数据安全能力成熟度模型DSMM----四、数据存储安全

本文阅读 17 分钟

1、PA描述

针对组织内需要对数据存储媒体进行访问和使用地场景,提供有效地技术和管理手段,防止对媒体地不当使用而可能引发地数据泄露风险。存储媒体宝库欧洲段设备及网络存储。

2、等级描述

2.1、等级1:非正式执行 该等级的数据安全能力描述如下: 组织建设:未建立成熟稳定的存储媒体安全管理,仅根据临时需求或基于个人经验处理了存储媒体安全需求。

2.2、等级2:计划跟踪 该等级的数据安全能力要求描述如下: ①组织建设:应由业务团队相关人员根据实际业务需求负责执行存储媒体安全管理工作。 ②制度流程:业务团队应明确存储媒体使用、购买、标记的安全制度。 ③人员能力:业务团队中负责相关工作的人员,应熟悉存储媒体安全管理的相关制度要求。    2.3、等级3:充分定义 该等级的数据安全能力要求描述如下: ①组织建设:组织应设立统一负责存储媒体安全管理的岗位和人员。 ②制度流程:   a)应明确存储媒体访问和使用的安全管理规范,建立存储媒体使用的审批和记录流程;   b)应明确购买或获取存储媒体的流程,要求通过可信渠道购买或获取存储媒体,并针对各类存储媒体建立格式化规程;   c)应建立存储媒体资产标识,明确存储媒体存储的数据;   d)应对存储媒体进行长队和随机检查,确保存储媒体的使用符合机构公布的关于存储媒体的使用的制度。 ③技术工具:   a)组织应使用技术工具对存储媒体性能进行监控,包括存储媒体的使用历史、性能指标、错误或损坏情况,对超过安全阙值的存储媒体进行预警;   b)应对存储媒体访问和使用行为进行记录和审计。 ④人员能力:负责该项工作的人员影书系存储媒体安全管理的相关合规要求,熟悉不同存储媒体访问和使用的差异性。    2.4、等级4:量化控制 该等级的数据安全能力要求描述如下: ①技术工具:应建立存储媒体管理系统,确保存储媒体的使用和传递过程得到严密跟踪。    2.5、等级5:持续优化 该等级的数据安全能力要求描述如下: ①技术工具:   a)应持续更新优化组织的存储媒体管理系统和净化工具,以保证存储媒体的安全使用;   b)应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。

1、PA描述

基于组织内部的业务特性和数据存储安全要求,建立针对数据逻辑存储、存储容器等的有效安全控制。

2、等级描述

2.1、等级1:非正式执行 该等级的数据安全能力描述如下: 组织建设:未在任何业务中建立数据逻辑存储环境安全管理,仅根据临时需求或基于个人经验考虑了个别数据逻辑存储系统的安全管理。

2.2、等级2:计划跟踪 该等级的数据安全能力要求描述如下: ①组织建设:应由业务团队相关人员负责相关数据逻辑存储系统(如数据库)的安全管理。 ②技术工具:应采取技术工具支撑逻辑存储系统的安全管理,如配置扫描、身份鉴定、访问控制等。    2.3、等级3:充分定义 该等级的数据安全能力要求描述如下: ①组织建设:   a)组织应设立统一负责数据逻辑存储安全管理的岗位和人员,负责明确整体的数据逻辑存储系统安全管理要求,并推进相关要求的实施。   b)应明确个数据逻辑存储系统的安全管理员,负责执行数据逻辑存储系统、存储设备的安全管理和运维工作。 ②制度流程:   a)应明确数据逻辑存储管理安全规范和配置规划,明确各类数据存储系统的账号权限管理、访问控制、日志管理、加密管理、版本升级等方面的要求;   b)内部的数据存储系统应在上线前遵循统一的配置要求进行有效的安全配置,对使用的外部数据存储系统也应进行有效的安全配置;   c)应明确数据逻辑存储隔离授权于操作要求,确保具备多用户数据存储安全隔离能力。 ③技术工具:   a)应提供数据存储系统配置扫描工具,定期对主要数据存储系统的安全配置进行扫描,以保证符合安全基线要求;   b)应利用技术工具检测逻辑存储系统的数据使用规范性,确保数据存储符合组织的相关安全要求;   c)应具备对个人信息、重要数据等敏感数据的加密存储能力。 ④人员能力:负责该项工作的人员应熟悉数据存储系统架构,并能分析出数据存储面临的安全风险,从而能够保证对各类存储系统的有效安全防护。    2.4、等级4:量化控制 该等级的数据安全能力要求描述如下: ①制度流程:   a)应明确分层的逻辑存储授权管理规则和授权操作要求,具备对数据逻辑存储结构的分层和分级保护;   b)应明确数据分片和分布式存储安全规则,如数据存储完整性规则阿、多副本一致性管理规则、存储转移安全规则,以满足分布式存储下分片数据完整性、一致性和保密性保护要求;   c)组织应根据数据分类分级要求,明确各类各级数据的加密存储要求。 ②技术工具:   a)应建立管理数据存储系统安全配置的技术工具,实现对安全配置情况的统一管理和控制;   b)应建立可伸缩数据存储架构,以满足数据量持续增长、数据分类分级存储等需求;   c)应建立满足应用层、数据层、操作系图层、数据存储层等不同层次数据存储加密需求的数据存储加密架构。 ③人员能力:负责数据加密工作的人员应熟悉各类数据加密算法的性能和瓶颈,并能够基于业务发展的需求、合规的需求制定有效的数据加密方案。    2.5、等级5:持续优化 该等级的数据安全能力要求描述如下: ①制度流程:应定期审核数据库的安全配置情况和权限分配情况,并改进优化相关配置和角色权限包的内容。 ②技术工具:应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。

