数据安全能力成熟度模型DSMM----七、数据销毁安全

本文阅读 9 分钟

1、PA描述

通过建立针对数据的删除、净化机制,实现对数据的有效销毁,防止因对存储媒体中的数据进行恢复导致的数据泄露风险。

2、等级描述

2.1、等级1:非正式执行 该等级的数据安全能力描述如下: 组织建设:未在任何业务中建立成熟稳定的数据销毁处置,仅根据临时需求或基于个人经验在个别场景考虑了数据销毁的流程和方法。

2.2、等级2:计划跟踪 该等级的数据安全能力要求描述如下: ①组织建设:应由业务团队相关人员负责数据销毁工作。 ②制度流程:应明确核心业务数据销毁方案和存储媒体销毁方案。 ③技术工具:应采用技术工具对核心业务存储媒体的数据内容进行擦除销毁。 ④人员能力:负责数据销毁处置的人员应具备针对数据销毁需求制定对应的数据销毁方案的能力。

2.3、等级3:充分定义 该等级的数据安全能力要求描述如下: ①组织建设:   a)组织应设立统一的数据销毁管理的岗位和人员,负责制定数据销毁处置规范,并推动相关要求在业务部门落地实施。 ②制度流程:   a)应依照数据分类分级建立数据销毁管理的岗位和人员,负责制定数据销毁处置规范,并推动相关要求在业务部门落地实施;   b)应建立规范的数据销毁流程和审批机制,设置销毁相关监督角色,监督操作过程,并对审批和销毁过程进行记录控制;   c)应按国家相关法律和标准销毁个人信息、主要数据等敏感数据。 ③技术工具:   a)应针对网络存储数据,建立硬销毁和软销毁的数据销毁方法和技术,如基于安全策略、基于分布式杂凑算法等网络数据分布式存储的销毁策略与机制;   b)应配置必要的数据销毁技术手段与管控措施,确保以不可逆方式销毁敏感数据机器副本内容。 ④人员能力:   a)负责数据销毁安全工作的人员应熟悉数据销毁的相关合规要求,能够主动根据政策变化和技术发展更新相关知识和技能。    2.4、等级4:量化控制 该等级的数据安全能力要求描述如下: ①制度流程: a)应明确数据销毁效果评估机制,定期对数据销毁效果进行抽样认定; b)应明确已共享或者已被其他用户使用的数据销毁管控措施。 ②技术工具:   a)组织的数据资产管理系统应能够对数据的销毁需求进行明确的标识,并可通过该系统提醒数据管理者及时发起对数据的销毁;   b)应通过技术手段避免对数据的误销毁。    2.5、等级5:持续优化 该等级的数据安全能力要求描述如下: ①制度流程:应定期审核数据存储时长的情况,考虑数据存储成本的需求、法律法规和更新合同的需求,以及相关数据销毁技术的发展现状,对数据销毁的整体方案进行及时更新。 ②技术工具:应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。

1、PA描述

通过建立对存储媒体安全销毁的规程和技术手段,防止因存储媒体丢失、被窃或未授权的访问而导致存储媒体中的数据泄露的安全风险。

2、等级描述

2.1、等级1:非正式执行 该等级的数据安全能力描述如下: 组织建设:未在任何业务中建立成熟稳定的存储媒体销毁管理,仅根据临时需求或基于个人经验对个别存储媒体进行安全销毁。

2.2、等级2:计划跟踪 该等级的数据安全能力要求描述如下: ①组织建设:应由业务团队相关人员负责存储媒体销毁管理。 ②制度流程:应明确核心业务媒体销毁的流程和管理要求。 ③技术工具:应核心业务的存储媒体,应仅采用物理销毁的形式进行销毁。 ④人员能力:相关人员应具备针对数据销毁需求能够明确判断媒体销毁的必要性。

2.3、等级3:充分定义 该等级的数据安全能力要求描述如下: ①组织建设:组织应设立统一负责媒体销毁管理的岗位和人员,负责制定组织媒体销毁管理的制度,并推动相关要求在业务部门落地实施。 ②制度流程:   a)应明确存储媒体销毁处理策略、管理制度和机制、明确销毁对象和流程;   b)应依据存储媒体存储内容的重要性,明确磁媒体、光媒体、半导体媒体等不同类存储媒体的销毁方法;   c)应明确对存储媒体销毁的监控机制,确保对销毁存储媒体的等级、审批、交接等存储媒体销毁过程进行监控。 ③技术工具:   a)组织应提供统一的存储媒体销毁工具,包括但不限于物理销毁、清磁设备等工具,能够实现对各类媒体的有效销毁;   b)应针对闪存盘、硬盘、磁带、光盘等存储媒体数据,建立硬销毁和软销毁的数据销毁方法和技术。 ④人员能力:负责该项工作的人员应能够依据数据销毁的整体需求明确应使用的媒体销毁工具。    2.4、等级4:量化控制 该等级的数据安全能力要求描述如下: ①制度流程: a)应明确存储媒体销毁效果评估机制,定期对存储媒体销毁效果进行抽样认定; b)应定期进行存储媒体销毁记录的检查。 ②技术工具:应由经过认证的机构或设备对存储媒体进行物理销毁,或联系经认证的销毁服务商进行媒体存储工作。    2.5、等级5:持续优化 该等级的数据安全能力要求描述如下: ①制度流程:应不断根据组织的存储媒体销毁需求优化存储媒体销毁的流程以及方案。 ②技术工具: a)应持续更新组织的存储媒体销毁工具,以保证存储媒体销毁的效果。 b)应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。

数据来源:GB/T 37988-2019

本文为互联网自动采集或经作者授权后发布,本文观点不代表立场,若侵权下架请联系我们删帖处理!文章出自:https://blog.csdn.net/sycamorelg/article/details/121945396
-- 展开阅读全文 --
Web安全—逻辑越权漏洞(BAC)
« 上一篇 03-13
Redis底层数据结构--简单动态字符串
下一篇 » 04-10

发表评论

成为第一个评论的人

热门文章

标签TAG

最近回复