ICS35040

L80.

中華人民共和國國家標準

GB/T37988—2019

信息安全技術數據安全能力成熟度模型

Informationsecuritytechnology—Datasecuritycapabilitymaturitymodel

2019-08-30發布2020-03-01實施

國家市場監督管理總局發布

中國國家標準化管理委員會

GB/T37988—2019

目次

前言

…………………………Ⅲ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義

3………………1

縮略語

4……………………3

架構

5DSMM………………3

成熟度模型架構

5.1……………………3

安全能力維度

5.2………………………4

能力成熟度等級維度

5.3………………4

數據安全過程維度

5.4…………………6

數據采集安全

6……………7

數據分類分級

6.1PA01………………7

數據采集安全管理

6.2PA02…………8

數據源鑒別及記錄

6.3PA03…………9

數據質量管理

6.4PA04………………11

數據傳輸安全

7……………12

數據傳輸加密

7.1PA05………………12

網絡可用性管理

7.2PA06……………13

數據存儲安全

8……………14

存儲媒體安全

8.1PA07………………14

邏輯存儲安全

8.2PA08………………15

數據備份和恢復

8.3PA09……………17

數據處理安全

9……………19

數據脫敏

9.1PA10……………………19

數據分析安全

9.2PA11………………20

數據正當使用

9.3PA12………………22

數據處理環境安全

9.4PA13…………23

數據導入導出安全

9.5PA14…………24

數據交換安全

10…………………………26

數據共享安全

10.1PA15……………26

數據發布安全

10.2PA16……………27

數據接口安全

10.3PA17……………28

數據銷毀安全

11…………………………29

數據銷毀處置

11.1PA18……………29

存儲媒體銷毀處置

11.2PA19………………………31

Ⅰ

GB/T37988—2019

通用安全

12………………32

數據安全策略規劃

12.1PA20………………………32

組織和人員管理

12.2PA21…………34

合規管理

12.3PA22…………………36

數據資產管理

12.4PA23……………38

數據供應鏈安全

12.5PA24…………39

元數據管理

12.6PA25………………41

終端數據安全

12.7PA26……………42

監控與審計

12.8PA27………………43

鑒別與訪問控制

12.9PA28…………44

需求分析

12.10PA29…………………46

安全事件應急

12.11PA30……………47

附錄資料性附錄能力成熟度等級描述與

A()GP……………………49

概述

A.1………………49

能力成熟度等級非正式執行

A.21———………………49

能力成熟度等級計劃跟蹤

A.32———…………………49

能力成熟度等級充分定義

A.43———…………………50

能力成熟度等級量化控制

A.54———…………………51

能力成熟度等級持續優化

A.65———…………………52

附錄資料性附錄能力成熟度等級評估參考方法

B()…………………54

附錄資料性附錄能力成熟度等級評估流程和模型使用方法

C()……55

能力成熟度等級評估流程

C.1…………55

能力成熟度模型使用方法

C.2…………56

參考文獻

……………………57

Ⅱ

GB/T37988—2019

前言

本標準按照給出的規則起草

GB/T1.1—2009。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位阿里巴巴北京軟件服務有限公司中國電子技術標準化研究院中國信息安全

:()、、

測評中心北京奇安信科技有限公司聯想北京有限公司公安部第三研究所清華大學中國網絡安

、、()、、、

全審查技術與認證中心中國科學院軟件研究所中國移動通信集團公司阿里云計算有限公司北京天

、、、、

融信科技股份有限公司中國科學院信息工程研究所陜西省信息化工程研究院西北大學浪潮電子信

、、、、

息產業股份有限公司北京易華錄信息技術股份有限公司新華三技術有限公司勤智數碼科技股份有

、、、

限公司北京數字認證股份有限公司啟明星辰信息技術集團股份有限公司海信集團有限公司銀川市

、、、、

大數據產業發展服務中心南京中新賽克科技有限責任公司北京微步在線科技有限公司上海觀安信

、、、

息技術有限公司華為技術有限公司三六零科技股份有限公司中電長城網際系統應用有限公司

、、、。

本標準主要起草人朱紅儒劉賢剛胡影賈雪飛白曉媛葉曉俊李克鵬潘亮薛勇謝安明

:、、、、、、、、、、

梅婧婷金濤葉潤國孫明亮張宇光徐羽佳杜躍進陳彩芳柯妍張玉東徐雨晴張世長宋玲娓

、、、、、、、、、、、、、

閔京華鄭新華苗光勝劉玉嶺潘正泰張銳卿任衛紅任蘭芳蔡曉丹常玲趙蓓張大江唐海龍

、、、、、、、、、、、、、

孫曉軍李正孫騫趙江馬紅霞魯晉王川杜青峰薛坤尤其王偉張屹何軍張興

、、、、、、、、、、、、、。

Ⅲ

GB/T37988—2019

信息安全技術數據安全能力成熟度模型

1范圍

本標準給出了組織數據安全能力的成熟度模型架構規定了數據采集安全數據傳輸安全數據存

,、、

儲安全數據處理安全數據交換安全數據銷毀安全通用安全的成熟度等級要求

、、、、。

本標準適用于對組織數據安全能力進行評估也可作為組織開展數據安全能力建設時的依據

,。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息安全技術術語

GB/T25069—2010

信息技術安全技術信息安全管理體系概述和詞匯

GB/T29246—2017

3術語和定義

和界定的以及下列術語和定義適用于本文件

GB/T25069—2010GB/T29246—2017