GB/T 37988-2019
信息安全技术数据安全能力成熟度模型
Information security technology—Data security capability maturity model
2019-08-30 发布
2020-03-01 实施
目 次
前言...........................................1
1范围...........................................1
2规范性引用文件......................................1
3术语和定义........................................1
4缩略语..........................................3
5 DSMM 架构.....................................3
5.1成熟度模型架构...................................3
5.2安全能力维度....................................4
5.3能力成熟度等级维度.................................4
5.4数据安全过程维度..................................6
6数据采集安全.......................................7
6.1    PAO1数据分类分级...............................7
6.2    PAO2数据采集安全管理.............................8
6.3    PAO3数据源鉴别及记录.............................9
6.4    PAO4数据质量管理..............................11
7数据传输安全......................................12
7.1    PAO5数据传输加密 .............................12
7.2    PAO6网络可用性管理.............................13
8数据存储安全......................................14
8.1    PAO7存储媒体安全..............................14
8.2    PAO8逻辑存储安全..............................15
8.3    PAO9数据备份和恢复.............................17
9数据处理安全......................................19
9.1    PA1O数据脱敏................................19
9.2    PA11数据分析安全..............................20
9.3    PA12数据正当使用 .............................22
9.4    PA13数据处理环境安全 ...........................23
9.5    PA14数据导入导出安全 ...........................24
10数据交换安全 ....................................26
10.1    PA15数据共享安全.............................26
10.2    PA16数据发布安全.............................27
10.3    PA17数据接口安全 ............................28
11数据销毁安全 ....................................29
11.1    PA18数据销毁处置.............................29
11.2    PA19存储媒体销毁处置...........................31
12通用安全 ......................................32
12.1    PA2O数据安全策略规划 ..........................32
12.2    PA21组织和人员管理............................34
12.3    PA22合规管理 ..............................36
12.4    PA23数据资产管理.............................38
12.5    PA24数据供应链安全............................39
12.6    PA25元数据管理..............................41
12.7    PA26终端数据安全.............................42
12.8    PA27监控与审计 .............................43
12.9    PA28鉴别与访问控制 ...........................44
12.10    PA29需求分析 .............................46
12.11    PA30安全事件应急 ...........................47
附录A （资料性附录）能力成熟度等级描述与GP .................... 49
A.1概述.......................................49
A.2能力成熟度等级1——非正式执行..........................49
A.3能力成熟度等级2——计划跟踪...........................49
A.4 能力成熟度等级3——充分定义..........................50
A.5能力成熟度等级4——量化控制...........................51
A.6能力成熟度等级5——持续优化...........................52
附录B （资料性附录）能力成熟度等级评估参考方法.....................54
附录C （资料性附录）能力成熟度等级评估流程和模型使用方法................55
C.1能力成熟度等级评估流程..............................55
C.2能力成熟度模型使用方法..............................56
参考文献.........................................57