模式。模型的内容通常是最佳实践的举例说明。成熟度模型提供一个组织机构衡量其当前的实践、流程、
方法的能力水平的基准,并设置提升的目标和优先级。当一个模型被广泛应用于某个特定的行业,这个
行业可以基于模型,来评估本行业的组织机构的成熟度等级。
3.1.5
组织机构 organization
安排了责任、权利和关系的一组人员和设施。
3.1.6
安全过程域 security process area
实现同一安全目标的一系列数据安全相关活动、过程的集合。
3.1.7
数据脱敏 data desensitization
通过模糊化等方法对原始数据的处理,达到屏蔽敏感信息的一种数据保护方法。
3.1.8
数据产品 data product
直接或间接使用数据的产品,包括但不限于能访问原始数据,提供数据计算、数据存储、数据交换、
数据分析、数据挖掘、数据展示等应用的软件产品。
3.1.9
数据加工 data processing
对原始数据进行抽取、转换、加载的过程;包括开发数据产品或数据分析。
3.1.10
合规 compliance
对数据所适用的法律法规的遵循。
3.2 缩略语
下列缩略语适用于本标准:
ACL 访问控制列表(Access Control List)
CMM 能力成熟度模型(Capability Maturity Model)
DDOS 分布式拒绝服务(Distributed Denial of Service)
DLP 数据防泄漏(Data Loss Prevetion)
TLS 传输层安全(Transport Layer Security)
SSL 安全套接层(Secure Sockets Layer)
4 数据安全能力成熟度模型架构
4.1 模型架构
本标准借鉴能力成熟度模型(CMM)的思想,以CMM的通用实践来衡量能力成熟度等级,以《信息安
全技术 大数据服务安全能力要求》中的安全要求为基础,指导组织机构如何持续达到所对应的安全要
求。数据安全能力成熟度模型的模型架构由以下三方面构成(如图1所示):
——数据生命周期安全:围绕数据生命周期,提炼出大数据环境下,以数据为中心,针对数据生命
周期各阶段建立的相关数据安全过程域体系。
——安全能力维度:明确组织机构在各数据安全领域所需要具备的能力维度,明确为制度流程、人
员能力、组织建设和技术工具四个关键能力的维度。
——能力成熟度等级:基于统一的分级标准,细化组织机构在各数据安全过程域的 5 个级别的能力
成熟度分级要求。
评论0
最新资源