標(biāo)識(shí)化指南》

數(shù)據(jù)正當(dāng)使用

• 制度流程
• ?????? 數(shù)據(jù)權(quán)限管理制度、數(shù)據(jù)使用者安全責(zé)任制度
• 技術(shù)工具
• ?????? 統(tǒng)一身份管理平臺(tái)IAM

數(shù)據(jù)處理環(huán)境安全

數(shù)據(jù)處理過程不被損壞、丟失或竊取

• 制度流程

?????? 保障數(shù)據(jù)處理安全的平臺(tái)的規(guī)范要求

• 技術(shù)工具

?????? 數(shù)據(jù)處理平臺(tái)和數(shù)據(jù)權(quán)限管理平臺(tái)的聯(lián)動(dòng)、多租戶之間的邏輯隔離

?????? >網(wǎng)絡(luò)訪問控制

???????????? 網(wǎng)絡(luò)隔離、堡壘機(jī)、VPN遠(yuǎn)程運(yùn)維

??????? >賬號(hào)管理和身份認(rèn)證

??????? >授權(quán)

??????????? 統(tǒng)一權(quán)限申請(qǐng)和授權(quán)管理系統(tǒng)

??????????? 運(yùn)維和審計(jì)職責(zé)分離

? ????? > 監(jiān)控

??????? ? ? 自動(dòng)化監(jiān)控系統(tǒng)監(jiān)控網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用集權(quán)、核心業(yè)務(wù)

??????? >審計(jì)

??????????? 所有運(yùn)維操作且只能通過堡壘機(jī)進(jìn)行

5）數(shù)據(jù)交換安全

數(shù)據(jù)導(dǎo)入導(dǎo)出安全

• 制度流程

???????? 導(dǎo)入導(dǎo)出安全制度規(guī)范、安全審核和授權(quán)流程、導(dǎo)入導(dǎo)出介質(zhì)的標(biāo)識(shí)規(guī)范

???????? 規(guī)范目的、導(dǎo)入導(dǎo)出場(chǎng)景、安全要求、崗位職責(zé)說明、導(dǎo)入導(dǎo)出工具導(dǎo)入導(dǎo)出流程

• 技術(shù)工具

???????? 導(dǎo)入導(dǎo)出審核流程在線平臺(tái)、導(dǎo)入導(dǎo)出日志記錄

????????? 建立獨(dú)立的數(shù)據(jù)導(dǎo)入導(dǎo)出安全控制平臺(tái)，或者與在統(tǒng)一的用戶認(rèn)證平臺(tái)、權(quán)限管理平臺(tái)、流程審批平臺(tái)、監(jiān)控審計(jì)平臺(tái)中支持?jǐn)?shù)據(jù)導(dǎo)入導(dǎo)出的安全控制功能

??????? 《GB/T 35274-2017 信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》

數(shù)據(jù)共享安全

• 制度流程

???????? 數(shù)據(jù)共享原則和保護(hù)措施

???????? 涉及部門的職責(zé)和權(quán)限

???????? 共享的數(shù)據(jù)類型、內(nèi)容、格式、常見場(chǎng)景做細(xì)化的規(guī)范要求

???????? 數(shù)據(jù)共享的審核流程、審計(jì)策略和審計(jì)日志管理規(guī)范

???????? 第三方的數(shù)據(jù)交換加工平臺(tái)的安全要求

• 技術(shù)工具

???????? 數(shù)據(jù)共享審核流程的在線平臺(tái)

數(shù)據(jù)發(fā)布安全

• 制度流程

???????? 防止出現(xiàn)違規(guī)對(duì)外披露造成對(duì)組織名譽(yù)的影響

???????? 明確數(shù)據(jù)發(fā)布的內(nèi)容和范圍

???????? 數(shù)據(jù)發(fā)布相關(guān)人員職責(zé)和分工

???????? 數(shù)據(jù)發(fā)布的管理和審核流程

???????? 數(shù)據(jù)發(fā)布事件應(yīng)急處理流程

???????? 數(shù)據(jù)發(fā)布的監(jiān)管要求

• 技術(shù)工具

???????? 公共服務(wù)平臺(tái)、數(shù)據(jù)開放平臺(tái)

