說明
《GBT 37988-2019 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》和《數(shù)據(jù)安全能力建設(shè)實(shí)施指南》原文下載鏈接在文末
???? 2020年3月1日《GBT 37988-2019 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》正式實(shí)施,該標(biāo)準(zhǔn)適用于對(duì)企業(yè)、組織對(duì)數(shù)據(jù)安全能力進(jìn)行評(píng)估和作為數(shù)據(jù)安全能力建設(shè)的實(shí)施依據(jù)。為便于學(xué)習(xí)和理解DSMM標(biāo)準(zhǔn)模型,相關(guān)起草單位還同步制定了配套的數(shù)據(jù)安全能力建設(shè)實(shí)施指南,以數(shù)據(jù)安全能力成熟度三級(jí)為目標(biāo),解讀如何實(shí)施和落地相應(yīng)數(shù)據(jù)安全措施。
????? 本文以下內(nèi)容是在學(xué)習(xí)實(shí)施指南時(shí)的記錄筆記,以梳理結(jié)構(gòu)、體現(xiàn)重點(diǎn)為原則,適用于對(duì)DSMM和數(shù)據(jù)安全知識(shí)有一定了解的人群。若在此之前沒有了解過DSMM,建議先在文章末尾鏈接處下載原文通讀后再學(xué)習(xí)本文。
筆記
37988數(shù)據(jù)安全能力成熟度模型 配套指南,以等級(jí)三級(jí)為目標(biāo)
1.數(shù)據(jù)安全能力建設(shè)框架
?2.數(shù)據(jù)安全組織建設(shè)
?? 1)決策層
??? 高管、數(shù)據(jù)安全官、其他業(yè)務(wù)的高管
- 制定組織的數(shù)據(jù)安全目標(biāo)和愿景
- 數(shù)據(jù)安全的策略和規(guī)劃、制度與規(guī)范進(jìn)行發(fā)布
- 對(duì)組織的數(shù)據(jù)安全建設(shè)的提供必要的資源
- 對(duì)公司的重大數(shù)據(jù)安全事件做協(xié)調(diào)和決策
??? 2)管理層
???? 數(shù)據(jù)安全管理團(tuán)隊(duì),數(shù)據(jù)安全工作最核心的部門
- 制定數(shù)據(jù)安全整體解決方案并組織實(shí)施
- 制定數(shù)據(jù)安全管理策略和規(guī)劃,統(tǒng)一數(shù)據(jù)安全規(guī)范體系
- 建立監(jiān)控審計(jì)機(jī)制
- 數(shù)據(jù)安全技術(shù)和意識(shí)培訓(xùn)
- 做組織架構(gòu)的運(yùn)作機(jī)制
- 與外部組織機(jī)構(gòu)保持溝通
??? 3)執(zhí)行層
????? 數(shù)據(jù)安全專職人員、業(yè)務(wù)部門的數(shù)據(jù)安全接口人、數(shù)據(jù)所有者
- 數(shù)據(jù)安全風(fēng)險(xiǎn)的評(píng)估和改進(jìn)
- 數(shù)據(jù)安全運(yùn)營(yíng)工作
- 數(shù)據(jù)安全事件的跟進(jìn)和處理
- 做數(shù)據(jù)分類分級(jí)工作
- 數(shù)據(jù)安全專項(xiàng)管理和實(shí)施
????? 4)員工和合作伙伴(第三方)
- 履行組織對(duì)數(shù)據(jù)安全的要求,部署數(shù)據(jù)安全工作
- 培訓(xùn)、考試、學(xué)習(xí)等提升數(shù)據(jù)安全意識(shí)
- 識(shí)別安全風(fēng)險(xiǎn)、判斷風(fēng)險(xiǎn)并降低風(fēng)險(xiǎn)
????? 5)監(jiān)督層
????? 具備獨(dú)立性、組織內(nèi)部的審計(jì)部門
- 監(jiān)督數(shù)據(jù)安全制度落地執(zhí)行情況
- 監(jiān)督數(shù)據(jù)安全工具執(zhí)行有效性
- 監(jiān)控與審計(jì)數(shù)據(jù)安全風(fēng)險(xiǎn)
-------------------------------------------------------------------------------
不同部門之間聯(lián)動(dòng)
業(yè)務(wù)新增、業(yè)務(wù)運(yùn)營(yíng)、外部合作、安全事件、安全執(zhí)行
人力資源 |
安全遵守要求、人員違規(guī)的處置 |
IT部門 |
介質(zhì)安全管理、防護(hù)措施部署、管理策略執(zhí)行 |
法務(wù)部門 |
政策法規(guī)、數(shù)據(jù)安全合規(guī) |
風(fēng)險(xiǎn)管理 |
數(shù)據(jù)安全管理的協(xié)助,風(fēng)控 |
公共關(guān)系部門 |
信息發(fā)布的敏感信息控制 |
3.數(shù)據(jù)安全人員能力
?4.數(shù)據(jù)安全制度流程
?
