阿里研究院-数据安全能力建设实施指南 V1.0-2018.9-70页
CCRC-ISV-C01:2018信息安全服务规范
文件编码:CCRC-ISV-C01:2018信息安全服务规范2018-05-25发布 2018-06-01实施中国网络安全审查技术与认证中心发布目录1. 适用范围 (1)2. 规范性引用文件 (1)3. 术语与定义 (1)3.1. 信息安全服务 (1)3.2. 信息安全风险评估 (1)3.3. 信息安全应急处理 (1)3.4. 信息系统安全集成 (1)3.5. 信息系统灾难备份与恢复 (1)3.6. 软件安全开发 (2)3.7. 信息系统安全运维 (2)3.8. 网络安全审计 .................................................................................. 错误!未定义书签。
3.9. 工业控制系统安全 (2)4. 通用评价要求 (2)4.1. 三级评价要求 (2)4.1.1. 法律地位要求 (2)4.1.2. 财务资信要求 (2)4.1.3. 办公场所要求 (2)4.1.4. 人员能力要求 (3)4.1.5. 业绩要求 (3)4.1.6. 服务管理要求 (3)4.1.7. 服务技术要求 (3)4.2. 二级评价要求 (3)4.2.1. 法律地位要求 (4)4.2.2. 财务资信要求 (4)4.2.3. 办公场所要求 (4)4.2.4. 人员能力要求 (4)4.2.5. 业绩要求 (4)4.2.6. 服务管理要求 (4)4.2.7. 技术工具要求 (5)4.2.8. 服务技术要求 (5)4.3. 一级评价要求 (5)4.3.1. 法律地位要求 (5)4.3.2. 财务资信要求 (5)4.3.3. 办公场所要求 (5)4.3.4. 人员素质与资质要求 (6)4.3.5. 业绩要求 (6)4.3.6. 服务管理要求 (6)4.3.7. 技术工具要求 (7)4.3.8. 服务技术要求 (7)5. 专业评价要求 (7)5.1. 风险评估服务资质专业评价要求 (7)5.2. 安全集成服务资质专业评价要求 (7)5.3. 应急处理服务资质专业评价要求 (7)5.4. 灾难备份与恢复服务资质专业评价要求 (7)5.5. 软件安全开发服务资质专业评价要求 (7)5.6. 安全运维服务资质专业评价要求 (7)5.7. 网络安全审计服务资质专业评价要求 (7)5.8. 工业控制系统安全服务资质专业评价要求 (7)附录A(规范性附录):信息安全风险评估服务资质专业评价要求 (8)附录B(规范性附录):信息系统安全集成服务资质专业评价要求 (11)附录C(规范性附录):信息安全应急处理服务资质专业评价要求 (14)附录D(规范性附录):信息系统灾难备份与恢复服务资质专业评价要求 (18)附录E(规范性附录):软件安全开发服务资质专业评价要求 (22)附录F(规范性附录):安全运维服务资质专业评价要求 (26)附录G(规范性附录):网络安全审计服务资质专业评价要求 (29)附录H(规范性附录):工业控制系统安全服务资质专业评价要求 (35)附录I:信息安全服务人员能力要求 (41)附录J: 参考文献 (64)1.适用范围本规范规定了信息安全服务提供者(以下简称服务提供者)在提供服务时应具备的服务安全通用要求和专业服务能力要求。
中国云信任报告
已上云企业
未上云企业
已经上云的企业,对云计算 的信任度高出未上云企业52%
非常信任
比较信任
52% “ ” “ ”
基本信任
不太信任
非常不信任 0% 17.5% 35% 52.5% 70%
0%
30%
60%
90%
120%
3.
对于云服务提供商来说, 安全和上云技能培训将变得越来越重要
担心安全性 缺少上云的知 和技能 算
已上云企业对安全 和兼容性的担心减弱
只有在用户数据安全与灾备隔离上加强投入, 才能继续提升中国企业对云的信任感
16%
1%
26%
约四分之一的企业希望云能够 更好地保护自己的数据安全 并拥有更好的灾备和隔离措施
16%
26%
23%
23% 19%
4.