數(shù)據(jù)接口安全

主要指API接口

攻擊方式：偽裝攻擊、篡改攻擊、重放攻擊、數(shù)據(jù)信息監(jiān)聽

• 制度流程

??????? XX接口開發(fā)規(guī)范

????? 《GB/T 32908-2016 非機(jī)構(gòu)化數(shù)據(jù)訪問接口規(guī)范》

• 技術(shù)工具

?????? 通過協(xié)議方式控制

6）數(shù)據(jù)銷毀安全

數(shù)據(jù)銷毀處置

刪除文件：操作簡(jiǎn)單，并不能擦除磁盤數(shù)據(jù)區(qū)信息

格式化硬盤：多種格式化選擇，數(shù)據(jù)區(qū)數(shù)據(jù)依然可以恢復(fù)

?文件粉碎軟件：可信度和安全性不高

《GA/T 1143-2014 信息安全技術(shù) 數(shù)據(jù)銷毀軟件產(chǎn)品安全技術(shù)要求》

介質(zhì)銷毀處置

存儲(chǔ)介質(zhì)物理性銷毀

《BMB21-2007 涉及國(guó)家秘密的載體銷毀與信息消除安全保密要求》

7）通用安全

數(shù)據(jù)安全策略規(guī)劃

• 制度流程

??????? 方針政策：目標(biāo)原則、監(jiān)管合規(guī)、數(shù)據(jù)生命收起、數(shù)據(jù)資產(chǎn)和分類分級(jí)定義、違規(guī)處罰

??????? 策略規(guī)劃：數(shù)據(jù)安全能力戰(zhàn)略規(guī)劃

• 技術(shù)工具

??????? OA平臺(tái)信息發(fā)布

人力資源安全

人力資源部門主要參與

• 制度流程

???? 人力資源管理過程數(shù)據(jù)安全管理措施，安全文化宣導(dǎo)和安全意識(shí)提升

???? 員工合理分類：正式員工、外包員工、試用期員工、兼職人員

???? 各類場(chǎng)景下的安全要求：招聘、培訓(xùn)、考核、轉(zhuǎn)崗、離職

合規(guī)管理

• 制度流程

?????? 合規(guī)要求清單、整改和考核規(guī)范、全年檢查計(jì)劃（專項(xiàng)檢查、常規(guī)檢查、事件驅(qū)動(dòng)檢查）

數(shù)據(jù)資產(chǎn)管理

包括 資產(chǎn)識(shí)別、資產(chǎn)重要度定級(jí)、資產(chǎn)變更管理與監(jiān)測(cè)、資產(chǎn)風(fēng)險(xiǎn)管理

數(shù)據(jù)資產(chǎn)管理平臺(tái)

數(shù)據(jù)供應(yīng)鏈安全

??? 供應(yīng)鏈協(xié)議管理、數(shù)據(jù)服務(wù)商安全能力評(píng)估

???? 全鏈路數(shù)據(jù)追蹤技術(shù)

元數(shù)據(jù)管理

???? 元數(shù)據(jù)管理系統(tǒng)

數(shù)據(jù)終端安全

??? ? 終端安全管理規(guī)范、終端行為管理規(guī)范、移動(dòng)安全管理平臺(tái)

??? 《GB/T 34977-2017 信息安全技術(shù) 移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求與測(cè)試評(píng)價(jià)》

??? 《GB/T 34978-2017 信息安全技術(shù) 移動(dòng)智能終端個(gè)人信息保護(hù)技術(shù)要求》

??? 《GB/T 35278-2017 信息安全技術(shù) 移動(dòng)終端安全保護(hù)技術(shù)要求》

監(jiān)控與審計(jì)

??? 數(shù)據(jù)安全日常監(jiān)控和審計(jì)管理辦法

??? 數(shù)據(jù)安全監(jiān)控審計(jì)平臺(tái)

原文鏈接：

數(shù)據(jù)安全能力建設(shè)實(shí)施指南V1.0 （征求意見稿）.pdf: (訪問密碼: 1455)

GBT 37988-2019數(shù)據(jù)安全能力成熟度模型.pdf: (訪問密碼: 1455)

數(shù)據(jù)安全能力建設(shè)實(shí)施指南V1.0 （征求意見稿）.docx: (訪問密碼: 1455)文章來源地址http://www.zghlxwxcb.cn/news/detail-703439.html