GB/T 37988-2019 标准规范下载简介
GB/T 37988-2019 信息安全技术 数据安全能力成熟度简介:
GB/T 37988-2019《信息安全技术 数据安全能力成熟度》是中国国家标准,由全国信息安全标准化技术委员会于2019年发布。这个标准主要为组织提供了一个评估和改进其数据安全管理能力的框架,帮助组织建立、实施、监视和改进数据安全管理体系,提升数据安全保护水平。
这个参考了能力成熟度的思想,将数据安全管理的能力分为五个成熟度等级:初始级、受管理级、已定义级、量化管理级和优化级。每个等级都定义了一系列的具体实践要求,涵盖了数据安全策略、组织架构、人员管理、过程管理、技术实施等多个方面。
通过这个,组织可以根据自身情况,确定当前的数据安全成熟度等级,然后根据更高等级的要求,制定改进计划,逐步提升数据安全管理水平,保护组织的重要数据免受泄露、篡改和丢失等风险。
总的来说,GB/T 37988-2019是一个指导企业提升数据安全管理能力的重要工具,尤其对于面临严峻数据安全挑战的组织,具有很高的实用价值。
GB/T 37988-2019 信息安全技术 数据安全能力成熟度部分内容预览:
该等级的数据安全能力要求描述如下: 技术工具:应通过相关指标定量分析网络可用性及数据防泄漏服务现状,并有针对性地解决问 升网络可用性(BP.06.09)
7.2.2.5等级5.持续优化
该等级的数据安全能力要求描述如下: 技术工具: a)应实现网络安全设备的健康状态检查及自动化切换(BP.06.10); b)应参与国际、国家或行业相关标准制定。在业界分享最佳实践《建筑给水排水设备器材术语 GB/T 16662-2008》,成为行业标杆(BP.06.11)。
该等级的数据安全能力要求描述如下: 技术工具: a)应实现网络安全设备的健康状态检查及自动化切换(BP.06.10); b)应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆(BP.06.11)。
8.1PA07存储媒体安全
针对组织内需要对委 有效的技术和管理手段,防止对媒体 的不当使用而可能引发的数
8.1.2.1等级1非正式执行
该等级的数据安全能力描述如下 组织建设:未建立成熟稳定的存储媒体安全管理,仅根据临时需求或基于个人经验处理了存储媒 全需求(BP.07.01)。
8.1.2.2等级2:计划跟踪
该等级的数据安全能力要求描述如下: a)组织建设:应由业务团队相关人员根据实际业务需求负责执行存储媒体安全管理工作(BP.07.02)
GB/T379882019
b)制度流程:业务团队应明确存储媒体使用、购买、标记的安全制度(BP.07.03)。 人员能力:业务团队中负责相关工作的人员,应熟悉存储媒体安全管理的相关制度要求 (BP.07.04)
8.1.2.3等级3.充分定义
该等级的数据安全能力要求描述如下: a)组织建设:组织应设立统一负责存储媒体安全管理的岗位和人员(BP.07.05)。 b)制度流程: 1) 应明确存储媒体访问和使用的安全管理规范,建立存储媒体使用的审批和记录流程 (BP.07.06); 2 应明确购买或获取存储媒体的流程,要求通过可信渠道购买或获取存储媒体,并针对各类 存储媒体建立格式化规程(BP.07.07); 3 应建立存储媒体资产标识,明确存储媒体存储的数据(BP.07.08); 4) 应对存储媒体进行常规和随机检查,确保存储媒体的使用符合机构公布的关于存储媒体 使用的制度(BP.07.09)。 c)技术工具: 1 组织应便用技术工其对存储媒体性能进行监控,包括存储媒体的使用历史、性能指标、错 误或损坏情况,对超过安全阅值的存储媒体进行预警(BP.07.10); 2 应对存储媒体访问和使用行为进行记录和审计(BP.07.11)。 d)人员能力:负责该项工作的人员应熟悉存储媒体安全管理的相关合规要求,熟悉不同存储媒体 访问和使用的差异性(BP.07.12)