?5.數(shù)據(jù)安全技術(shù)工具
?6.數(shù)據(jù)安全各階段實(shí)施解讀
?1)數(shù)據(jù)采集
數(shù)據(jù)分類分級(jí)
- 制度流程:說明 分類分級(jí)的角色和職責(zé)、分類分級(jí)原則、實(shí)施流程、不同級(jí)別數(shù)據(jù)的保護(hù)細(xì)則、建立和變更審核流程
- 技術(shù)工具:
采集安全管理
- 制度流程:
???????? 數(shù)據(jù)采集規(guī)則:采集目的、采集用途、采集方式、采集范圍
???????? 采集崗位職責(zé):負(fù)責(zé)采集相關(guān)的工作崗位和職責(zé)
???????? 數(shù)據(jù)采集評(píng)估:風(fēng)險(xiǎn)評(píng)估方法、評(píng)估周期、評(píng)估對(duì)象、整改要求
???????? 采集過程保護(hù):保護(hù)數(shù)據(jù)類型、安全措施、審計(jì)要求
???????? 合規(guī)性說明:相關(guān)法律法規(guī)和監(jiān)督要求
- 技術(shù)工具:采集工具、采集過程的防泄漏安全技術(shù)措施
數(shù)據(jù)源鑒別及記錄
- 制度流程:
?????? 數(shù)據(jù)采集來源管理
?????? 數(shù)據(jù)溯源管理
- 技術(shù)工具
???????? 采集數(shù)據(jù)的識(shí)別和記錄:元數(shù)據(jù)管理、數(shù)據(jù)血緣
???????? 數(shù)據(jù)源的識(shí)別和記錄:身份鑒別機(jī)制、指紋識(shí)別機(jī)制
數(shù)據(jù)質(zhì)量管理
- 制度流程:數(shù)據(jù)質(zhì)量定義、數(shù)據(jù)質(zhì)量校驗(yàn)方法、質(zhì)量管理實(shí)施流程、質(zhì)量管理規(guī)范
- 技術(shù)工具:對(duì)離線數(shù)據(jù)采取波動(dòng)值校驗(yàn)、固定值比較的校驗(yàn)方式
2)數(shù)據(jù)傳輸
數(shù)據(jù)傳輸加密
數(shù)據(jù)傳輸通道加密是利用傳輸協(xié)議對(duì)數(shù)據(jù)加密,不是對(duì)發(fā)送的傳輸流量加密。
數(shù)據(jù)傳輸中的加密可以是發(fā)送前對(duì)數(shù)據(jù)加密、傳輸時(shí)用協(xié)議加密
常見數(shù)據(jù)傳輸加密的場(chǎng)景:不可靠網(wǎng)絡(luò)內(nèi)傳輸、高安全等級(jí)到低安全等級(jí)、等保三級(jí)以上的信息系統(tǒng)中傳輸
較多采用VPN加密傳輸通道、使用SSL/TLS加密傳輸協(xié)議
- 制度流程:加密方式、加密算法、密鑰有效期
- 技術(shù)工具
? ? ? ? ? ? 密鑰管理系統(tǒng)
??????????? 傳輸端點(diǎn)身份鑒別
???????????? 加密工具
???????????? 堡壘機(jī):管理人員通過堡壘機(jī)對(duì)密鑰管理系統(tǒng)和數(shù)據(jù)加密策略配置進(jìn)行操作。
網(wǎng)絡(luò)可用性管理
- 制度流程:GBT 25068.1-2012 《信息技術(shù) 安全技術(shù) IT網(wǎng)絡(luò)安全 第1部分:網(wǎng)絡(luò)安全管理》
- 技術(shù)工具:
?????????? 關(guān)鍵鏈路、網(wǎng)絡(luò)節(jié)點(diǎn)的冗余建設(shè)
?????????? 負(fù)載均衡、網(wǎng)絡(luò)安全防護(hù)設(shè)備
? ? ? ? ?? 是否對(duì)關(guān)鍵業(yè)務(wù)系統(tǒng)、鏈路做了冗余建設(shè)
3)數(shù)據(jù)存儲(chǔ)安全
存儲(chǔ)介質(zhì)安全
物理實(shí)體介質(zhì)(磁盤/硬盤)、虛擬存儲(chǔ)介質(zhì)(容器/虛擬盤)
- 制度流程
