数据安全能力成熟度模型DSMM----二、数据采集安全

本文阅读 17 分钟

1、PA描述

基于法律法规以及业务需求确定组织内部的数据分类分级方法,对生成或收集的数据进行分类分级标识。

2、等级描述

2.1、等级1:非正式执行 该等级的数据安全能力描述如下: 制度流程:组织未在任何业务建立成熟稳定的数据分类分级,仅根据临时需求或基于个人经验,对部分数据进行了分类或分级。

2.2、等级2:计划跟踪 该等级的数据安全能力要求描述如下: ①组织建设:应由业务团队相关人员负责相关业务的数据分类分级。 ②制度流程:应根据业务特性和外部合规要求,对核心业务的关键数据进行分类分级管理。

2.3、等级3:充分定义 该等级的数据安全能力要求描述如下: ①组织建设:组织应设立负责数据安全分类分级工作的管理岗位和人员,主要负责定义组织整体的数据分类分级的安全原则。 ②制度流程:   a)应明确数据分类分级原则、方法和操作指南;   b)应对组织的数据进行分类分级标识和管理;   c)应对不类别和级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施;   d)应明确数据分类分级变更审批流程和机制,通过该流程保证对数据分类分级的变更操作及其结果符合组织的要求。 ③技术工具:应建立数据分类分级打标或数据资产管理工具,实现对数据的分类分级自动标识、标识结果发布、审核等功能。 ④人员能力:负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感数据。

2.4、等级4:量化控制 该等级的数据安全能力要求描述如下: ①技术工具:   a)应记录自动分类分级结果与人工审核后的分类分级结果之间的差异,定期分析改进分类分级标识工具,提升工具处理的准确度。   b)应对数据分类分级的操作、变更过程进行日志记录和分析,定期通过日志分析等技术手段进行变更操作审计,数据分类分级可追溯。    2.5、等级5:持续优化 该等级的数据安全能力要求描述如下: ①制度流程:应定期评审数据分类分级的规范和细则,考虑其内容是否完全覆盖了当前的业务,并执行持续的改进优化工作; ②技术工具:   a)应跟踪数据分类分级标识效果,持续改进数据分类分级的技术工具;   b)应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。

1、PA描述

在采集外部客户、合作伙伴等相关方数据的过程中,组织应明确采集数据的目的和用途,确保满足数据源的真实性、有效性和最少够用等原则要求,并明确数据采集渠道、规范数据格式以及相关的流程和方式,从而保证数据采集的合规性、正当性、一致性。

2、等级描述

2.1、等级1:非正式执行 该等级的数据安全能力描述如下: 制度流程:未在任何业务建立成熟稳定的数据采集安全管理,仅根据临时需求或基于个人经验对个别数据采集进行安全管理。

2.2、等级2:计划跟踪 该等级的数据安全能力要求描述如下: ①组织建设:应由业务团队相关人员负责数据采集安全管理。 ②制度流程:   a)应明确核心业务数据采集原则,保证该业务数据采集的合法、正当;   b)核心业务应明示个人信息采集的目的、方式和范围,并经被收集者同意。    2.3、等级3:充分定义 该等级的数据安全能力要求描述如下: ①组织建设:组织应设立数据采集安全管理的岗位和人员,负责制定相关的数据采集安全管理的制度,推动相关要求,流程的落地,并对具体业务或香米的风险评估提供咨询和支持。 ②制度流程:   a)应明确组织的数据采集原则,定义业务的数据采集流程和方法;   b)应明确数据采集的渠道及外部数据源,并对外部数据源的合法性进行确认;   c)应明确数据采集范围、数量和频度,确保不收集与提供服务无关的个人信息和重要数据;   d)应明确组织数据采集的风险评估流程,针对采集的数据源、频度、渠道、方式、数据范围和类型进行风险评估;   e)应明确数据采集过程中个人信息和重要数据的知悉范围和需要采取的控制措施,确保采集过程中的个人信息和数据不被泄露;   f)应明确自动化采集数据的范围。 ③技术工具:   a)应依据统一的数据采集流程建设数据采集相关的工具,以保证组织数据采集流程实现的一致性,同事相关系统应具备详细的日志记录功能,确保数据采集授权过程的完整记录;   b)应采取技术手段保证数据采集过程中个人信息和重要数据不被泄露。 ④人员能力:负责该项工作的人员应能够充分理解数据采集的法律要求、安全和业务需求,并能过够根据组织的业务提出针对性的解决方案。

2.4、等级4:量化控制 该等级的数据安全能力要求描述如下: ①制度流程:应明确数据采集安全管理效果的评估方式,如数据采集安全管理在业务的覆盖率、制度流程执行效果、数据采集授权率等; ②技术工具:   a)应采取必要的技术手段对采集的数据进行校验;   b)应跟踪和记录数据采集和获取过程,支持对数据采集和获取操作过程的可追溯。    2.5、等级5:持续优化 该等级的数据安全能力要求描述如下: ①制度流程:数据采集安全管理应持续优化,持续跟踪数据采集安全管理执行效果,新业务产生的的需求、行业新技术和最佳实现、合规新要求新变化等; ②技术工具:   a)应根据制度流程的更新,不断升级优化数据采集工具;   b)应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。