该等级的数据安全能力要求描述如下: a)组织建设:组织应设立统一负责存储媒体安全管理的岗位和人员(BP.07.05)。 制度流程: 1) 应明确存储媒体访问和使用的安全管理规范,建立存储媒体使用的审批和记录流程 (BP.07.06); 2 应明确购买或获取存储媒体的流程,要求通过可信渠道购买或获取存储媒体,并针对各类 存储媒体建立格式化规程(BP.07.07); 3 应建立存储媒体资产标识,明确存储媒体存储的数据(BP.07.08); 4) 应对存储媒体进行常规和随机检查,确保存储媒体的使用符合机构公布的关于存储媒体 使用的制度(BP.07.09)。 c)技术工具: 1 组织应使用技术工具对存储媒体性能进行监控,包括存储媒体的使用历史、性能指标、错 误或损坏情况,对超过安全阅值的存储媒体进行预警(BP.07.10); 2) 应对存储媒体访问和使用行为进行记录和审计(BP.07.11)。 d)人员能力:负责该项工作的人员应熟悉存储媒体安全管理的相关合规要求,熟悉不同存储媒体 访问和使用的差异性(BP.07.12)。
8.1.2.4等级4.量化控制
该等级的数据安全能力要求描述如下 技术工具:应建立存储媒体管理系统,确保存储媒体的使用和传递过程得到严密跟踪(BP.07.13)
8.1.2.5等级5.持续优化
该等级的数据安全能力要求描述如下: 技术工具: a)应持续更新优化组织的存储媒体管理系统和净化工具,以保证存储媒体的安全使用(BP.07.14); b)应参与国际、国家或行业相关标准制定 享最佳实践,成为行业标杆(BP.07.15)
8.2PA08逻辑存储安全
基于组织内部的业务特性和数据存储安全要求,建立针对数据逻辑存储、存储容器等的有效安全 控制
8.2.2.1等级1.非正式执行
该等级的数据安全能力描述如下 组织建设:未在任何业务中建立数据逻辑存储环境安全管理,仅根据临时需求或基于个人经验考 个别数据逻辑存储系统的安全管理(BP.08.01)
8.2.2.2等级2.计划跟踪
该等级的数据安全能力要求描述如下: a 组织建设:应由业务团队相关人员负责相关数据逻辑存储系统(如数据库)的安全管理(BP.08.02)。 b 技术工具:应采取技术工具支撑逻辑存储系统的安全管理,如配置扫描、身份鉴别、访问控制等 (BP.08.03)
2.2.3等级3:充分定义
该等级的数据安全能力要求描述如下: a)组织建设: 1)组织应设立统一负责数据逻辑存储安全管理的岗位和人员,负责明确整体的数据逻辑存 储系统安全管理要求,并推进相关要求的实施(BP.08.04); 2 应明确各数据逻辑存储系统的安全管理员,负责执行数据逻辑存储系统、存储设备的安全 管理和运维工作(BP.08.05)。 b)制度流程: 1)应明确数据逻辑存储管理安全规范和配置规则,明确各类数据存储系统的账号权限管理, 访问控制、日志管理、加密管理、版本升级等方面的要求(BP.08.06); 2) 内部的数据存储系统应在上线前遵循统一的配置要求进行有效的安全配置,对使用的外 部数据存储系统也应进行有效的安全配置(BP.08.07); 3) 应明确数据逻辑存储隔离授权与操作要求,确保具备多用户数据存储安全隔离能力 (BP.08.08)。 c)技术工具: 1)应提供数据存储系统配置扫描工具,定期对主要数据存储系统的安全配置进行扫描,以保 证符合安全基线要求(BP.08.09); 2 应利用技术工具监测逻辑存储系统的数据使用规范性,确保数据存储符合组织的相关安 全要求(BP.08.10); 3) 应具备对个人信息、重要数据等敏感数据的加密存储能力(BP.08.11)。 d)人员能力:负责该项工作的人员应熟悉数据存储系统架构,并能够分析出数据存储面临的安全 风险,从而能够保证对各类存储系统的有效安全防护(BP08.12)