????? 存儲(chǔ)介質(zhì)分類及定義
????? 存儲(chǔ)介質(zhì)購(gòu)買及審批
????? 存儲(chǔ)介質(zhì)審批及凈化處理要求
????? 存儲(chǔ)介質(zhì)標(biāo)記要求
????? 存儲(chǔ)介質(zhì)入庫(kù)和保存要求
????? 安全管理員職責(zé)
????? 附件:使用/維修/報(bào)廢登記表
- 技術(shù)工具
數(shù)據(jù)消除工具,基于國(guó)家保密局頒發(fā)的BMB2T-2007《涉及國(guó)家秘密的載體銷毀與信息消除安全保密要求》
邏輯存儲(chǔ)安全
針對(duì)存儲(chǔ)容器和存儲(chǔ)架構(gòu)的安全要求
認(rèn)證鑒權(quán)、訪問控制、日志管理、通信舉證、文件防病毒、安全配置策略
- 制度流程
?????? 參考《GB/T 31916.1-2015 信息技術(shù)云數(shù)據(jù)存儲(chǔ)和管理 第1部分:總則》
- 技術(shù)工具
?????? 對(duì)存儲(chǔ)系統(tǒng)的安全配置掃描、采集存儲(chǔ)系統(tǒng)的操作日志
數(shù)據(jù)備份與恢復(fù)
- 制度流程
?????? 備份和恢復(fù)管理規(guī)范
???? 《GB/T 31500-2015 信息安全技術(shù) 存儲(chǔ)介質(zhì)數(shù)據(jù)恢復(fù)服務(wù)要求》
???? 《GB/T 22239-2008 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》
4)數(shù)據(jù)處理安全
??? 數(shù)據(jù)脫敏
???? 關(guān)注數(shù)據(jù)脫敏
- 制度流程
????? 脫敏制度規(guī)范、使用者的崗位職責(zé)、業(yè)務(wù)范圍
???? 《ISO&IEC 27038_2014 數(shù)字脫敏規(guī)范》
???? 《DB52/T 1126-2016 政府?dāng)?shù)據(jù) 數(shù)據(jù)脫敏工作指南》
- 技術(shù)工具
?????? 數(shù)據(jù)脫敏工具、與數(shù)據(jù)權(quán)限管理平臺(tái)聯(lián)動(dòng)、脫敏過程的日志留存
?????? 使用哪些數(shù)據(jù)、用數(shù)據(jù)來做什么事情
數(shù)據(jù)分析安全
?數(shù)據(jù)集的關(guān)聯(lián)分析和深度挖掘
- 制度流程
?????? 數(shù)據(jù)資源操作規(guī)范、數(shù)據(jù)分析結(jié)果的風(fēng)險(xiǎn)評(píng)估機(jī)制
?????? 數(shù)據(jù)分析結(jié)果審核機(jī)制(評(píng)估后二次導(dǎo)出)
- 技術(shù)工具
??????? 去標(biāo)識(shí)化記錄工具、敏感數(shù)據(jù)操作日志記錄工具
?????? 《個(gè)人信息去標(biāo)識(shí)化指南》
數(shù)據(jù)正當(dāng)使用
- 制度流程
- ?????? 數(shù)據(jù)權(quán)限管理制度、數(shù)據(jù)使用者安全責(zé)任制度
- 技術(shù)工具
- ?????? 統(tǒng)一身份管理平臺(tái)IAM
數(shù)據(jù)處理環(huán)境安全
數(shù)據(jù)處理過程不被損壞、丟失或竊取
- 制度流程
?????? 保障數(shù)據(jù)處理安全的平臺(tái)的規(guī)范要求
- 技術(shù)工具
?????? 數(shù)據(jù)處理平臺(tái)和數(shù)據(jù)權(quán)限管理平臺(tái)的聯(lián)動(dòng)、多租戶之間的邏輯隔離
?????? >網(wǎng)絡(luò)訪問控制
???????????? 網(wǎng)絡(luò)隔離、堡壘機(jī)、VPN遠(yuǎn)程運(yùn)維
??????? >賬號(hào)管理和身份認(rèn)證
