说明
《GBT 37988-2019 信息安全技术 数据安全能力成熟度模型》和《数据安全能力建设实施指南》原文下载链接在文末
2020年3月1日《GBT 37988-2019 信息安全技术 数据安全能力成熟度模型》正式实施,该标准适用于对企业、组织对数据安全能力进行评估和作为数据安全能力建设的实施依据。为便于学习和理解DSMM标准模型,相关起草单位还同步制定了配套的数据安全能力建设实施指南,以数据安全能力成熟度三级为目标,解读如何实施和落地相应数据安全措施。
本文以下内容是在学习实施指南时的记录笔记,以梳理结构、体现重点为原则,适用于对DSMM和数据安全知识有一定了解的人群。若在此之前没有了解过DSMM,建议先在文章末尾链接处下载原文通读后再学习本文。
笔记
37988数据安全能力成熟度模型 配套指南,以等级三级为目标
1.数据安全能力建设框架
2.数据安全组织建设
1)决策层
高管、数据安全官、其他业务的高管
- 制定组织的数据安全目标和愿景
- 数据安全的策略和规划、制度与规范进行发布
- 对组织的数据安全建设的提供必要的资源
- 对公司的重大数据安全事件做协调和决策
2)管理层
数据安全管理团队,数据安全工作最核心的部门
- 制定数据安全整体解决方案并组织实施
- 制定数据安全管理策略和规划,统一数据安全规范体系
- 建立监控审计机制
- 数据安全技术和意识培训
- 做组织架构的运作机制
- 与外部组织机构保持沟通
3)执行层
数据安全专职人员、业务部门的数据安全接口人、数据所有者
- 数据安全风险的评估和改进
- 数据安全运营工作
- 数据安全事件的跟进和处理
- 做数据分类分级工作
- 数据安全专项管理和实施
4)员工和合作伙伴(第三方)
- 履行组织对数据安全的要求,部署数据安全工作
- 培训、考试、学习等提升数据安全意识
- 识别安全风险、判断风险并降低风险
5)监督层
具备独立性、组织内部的审计部门
- 监督数据安全制度落地执行情况
- 监督数据安全工具执行有效性
- 监控与审计数据安全风险
-------------------------------------------------------------------------------
不同部门之间联动
业务新增、业务运营、外部合作、安全事件、安全执行
| 人力资源 |
安全遵守要求、人员违规的处置 |
| IT部门 |
介质安全管理、防护措施部署、管理策略执行 |
| 法务部门 |
政策法规、数据安全合规 |
| 风险管理 |
数据安全管理的协助,风控 |
| 公共关系部门 |
信息发布的敏感信息控制 |
3.数据安全人员能力
4.数据安全制度流程
5.数据安全技术工具
6.数据安全各阶段实施解读
1)数据采集
数据分类分级
- 制度流程:说明 分类分级的角色和职责、分类分级原则、实施流程、不同级别数据的保护细则、建立和变更审核流程
- 技术工具:
采集安全管理
- 制度流程:
数据采集规则:采集目的、采集用途、采集方式、采集范围
采集岗位职责:负责采集相关的工作岗位和职责
数据采集评估:风险评估方法、评估周期、评估对象、整改要求
采集过程保护:保护数据类型、安全措施、审计要求
合规性说明:相关法律法规和监督要求
- 技术工具:采集工具、采集过程的防泄漏安全技术措施
数据源鉴别及记录
- 制度流程:
数据采集来源管理
数据溯源管理
- 技术工具
采集数据的识别和记录:元数据管理、数据血缘
数据源的识别和记录:身份鉴别机制、指纹识别机制
数据质量管理
- 制度流程:数据质量定义、数据质量校验方法、质量管理实施流程、质量管理规范
- 技术工具:对离线数据采取波动值校验、固定值比较的校验方式
2)数据传输
数据传输加密
数据传输通道加密是利用传输协议对数据加密,不是对发送的传输流量加密。
数据传输中的加密可以是发送前对数据加密、传输时用协议加密
常见数据传输加密的场景:不可靠网络内传输、高安全等级到低安全等级、等保三级以上的信息系统中传输
较多采用VPN加密传输通道、使用SSL/TLS加密传输协议
- 制度流程:加密方式、加密算法、密钥有效期
- 技术工具
密钥管理系统
传输端点身份鉴别
加密工具
堡垒机:管理人员通过堡垒机对密钥管理系统和数据加密策略配置进行操作。
网络可用性管理
- 制度流程:GBT 25068.1-2012 《信息技术 安全技术 IT网络安全 第1部分:网络安全管理》
- 技术工具:
关键链路、网络节点的冗余建设
负载均衡、网络安全防护设备
是否对关键业务系统、链路做了冗余建设
3)数据存储安全
存储介质安全
物理实体介质(磁盘/硬盘)、虚拟存储介质(容器/虚拟盘)
- 制度流程
存储介质分类及定义
存储介质购买及审批
存储介质审批及净化处理要求
存储介质标记要求
存储介质入库和保存要求
安全管理员职责
附件:使用/维修/报废登记表
- 技术工具
数据消除工具,基于国家保密局颁发的BMB2T-2007《涉及国家秘密的载体销毁与信息消除安全保密要求》
逻辑存储安全
针对存储容器和存储架构的安全要求
认证鉴权、访问控制、日志管理、通信举证、文件防病毒、安全配置策略
- 制度流程
参考《GB/T 31916.1-2015 信息技术云数据存储和管理 第1部分:总则》
- 技术工具
对存储系统的安全配置扫描、采集存储系统的操作日志
数据备份与恢复
- 制度流程
备份和恢复管理规范
