信息安全技术 数据安全能力成熟度模型1 范围本标准基于大数据环境下电子化数据在组织机构业务场景中的数据生命周期,从组织建设、制度流程、技术工具以及人员能力四个方面构建了数据安全过程的法律规范性数据安全能力成熟度分级模型及其评估方法。本标准适用于组织机构数据安全能力的自身评估,也适用于第三方机构对组织机构的数据安全保障能力进行评估.2 法律规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。GB/T 25069-2024 信息安全技术 术语GB/T 20261-2024 信息安全技术 系统安全工程-能力成熟度模型GB/T AAAAA—AAAA 信息技术 大数据 术语GB/T BBBBB—BBBB 信息技术 大数据参考框架GB/T CCCCC-CCCC 信息安全技术 个人信息安全法律规范GB/T DDDDD-DDDD 信息安全技术 大数据服务安全能力要求GB/T EEEEE-EEEE 信息技术 数据管理能力成熟度模型3 术语、定义和缩略语GB/T 25069—2024 中界定的以及下列术语和定义适用于本文件。3.1 术语和定义3.1.1 数据安全 data security以数据为中心的安全,保护数据的可用性、完整性和机密性。注:本标准是从组织建设、制度流程、技术工具以及人员能力等方面对组织机构的数据进行安全保护。3.1.2 数据安全能力 data security capability组织机构在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障能力。3.1.3 成熟度 maturity 对一个组织的有条理的持续改进能力的度量,对实现特定过程的连续性、可持续性、有效性和可信度的度量。3.1.4 成熟度模型 maturity model对一个组织机构的成熟度进行度量的模型,包括一系列的代表能力和进展的特征、属性、指示或是模式.模型的内容通常是最佳实践的举例说明。成熟度模型提供一个组织机构衡量其当前的实践、流程、方法的能力水平的基准,并设置提升的目标和优先级.当一个模型被广泛应用于某个特定的行业,这个行业可以基于模型,来评估本行业的组织机构的成熟度等级。3.1.5 组织机构 organization安排了责任、权利和关系的一组人员和设施。3.1.6 安全过程域 security process area实现同一安全目标的一系列数据安全相关活动、过程的集合.3.1.7 数据脱敏 data desensitization通过模糊化等方法对原始数据的处理,达到屏蔽敏感信息的一种数据保护方法.3.1.8 数据产品 ...