??????? >授權(quán)
??????????? 統(tǒng)一權(quán)限申請(qǐng)和授權(quán)管理系統(tǒng)
??????????? 運(yùn)維和審計(jì)職責(zé)分離
? ????? > 監(jiān)控
??????? ? ? 自動(dòng)化監(jiān)控系統(tǒng)監(jiān)控網(wǎng)絡(luò)設(shè)備、服務(wù)器、數(shù)據(jù)庫(kù)、應(yīng)用集權(quán)、核心業(yè)務(wù)
??????? >審計(jì)
??????????? 所有運(yùn)維操作且只能通過堡壘機(jī)進(jìn)行
5)數(shù)據(jù)交換安全
數(shù)據(jù)導(dǎo)入導(dǎo)出安全
- 制度流程
???????? 導(dǎo)入導(dǎo)出安全制度規(guī)范、安全審核和授權(quán)流程、導(dǎo)入導(dǎo)出介質(zhì)的標(biāo)識(shí)規(guī)范
???????? 規(guī)范目的、導(dǎo)入導(dǎo)出場(chǎng)景、安全要求、崗位職責(zé)說明、導(dǎo)入導(dǎo)出工具導(dǎo)入導(dǎo)出流程
- 技術(shù)工具
???????? 導(dǎo)入導(dǎo)出審核流程在線平臺(tái)、導(dǎo)入導(dǎo)出日志記錄
????????? 建立獨(dú)立的數(shù)據(jù)導(dǎo)入導(dǎo)出安全控制平臺(tái),或者與在統(tǒng)一的用戶認(rèn)證平臺(tái)、權(quán)限管理平臺(tái)、流程審批平臺(tái)、監(jiān)控審計(jì)平臺(tái)中支持?jǐn)?shù)據(jù)導(dǎo)入導(dǎo)出的安全控制功能
??????? 《GB/T 35274-2017 信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》
數(shù)據(jù)共享安全
- 制度流程
???????? 數(shù)據(jù)共享原則和保護(hù)措施
???????? 涉及部門的職責(zé)和權(quán)限
???????? 共享的數(shù)據(jù)類型、內(nèi)容、格式、常見場(chǎng)景做細(xì)化的規(guī)范要求
???????? 數(shù)據(jù)共享的審核流程、審計(jì)策略和審計(jì)日志管理規(guī)范
???????? 第三方的數(shù)據(jù)交換加工平臺(tái)的安全要求
- 技術(shù)工具
???????? 數(shù)據(jù)共享審核流程的在線平臺(tái)
數(shù)據(jù)發(fā)布安全
- 制度流程
???????? 防止出現(xiàn)違規(guī)對(duì)外披露造成對(duì)組織名譽(yù)的影響
???????? 明確數(shù)據(jù)發(fā)布的內(nèi)容和范圍
???????? 數(shù)據(jù)發(fā)布相關(guān)人員職責(zé)和分工
???????? 數(shù)據(jù)發(fā)布的管理和審核流程
???????? 數(shù)據(jù)發(fā)布事件應(yīng)急處理流程
???????? 數(shù)據(jù)發(fā)布的監(jiān)管要求
- 技術(shù)工具
???????? 公共服務(wù)平臺(tái)、數(shù)據(jù)開放平臺(tái)
數(shù)據(jù)接口安全
主要指API接口
攻擊方式:偽裝攻擊、篡改攻擊、重放攻擊、數(shù)據(jù)信息監(jiān)聽
- 制度流程
??????? XX接口開發(fā)規(guī)范
????? 《GB/T 32908-2016 非機(jī)構(gòu)化數(shù)據(jù)訪問接口規(guī)范》
- 技術(shù)工具
?????? 通過協(xié)議方式控制
6)數(shù)據(jù)銷毀安全
數(shù)據(jù)銷毀處置
刪除文件:操作簡(jiǎn)單,并不能擦除磁盤數(shù)據(jù)區(qū)信息
