数据安全评估实施指南.docxVIP

1

数据安全评估实施指南

1范围

本标准提出了数据安全评估方法、评估流程、评估报告模板，给出了参考的评估要求。

本标准适用于数据安全评估工作，给出了数据安全评估报告模板，规范了数据安全评估工作的评估方法和评估要点。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其必威体育精装版版本（包括所有的修改单）适用于本文件。

GB/T22239—2019

信息安全技术

网络安全等级保护基本要求

GB/T25069—2010

信息安全技术

术语

GB/T37988—2019

信息安全技术

数据安全能力成熟度模型

3术语和定义

GB/T25069—2010、GB/T37988—2019中界定的以及下列术语和定义适用于本文件。

3.1

信息系统运营者informationsystemoperator

本标准所指政务信息系统运营者，是指政务信息系统的所有者、管理者和服务提供者。

3.2

数据安全datasecurity

采用技术和管理措施来保护数据的必威体育官网网址性、完整性和可用性等。

3.3

敏感数据sensitivedata

由权威机构确定的受保护的信息数据。

注：敏感数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害。

3.4

重要数据keydata

指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能直接影响国家安全、经济运行、社会稳定、公共健康和安全的数据。

注1：重要数据不包括国家秘密。

注2：个人信息一般不属于重要数据，基于海量个人信息形成的统计数据、衍生数据有可能属于重要数据。

2

3.5

个人信息personalinformation

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。

4数据安全能力成熟度模型

4.1模型架构

数据安全能力成熟度模型从多维度考虑数据安全，整体架构由安全能力维度、能力成熟度等级维度和数据安全过程维度构成。

l安全能力维度：安全能力维度明确了组织在数据安全领域应具备的能力，包括：组织建设、制度流程、技术工具和人员能力；

l能力成熟度等级维度：数据安全能力成熟度等级划分为五级，具体包括：1级是非正式执行级，2级是计划跟踪级，3级是充分定义级，4级是量化控制级，5级是持续优化级；

l数据安全过程维度：数据安全过程包括数据生存周期安全过程和通用安全过程。数据生存周期安全过程又包括：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。

4.2安全能力维度

4.2.1能力构成

通过对组织各数据安全过程应具备安全能力的量化，进而评估每项安全过程的实现能力。安全能力分为以下四个方面：

l组织建设：数据安全组织的设立、职责分配和沟通协作；

l制度流程：组织数据安全领域的制度和流程执行；

l技术工具：通过技术手段和产品工具落实安全要求或自动化实现安全工作；

l人员能力：执行数据安全工作人员的安全意识及相关专业能力。

4.2.2组织建设

从承担数据安全工作的组织应具备的组织建设能力角度，根据以下方面进行能力等级区分：

l数据安全组织架构对组织业务的适用性；

l数据安全组织承担的工作职责的明确性；

l数据安全组织运作、沟通协调的有效性。

4.2.3制度流程

从组织在数据安全制度流程的建设以及执行情况角度，根据以下方面进行能力等级区分：

l数据生存周期关键控制节点授权审批流程的明确性；

l相关流程制度的制定、发布、修订的规范性；

l制度流程实施的一致性和有效性。

4.2.4技术工具

3

从组织用于开展数据安全工作的安全技术、应用系统和工具出发，根据以下方面进行能力等级区分：

l数据安全技术在数据全生存周期过程中的利用情况，应对数据全生存周期安全风险的能力；

l利用技术工具对数据安全工作的自动化支持能力，对数据安全制度流程固化执行的实现能力。

4.2.5人员能力

从组织承担数据安全工作的人员应具备的能力出发，根据以下方面进行能力等级区分：

l数据安全人员所具备的数据安全技能是否能够满足实现安全目标的能力要求（对数据相关业务的理解程度以及数据安全专业能力）；

l数据安全人员的数据安全意识以及对关键数据安全岗位员工数据安全能力的培养。

4.3能力成熟度等级维度

依据国家标准，组织的数据安全能力成熟度等级共分为5级，每级的共性和必要性说明如下表所示。

表1数据安全能力成熟度等级共性特征

数据安全能力成熟度等级

共性特征

说明

等级1：

非正式执行

执行BP：组织在数据安全过程中不能有效地执行相关工作