1、PA描述

对产生数据的数据源进行身份鉴别和记录,防止数据仿冒和数据伪造。

2、等级描述

2.1、等级1:非正式执行 该等级的数据安全能力描述如下: 组织建设:未对任何业务的采集数据源进行有效管理,仅根据临时需求或基于个人经验对采集的数据源进行临时记录。

2.2、等级2:计划跟踪 该等级的数据安全能力要求描述如下: ①组织建设:应由业务团队相关人员负责数据源鉴别和记录。 ②制度流程:核心业务系统的在线数据采集和外部第三方采集。均应建立了相应机制执行数据源的鉴别和记录 ③技术工具:核心业务应具有技术工具支持对数据源的鉴别和记录。

2.3、等级3:充分定义 该等级的数据安全能力要求描述如下: ①组织建设:应由业务团队相关人员负责对数据源进行鉴别和记录。 ②制度流程:应明确数据源管理的制度,对组织采集的数据源进行鉴别和记录。 ③技术工具:   a)组织应采取技术手段对外部收集的数据和数据源进行识别和记录;   b)应对关键追溯数据进行备份,并采取技术收单对追溯数据进行安全保护。 ④人员能力:负责该项工作的人员应理解数据源鉴别标准和组织内部数据采集的业务,能够结合实际情况执行。

2.4、等级4:量化控制 该等级的数据安全能力要求描述如下: ①制度流程:   a)组织应定义了数据追溯策略要求、追溯数据格式、追溯数据安全存储与使用的管理制度等。根据组织内的业务梳理数据源的类型,并明确在关键的数据管理系统(如数据库管理系统、元数据管理系统)上对数据源类型标记的要求。   b)应明确基于追溯数据的数据业务与法律法规合规性审核的机制,并依据审核结果增强或改进与数据服务相关的访问控制与合规性保障机制和策略。 ②技术工具:组织关键的数据管理系统中应提供了标记数据类型的功能,从而实现对组织内部各类数据源的统计与分析。

2.5、等级5:持续优化 该等级的数据安全能力要求描述如下: ①制度流程:应对数据源鉴别方式和分类方法进行持续的改进,基于业务的发展变化以及行业最佳实践,提升数据管理的成效。 ②技术工具:   a)应面向制度流程的更新、持续改进工具在数据鉴别、记录和追溯等方面的服务能力;   b)应参与国际、国家或行业相关标准指定。在业界分享最佳实践。

1、PA描述

建立组织的数据质量管理体系,保证对数据采集过程中收集/产生的数据的准确性、一致性和完整性。

2、等级描述

2.1、等级1:非正式执行 该等级的数据安全能力描述如下: 组织建设:未在任何业务建立成熟稳定的数据质量管理或监控,仅根据临时需求或基于个人经验考虑数据质量管理。

2.2、等级2:计划跟踪 该等级的数据安全能力要求描述如下: ①组织建设:应由业务团队相关人员根据业务需求进行数据质量管理。 ②制度流程:在核心业务中应将数据质量管理或监控作为必要的环节。

2.3、等级3:充分定义 该等级的数据安全能力要求描述如下: ①组织建设:组织应设立数据质量管理岗位和人员,负责制定统一的数据质量管理要求,明确对数据质量进行管理和监控的责任部门或人员。 ②制度流程:   a)应明确数据质量管理相关的要求,包含数据格式要求、数据完整性要求、数据源质量评价标准等;   b)应明确数据采集过程中质量监控规则,明确数据质量监控范围及监控方式;   c)应明确组织的数据清洗、转换和加载操作相关的安全管理规范,明确执行的规则和方法、相关人员权限、完整性和一致性要求等。 ③技术工具:应利用技术工具实现对关键数据进行数据质量管理和监控,实现异常数据及时告警或更正。 ④人员能力:负责该项工作的人员应了解数据采集阶段的数据质量控制要素,能够基于组织的业务特点开展数据质量评估工作。

2.4、等级4:量化控制 该等级的数据安全能力要求描述如下: ①制度流程:   a)应明确数据质量分级标准,明确不同级别和类型的数据采集、清洗、转换等数据采集处理流程质量要求。   b)应定期对数据质量进行分析、预判和盘点,明确数据质量问题定位和修复时间要求。    2.5、等级5:持续优化 该等级的数据安全能力要求描述如下: ①组织建设:应在组织层面实现数据质量管理的可持续化,建立数据质量管理过程的有效性和效率目标,建立数据质量管理岗位人员与各业务团队的数据管理人员之间的有效沟通、反馈机制,能够持续、及时地针对数据质量管理工作进行改进。 ②技术工具:   a)应建立数据质量的技术指标,并通过相关管理系统评估数据质量管理的水平;   b)应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。

数据来源:GB/T 37988-2019

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/sycamorelg/article/details/121945303
-- 展开阅读全文 --
Web安全—逻辑越权漏洞(BAC)
« 上一篇 03-13
Redis底层数据结构--简单动态字符串
下一篇 » 04-10

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复