格式化硬盤:多種格式化選擇,數(shù)據(jù)區(qū)數(shù)據(jù)依然可以恢復(fù)
?文件粉碎軟件:可信度和安全性不高
《GA/T 1143-2014 信息安全技術(shù) 數(shù)據(jù)銷毀軟件產(chǎn)品安全技術(shù)要求》
介質(zhì)銷毀處置
存儲(chǔ)介質(zhì)物理性銷毀
《BMB21-2007 涉及國(guó)家秘密的載體銷毀與信息消除安全保密要求》
7)通用安全
數(shù)據(jù)安全策略規(guī)劃
- 制度流程
??????? 方針政策:目標(biāo)原則、監(jiān)管合規(guī)、數(shù)據(jù)生命收起、數(shù)據(jù)資產(chǎn)和分類分級(jí)定義、違規(guī)處罰
??????? 策略規(guī)劃:數(shù)據(jù)安全能力戰(zhàn)略規(guī)劃
- 技術(shù)工具
??????? OA平臺(tái)信息發(fā)布
人力資源安全
人力資源部門主要參與
- 制度流程
???? 人力資源管理過程數(shù)據(jù)安全管理措施,安全文化宣導(dǎo)和安全意識(shí)提升
???? 員工合理分類:正式員工、外包員工、試用期員工、兼職人員
???? 各類場(chǎng)景下的安全要求:招聘、培訓(xùn)、考核、轉(zhuǎn)崗、離職
合規(guī)管理
- 制度流程
?????? 合規(guī)要求清單、整改和考核規(guī)范、全年檢查計(jì)劃(專項(xiàng)檢查、常規(guī)檢查、事件驅(qū)動(dòng)檢查)
數(shù)據(jù)資產(chǎn)管理
包括 資產(chǎn)識(shí)別、資產(chǎn)重要度定級(jí)、資產(chǎn)變更管理與監(jiān)測(cè)、資產(chǎn)風(fēng)險(xiǎn)管理
數(shù)據(jù)資產(chǎn)管理平臺(tái)
數(shù)據(jù)供應(yīng)鏈安全
??? 供應(yīng)鏈協(xié)議管理、數(shù)據(jù)服務(wù)商安全能力評(píng)估
???? 全鏈路數(shù)據(jù)追蹤技術(shù)
元數(shù)據(jù)管理
???? 元數(shù)據(jù)管理系統(tǒng)
數(shù)據(jù)終端安全
??? ? 終端安全管理規(guī)范、終端行為管理規(guī)范、移動(dòng)安全管理平臺(tái)
??? 《GB/T 34977-2017 信息安全技術(shù) 移動(dòng)智能終端數(shù)據(jù)存儲(chǔ)安全技術(shù)要求與測(cè)試評(píng)價(jià)》
??? 《GB/T 34978-2017 信息安全技術(shù) 移動(dòng)智能終端個(gè)人信息保護(hù)技術(shù)要求》
??? 《GB/T 35278-2017 信息安全技術(shù) 移動(dòng)終端安全保護(hù)技術(shù)要求》
監(jiān)控與審計(jì)
??? 數(shù)據(jù)安全日常監(jiān)控和審計(jì)管理辦法
??? 數(shù)據(jù)安全監(jiān)控審計(jì)平臺(tái)
原文鏈接:
數(shù)據(jù)安全能力建設(shè)實(shí)施指南V1.0 (征求意見稿).pdf: (訪問密碼: 1455)
GBT 37988-2019數(shù)據(jù)安全能力成熟度模型.pdf: (訪問密碼: 1455)文章來源:http://www.zghlxwxcb.cn/news/detail-703439.html
數(shù)據(jù)安全能力建設(shè)實(shí)施指南V1.0 (征求意見稿).docx: (訪問密碼: 1455)文章來源地址http://www.zghlxwxcb.cn/news/detail-703439.html
到了這里,關(guān)于DSMM數(shù)據(jù)安全能力成熟度模型及配套實(shí)施指南筆記(附原文下載)的文章就介紹完了。如果您還想了解更多內(nèi)容,請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章,希望大家以后多多支持TOY模板網(wǎng)!