8.2.2.4等级4.量化控制
该等级的数据安全能力要求描述如下: a)制度流程: 1)应明确分层的逻辑存储授权管理规则和授权操作要求,具备对数据逻辑存储结构的分层 和分级保护能力(BP.08.13); 2 应明确数据分片和分布式存储安全规则,如数据存储完整性规则、多副本一致性管理规 则、存储转移安全规则,以满足分布式存储下分片数据完整性、一致性和保密性保护要求 (BP.08.14); 3)组织应根据数据分类分级要求,明确各类各级数据的加密存储要求(BP.08.15)。 技术工具: 1)应建立管理数据存储系统安全配置的技术工具,实现对安全配置情况的统一管理和控制 (BP.08.16); 2 应建立可伸缩数据存储架构,以满足数据量持续增长、数据分类分级存储等需求(BP.08.17)
该等级的数据安全能力要求描述如下: a)制度流程: 1)应明确分层的逻辑存储授权管理规则和授权操作要求,具备对数据逻辑存储结构的分层 和分级保护能力(BP.08.13); 2 应明确数据分片和分布式存储安全规则,如数据存储完整性规则、多副本一致性管理规 则、存储转移安全规则,以满足分布式存储下分片数据完整性、一致性和保密性保护要求 (BP.08.14); 3)组织应根据数据分类分级要求,明确各类各级数据的加密存储要求(BP.08.15)。 b)技术工具: 1)应建立管理数据存储系统安全配置的技术工具,实现对安全配置情况的统一管理和控制 (BP.08.16); 2) 应建立可伸缩数据存储架构,以满足数据量持续增长、数据分类分级存储等需求(BP.08.17);
GB/T379882019
3)应建立满足应用层、数据层、操作系统层、数据存储层等不同层次数据存储加密需求的数 据存储加密架构(BP.08.18)。 人员能力:负责数据加密工作的人员应熟悉各类数据加密算法的性能和瓶颈,并能够基于业务 发展的需求、合规的需求制定有效的数据加密方案(BP.08.19)
应建立满足应用层、数据层、操作系统层、数据存储层等不同层次数据存储加密需求的 据存储加密架构(BP.08.18)。 c)人员能力:负责数据加密工作的人员应熟悉各类数据加密算法的性能和瓶颈,并能够基于业 发展的需求、合规的需求制定有效的数据加密方案(BP.08.19)
2.2.5等级5.持续优化
该等级的数据安全能力要求描述如下: 制度流程:应定期审核数据库的安全配置情况和权限分配情况公路工程基本建设项目概算预算编制办法,并改进优化相关配置和角色权 限包的内容(BP.08.20)。 b) 技术工具:应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆 (BP.08.21)
8.3PA09数据备份和恢复
8.3.2.1等级1.非正式执行
该等级的数据安全能力描述如下: 组织建设:未在任何业务中建立成熟稳定的数据备份恢复机制,仅根据临时需求或基于个 部分数据执行了临时的数据备份和恢复性测试(BP.09.01)
据安全能力描述如下: 在任何业务中建立成熟稳定的数据备份恢复机制DB11T 1187-2015标准下载,仅根据临时需求或基于个人经验对 临时的数据备份和恢复性测试(BP.09.01)
8.3.2.2等级2.计划跟踪
该等级的数据安全能力要求描述如下: a 组织建设:业务团队应明确负责数据备份和恢复的岗位和人员(BP.09.02)。 b) 制度流程:业务团队应明确数据备份和恢复的制度(BP.09.03)。 C 技术工具:应建立数据备份与恢复的技术工具(BP.09.04)。