《GB/T 31500-2015 信息安全技术 存储介质数据恢复服务要求》
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》
4)数据处理安全
数据脱敏
关注数据脱敏
- 制度流程
脱敏制度规范、使用者的岗位职责、业务范围
《ISO&IEC 27038_2014 数字脱敏规范》
《DB52/T 1126-2016 政府数据 数据脱敏工作指南》
- 技术工具
数据脱敏工具、与数据权限管理平台联动、脱敏过程的日志留存
使用哪些数据、用数据来做什么事情
数据分析安全
数据集的关联分析和深度挖掘
- 制度流程
数据资源操作规范、数据分析结果的风险评估机制
数据分析结果审核机制(评估后二次导出)
- 技术工具
去标识化记录工具、敏感数据操作日志记录工具
《个人信息去标识化指南》
数据正当使用
- 制度流程
- 数据权限管理制度、数据使用者安全责任制度
- 技术工具
- 统一身份管理平台IAM
数据处理环境安全
数据处理过程不被损坏、丢失或窃取
- 制度流程
保障数据处理安全的平台的规范要求
- 技术工具
数据处理平台和数据权限管理平台的联动、多租户之间的逻辑隔离
>网络访问控制
网络隔离、堡垒机、VPN远程运维
>账号管理和身份认证
>授权
统一权限申请和授权管理系统
运维和审计职责分离
> 监控
自动化监控系统监控网络设备、服务器、数据库、应用集权、核心业务
>审计
所有运维操作且只能通过堡垒机进行
5)数据交换安全
数据导入导出安全
- 制度流程
导入导出安全制度规范、安全审核和授权流程、导入导出介质的标识规范
规范目的、导入导出场景、安全要求、岗位职责说明、导入导出工具导入导出流程
- 技术工具
导入导出审核流程在线平台、导入导出日志记录
建立独立的数据导入导出安全控制平台,或者与在统一的用户认证平台、权限管理平台、流程审批平台、监控审计平台中支持数据导入导出的安全控制功能
《GB/T 35274-2017 信息安全技术 大数据服务安全能力要求》
数据共享安全
- 制度流程
数据共享原则和保护措施
涉及部门的职责和权限
共享的数据类型、内容、格式、常见场景做细化的规范要求
数据共享的审核流程、审计策略和审计日志管理规范
第三方的数据交换加工平台的安全要求
- 技术工具
数据共享审核流程的在线平台
数据发布安全
- 制度流程
防止出现违规对外披露造成对组织名誉的影响
明确数据发布的内容和范围
数据发布相关人员职责和分工
数据发布的管理和审核流程
数据发布事件应急处理流程
数据发布的监管要求
- 技术工具
公共服务平台、数据开放平台
数据接口安全
主要指API接口
攻击方式:伪装攻击、篡改攻击、重放攻击、数据信息监听
- 制度流程
XX接口开发规范
《GB/T 32908-2016 非机构化数据访问接口规范》
- 技术工具
通过协议方式控制
6)数据销毁安全
数据销毁处置
删除文件:操作简单,并不能擦除磁盘数据区信息
格式化硬盘:多种格式化选择,数据区数据依然可以恢复
文件粉碎软件:可信度和安全性不高
《GA/T 1143-2014 信息安全技术 数据销毁软件产品安全技术要求》
介质销毁处置
存储介质物理性销毁
《BMB21-2007 涉及国家秘密的载体销毁与信息消除安全保密要求》
7)通用安全
数据安全策略规划
- 制度流程
方针政策:目标原则、监管合规、数据生命收起、数据资产和分类分级定义、违规处罚
策略规划:数据安全能力战略规划
- 技术工具
OA平台信息发布
人力资源安全
人力资源部门主要参与
- 制度流程
人力资源管理过程数据安全管理措施,安全文化宣导和安全意识提升
员工合理分类:正式员工、外包员工、试用期员工、兼职人员
各类场景下的安全要求:招聘、培训、考核、转岗、离职
合规管理
- 制度流程
合规要求清单、整改和考核规范、全年检查计划(专项检查、常规检查、事件驱动检查)
数据资产管理
包括 资产识别、资产重要度定级、资产变更管理与监测、资产风险管理
数据资产管理平台
数据供应链安全
供应链协议管理、数据服务商安全能力评估
全链路数据追踪技术
元数据管理
元数据管理系统
数据终端安全
终端安全管理规范、终端行为管理规范、移动安全管理平台
《GB/T 34977-2017 信息安全技术 移动智能终端数据存储安全技术要求与测试评价》
《GB/T 34978-2017 信息安全技术 移动智能终端个人信息保护技术要求》
《GB/T 35278-2017 信息安全技术 移动终端安全保护技术要求》
监控与审计
数据安全日常监控和审计管理办法
数据安全监控审计平台
原文链接:
数据安全能力建设实施指南V1.0 (征求意见稿).pdf: (访问密码: 1455)
GBT 37988-2019数据安全能力成熟度模型.pdf: (访问密码: 1455)文章来源:https://www.toymoban.com/news/detail-703439.html
数据安全能力建设实施指南V1.0 (征求意见稿).docx: (访问密码: 1455)文章来源地址https://www.toymoban.com/news/detail-703439.html
到了这里,关于DSMM数据安全能力成熟度模型及配套实施指南笔记(附原文下载)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!
