國家標準《信息安全技術 數據安全能力成熟度模型》征求意見稿
責編:mhshi |2017-09-01 11:14:31各相關單位和專家:
經標準編制單位的辛勤努力,現已形成國家標準《信息安全技術 數據安全能力成熟度模型》征求意見稿。為確保標準質量,信安標委秘書處面向社會廣泛征求意見。
懇切希望您對該標準提出寶貴意見。并將意見于2017年10月9日前反饋給信安標委秘書處。
聯系人:許玉娜???xuyuna@cesi.cn?? 010-64102731
全國信息安全標準化技術委員會秘書處
2017年8月25日
標準文件:信息安全技術數據安全能力成熟度模型
編制說明:
《信息安全技術 數據安全能力成熟度模型》(征求意見稿)編制說明
一、任務來源
《信息安全技術 數據安全能力成熟度模型》是國家標準化管理委員會下達的信息安全國家標準制定項目,國標計劃號為XXX。本標準為自主制定標準,牽頭單位為阿里巴巴(北京)軟件服務有限公司,參與標準申請單位有中國電子技術標準化研究院、中國信息安全測評中心、國家信息中心、中國移動通信集團公司、四川大學、中國軟件評測中心、浙江螞蟻小微金融服務集團股份有限公司、公安部第三研究所、中國科學院軟件研究所、國家信息技術安全研究中心、阿里云計算有限公司、深圳市騰訊計算機系統有限公司、騰訊云計算(北京)有限責任公司、北京京東叁佰陸拾度電子商務有限公司、陜西省信息化工程研究院、中國軟件與技術服務股份有限公司、中國科學院計算機網絡信息中心、中國科學院信息工程研究所、北京奇安信科技有限公司、北京數字認證股份有限公司、廣州賽寶認證中心服務有限公司、南京中新賽克科技有限責任公司、深圳開源互聯網安全技術有限公司、啟明星辰信息技術集團股份有限公司、北京聚睿智能科技有限公司、遠江盛邦(北京)網絡安全科技股份有限公司、杭州華途軟件有限公司、深信服科技股份有限公司、勤智數碼科技股份有限公司、北京世紀互聯寬帶數據中心有限公司、北京天融信科技有限公司、成都亞信網絡安全技術產業研究院有限公司等27家單位,歸口單位為全國信息安全標準化技術委員會(簡稱信安標委)。
二、項目的目的與意義
數據安全能力成熟度模型是針對大數據的各參與組織(如:數據提供者、數據消費者、服務提供商等)的自身數據安全能力的評估模型,模型旨在提供一個結構化的數據安全管理實踐框架,幫助大數據的參與組織建立一套關于如何管理數據安全能力的通用術語和共識,指導參與大數據的組織自身以及產業鏈上下游、合作方建立數據安全能力評估模型及其數據安全能力的提升方案,為第三方機構評估組織的數據安全成熟度水平提供了劃分基準,有助于促進大數據行業的健康發展和公平競爭。
數據安全能力成熟度模型可以幫助大數據組織:
- ?構建數據安全管理框架
- ?評估組織的數據安全能力水準
- ?衡量數據安全能力提升的進展
- ?建立自己的數據安全能力提升路線
- 主要工作過程
(一)《大數據安全能力成熟度評估模型》國標研究項目:
1、2016年8月,研究課題下達。
2、2016年8月24日,召開第一次專題研討會;
3、2016年10月19日,信安標委第二次會議周的討論;
4、2016年12月7日,召開第二次專題研討會;
5、2016年12月28日,召開第三次專題研討會;
6、2017年1月17日,召開項目結題評審會,評審通過,輸出研究報告和標準草案。
(二)《大數據安全能力成熟度模型》國家標準制定項目:
1、2017年4月,立項在大數據安全特別工作組獲得通過;
2、2017年5月8日,標準編制組召開第一次專題研討會,并對標準草案進行修改完善;
3、2017年6月7日,標準編制組召開第二次專題研討會,并對標準草案進行修改完善;
4、2017年6月12日,標準編制組召開與《大數據服務安全能力要求》的聯合研討會;
5、2017年6月14日,標準編制組召開第三次專題研討會,并對標準草案進行修改完善;
6、2017年6月21日,標準編制組召開第四次專題研討會,并對標準草案進行修改完善;
7、2017年6月26日,召開專家評審會,收集到對標準草案的修改完善的意見;
8、2017年6月28日,召開大數據安全特別工作組會議,同意根據會議意見,對標準文稿修改后,作為征求意見稿提交;
9、2017年7月12日,標準編制組召開第五次專題研討會,并對標準草案進行修改完善;
10、2017年7月27日,標準編制組召開第六次專題研討會,并對標準草案進行修改完善,形成了《信息安全技術 數據安全能力成熟度模型》的征求意見稿。
三、標準的主要內容
本標準定義了數據安全能力成熟度模型。本模型基于大數據環境下電子化數據在組織機構業務場景中的數據生命周期,定義了數據安全過程域體系。在本體系下從組織建設、制度流程、技術工具以及人員能力四個方面構建了規范性的數據安全能力成熟度分級評估方法。
本標準適用于組織機構評估自身的數據安全能力,也適用于第三方機構對組織機構的數據安全能力進行評估。
本標準涉及的主要內容包括:
1、數據安全能力成熟度模型架構
具體包括模型架構、數據生命周期安全、數據安全過程域體系、安全能力維度、成熟等級定義等。
安全能力維度包括:組織建設、制度流程、技術工具和人員能力四個方面。
2、各成熟度等級下的安全能力通用實踐
具體包括對各能力級別的安全能力通用實踐的描述,五個能力等級分別為:能力等級1—非正式執行、能力級別2—計劃跟蹤、能力級別3 — 充分定義、能力級別4 — 量化控制、能力級別5 — 持續優化。
3、數據生命周期通用的安全基本實踐
數據生命周期通用的安全過程域具體包括:策略與規程、數據與系統資產、組織和人員管理、業務規劃與管理、數據供應鏈管理、合規性管理等。
本標準定義了這些過程域的安全基本實踐。
4、數據生命周期各階段的安全基本實踐
數據生命周期各階段的安全過程域具體包括:數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全等。
本標準定義了這些過程域的安全基本實踐。
5、數據安全能力成熟度等級的評定方法。
6、數據安全能力成熟度模型額使用方法。
五、產業化情況、推廣應用論證和預期達到的經濟效果
《數據安全能力成熟度模型》的標準草案,已經實現在全國各行各業30多家企業的試點落地,很好地幫助這些企業提升自身的數據安全保護能力,促進了數據的交易與共享,有效促進了大數據產業的安全健康發展。
六、采用國際標準和國外先進標準情況
本標準為自主制定。
七、與相關法律法規及國家有關規定、國內相關標準的關系
本標準與現行法律、法規以及國家標準沒有沖突與矛盾的地方。
本標準與全國信息安全標準化技術委員會制定的《大數據服務安全能力要求》相配套,將《大數據服務安全能力要求》中的安全要求作為安全基本實踐的基礎,來實現數據安全能力成熟度的等級評定。
八、有關問題的說明
項目組在標準編制過程中,經歷了內部討論與論證、技術研討會等過程,項目組在工作過程中遵循GB/T1.1—2009編制原則,對國內外現狀做了大量調研,完成了標準草案的編寫工作。在整個過程中未遇到重大意見分歧,但對專家提出的意見和建議,我們做了應答和處理,更好地完善了我們的標準編制工作。
九、有關專利的說明
本標準不涉及專利。
標準編制組
2017年8月