1、PA描述

通过执行定期的数据备份和恢复,实现对存储数据的冗余管理,保护数据的可用性。

2、等级描述

2.1、等级1:非正式执行 该等级的数据安全能力描述如下: 组织建设:未在任何业务中建立成熟稳定的数据备份恢复机制,仅根据临时需求或基于个人经验对部分数据执行了临时的数据备份和恢复性测试。

2.2、等级2:计划跟踪 该等级的数据安全能力要求描述如下: ①组织建设:业务团队应明确负责数据备份和恢复的岗位和人员。 ②制度流程:业务团队应明确数据备份和恢复的制度。 ③技术工具:应建立数据备份与恢复的技术工具。    2.3、等级3:充分定义 该等级的数据安全能力要求描述如下: ①组织建设:组织应明确负责组织统一的数据备份和恢复管理工作的岗位和人员,负责建立相应的制度流程并部署相关的安全措施。 ②制度流程:   a)应明确数据备份与恢复的管理制度,以满足数据服务可靠性、可用性等安全目标;   b)应明确数据备份和恢复的操作规程,明确定义数据备份和恢复的范围、频率、工具、过程、日志记录、数据保存时长等;   c)应明确数据备份与恢复的定期检查和更新工作程序,包括数据副本的更新频率、保存期限等;   d)应依据数据生存周期和业务规范,建立数据生存周期各阶段数据归档的操作流程;   f)应明确归档数据的压缩或加密要求;   g)应明确归档数据的安全管控措施,非授权用户不能访问归档数据;   h)应识别组织适用的合规要求,按监管部门的要求对相关数据予以记录和保存;   i)应明确数据存储时效性管理规程,明确数据分享、存储、使用和删除的有效期、有效期到期时对数据的处理流程、国企存储数据的安全管理要求;   j)应明确过期存储数据的安全保护机制,对超出有效期的存储数据应具备再次获取数据控制者授权的能力。 ③技术工具:   a)应建立数据备份与恢复的统一技术工具,保证相关工作的自动执行;   b)应建立备份和归档数据安全的技术手段,包括但不限于对备份和归档数据的访问控制、压缩或加密管理、完整性和可用性管理,确保对备份和归档数据的安全性、存储空间的有效利用、安全存储和安全访问。   c)应定期采取必要的技术措施查验备份和归档数据完整性和可用性;   d)应建立过期存储数据机器备份数据彻底删除或匿名化的方法和机制,能够验证数据已被完全删除、无法恢复或无法识别到个人,并告知数据控制者和数据使用者;   f)应通过风险提示和技术手段避免非过期数据的误删除,确保在一定的时间窗口内的误删除数据可以手动恢复;   g)应确保存储架构具备数据存储跨机柜或跨机房容错部署能力。 ④人员能力:   a)负责该项工作的人员应了解数据备份媒体的性能和相关数据的业务特性,能够确定有效的数据备份和恢复机制;   b)负责该项工作的人员应了解数据存储时效性相关的合规性要求,并具备基于业务对合规要求的解读能力和实施能力。    2.4、等级4:量化控制 该等级的数据安全能力要求描述如下: ①制度流程:   a)应明确数据冗余强一致性、弱一致性等控制要求,以满足不同一致性水平需求的数据副本多样性和多变性存储管理要求;   b)应对组织内数据备份的场景、数量、频率进行了定期的统计,了解组织内部数据备份工作的开展情况。 ②技术工具:   a)应建立在线/离线的多级数据归档方式,支持海量数据的有效归档、恢复和使用;   b)应为不同时效性的数据建立分层的数据存储方法、具备按时效性自动迁移数据分层存储的能力;   c)应具备数据副本或数据备份存储的多种压缩策略和实现技术,确保压缩数据副本或数据备份的完整性和可用性;   d)存储系统应具备数据存储跨地域的容灾能力;   f)应通过工具对需要符合数据存储合规要求的数据进行标识;   g)应具备数据时效性自动检测能力,包括但不限于告警、自动删除和拒绝访问等,以保证数据的及时删除、更新和有效性。    2.5、等级5:持续优化 该等级的数据安全能力要求描述如下: ①制度流程:应密切关注国内外数据备份和恢复的优秀解决方案,适当地采纳并用于组织内部的数据备份和恢复工作 ①技术工具:应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。

数据来源:GB/T 37988-2019

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/sycamorelg/article/details/121945337
-- 展开阅读全文 --
Web安全—逻辑越权漏洞(BAC)
« 上一篇 03-13
Redis底层数据结构--简单动态字符串
下一篇 » 04-10

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复