70% 52.5% 35% 17.5% 0%
初创公司业务全部上云 的比例达到59%
1-20
21-50
51-100
100 1-20
101-200
59%
201-500
>500 0% 15% 30% 45% 60%
大部分中国企业为了节省成本 和提高稳定性而上云
更
成本 定性更高
因为节约成本而上云占20%
20% 减少复
灵活的可伸
性
安全性更高 可用性更高 性更 心业务本身 速度更快 易 管 度 其他 不清楚
62%的企业认为云在基础防御,平台稳定,专业团队上具有先天优势
Native 24% 20% 18%
云平台更加稳定可靠 提供更多元的安全工具和服务 有更快速的安全运营能力 做安全更加轻便快捷 其他 更好的安全原生能力和基础防御 有专业的安全团队
数据安全评估次数要求
数据安全评估次数要求
数据安全评估的次数要求取决于企业的具体情况和风险管理策略。
然而,以下是一些建议的数据安全评估活动和次数:
- 定期安全漏洞评估:建议每年至少进行一次安全漏洞评估,
以发现系统和应用程序中的可能漏洞,并采取适当的措施加以修复。
- 网络渗透测试:建议至少每年进行一次网络渗透测试,以模
拟黑客攻击,评估系统和网络的脆弱性,并采取相应的防范措施。
- 安全策略审核:建议定期(每年或每两年)对企业的安全策
略进行评估和审核,确保其与最新的安全标准和法规相符合,并根据需要进行更新和改进。
- 数据保护和备份方案评估:建议定期(每年或每两年)对数
据保护和备份方案进行评估,以确保数据的安全性和可恢复性,并根据需要进行调整和优化。
- 员工安全培训和意识计划:建议定期(每年或每季度)进行
员工安全培训和意识计划,以提高员工对数据安全的意识和知识,并加强对潜在威胁的防范和应对能力。
- 第三方风险评估:针对与企业合作的供应商、服务提供商和
合作伙伴,建议定期(每年或每两年)进行安全评估和审核,以确保他们的安全措施和实践能够满足企业的要求和标准。
需要注意的是,这些次数和活动仅作为参考,实际情况可能因组织规模、行业要求和业务需求等因素而有所不同。
在制定数据安全评估计划时,企业应根据自身情况和风险管理需求,确定适合的评估次数和具体内容。
无人机系统建设方案设计(初稿子)--李仁伟--2018.09.21
实用标准文案监管场所无人机系统建设方案北京创羿兴晟科技发展有限公司2018.9目录目录目录 (1)一、概述 (2)1.1、背景 (2)1.2、应用 (2)1.3、方案依据标准规范 (3)二、系统介绍 (5)2.1、系统功能 (5)2.2、功能及产品介绍 (5)2.2.1、六旋翼无人机主机 (5)2.2.2、航拍摄像 (12)2.2.3、空中抛投 (24)2.2.4、通信中继...................................... 错误!未定义书签。
2.3、无人机综合管控指挥平台 (28)2.3.1、平台内容 (28)2.3.2、软件架构 (29)2.3.3、通信架构 (30)2.3.4、客户端界面 (31)一、概述1.1、背景无人机产业发展至今,已经成长为了一个完整的体系,在这个体系之下,无人机从功能上细分到了各个领域,除了航拍、植保等功用之外,无人机也在勘察、安检等领域拥有不错的发挥,其中安全巡逻无人机已经成为无人机市场中的一匹迅速崛起的黑马,并且还在不断地快速成长。
运用高科技手段对监狱工作提供技术支持已刻不容缓。
作为高度戒备监狱,监狱押犯规模大、在押罪犯刑期长、犯群结构复杂,为积极整合资源、推动高新技术应用、完善综合保障机制、增强突发事件应对能力。
无人机可完成包括巡航、实时监控、取证拍摄等一体化飞行及监控任务,并能将高清视频或高像素照片实时传输到执法终端。
今后,它不仅会用于监管设施及周边区域的隐患排查,维护监管安全,为监狱指挥中心作出实时部署提供第一手资料;它还对开展隐蔽督察、视频督察、掌握狱情灾情和处置突发事件发挥重要作用。
1.2、应用无人机系统在监管场所中的应用主要体现在如下几个方面:一)、日常巡查旋翼无人机具有大航程和长滞空时间的优势,适用于监管场所进行日常的例行自动飞行巡查。
日常巡查是利用无人机沿固定巡逻航线执行,可挂载可见光电视吊舱实时监控园区及周边的所有状况,通过数据链将视频实时回传至监控中心。
软件运维服务技术规范
软件运维服务技术规范河南省工商行政管理局2014 年12 月第I 页目录1概述 (1)1.1背景 (1)1.2范围 (2)1.2.1定制应用软件(软件采购项目) (2)1.2.2其他系统软件及应用软件(其他项目) (12)2运维服务需求内容 (14)2.1软件开发需求 (14)2.2软件运行维护需求 (14)2.2.1问题报告单处理 (14)2.2.2软件版本升级 (15)2.2.3软件的部署 (15)2.2.4数据查询、统计与同步 (15)2.2.5突发事件响应及处理 (16)2.2.6软件配置维护 (16)2.2.7重要时间点的保障支持服务 (16)2.2.8各类数据交互程序维护 (16)2.3数据维护需求 (16)2.4系统运行维护需求 (17)2.4.1系统监控 (17)2.4.2数据库及系统备份 (17)2.4.3系统维护、故障分析及调优 (18)3运维服务规范 (19)3.1服务准则 (19)3.2服务流程 (20)3.2.1问题报告单处理流程 (20)3.2.1.1适用范围 (20)3.2.1.2操作流程图 (21)3.2.1.3流程说明 (21)3.2.2版本升级流程 (22)3.2.2.1适用范围 (22)3.2.2.2操作流程图 (23)3.2.2.3流程说明 (24)3.2.3需求变更流程 (24)3.2.3.1适应条件 (24)3.2.3.2操作流程图 (25)3.2.4政策变更引起程序调整流程 (26)3.2.4.1适应范围 (26)3.2.4.2操作流程图 (26)3.2.4.3流程说明 (27)3.2.5数据库操作流程 (27)3.2.5.1适应范围 (27)第II 页运维服务技术规范3.2.5.2操作流程图 (28)3.2.5.3流程说明 (28)3.2.6业务数据修改流程 (29)3.2.6.1适应范围 (29)3.2.6.2操作流程图 (30)3.2.6.3流程说明 (30)3.2.7数据提供流程 (31)3.2.7.1适应范围 (31)3.2.7.2操作流程图 (31)3.2.7.3流程说明: (32)3.2.8事故处理流程 (32)3.2.8.1事故处理目标 (32)3.2.8.2处理流程图 (33)3.2.8.3流程说明 (33)3.2.8.4应急预案目标 (34)3.2.8.5处理流程图 (34)3.2.8.6流程说明 (35)3.3系统监控 (36)3.3.1系统监控概述 (36)3.3.2监控手段 (36)3.3.3监控项目 (36)3.3.4监控要求 (36)4运维服务要求 (37)4.1现场服务要求 (37)4.2集成服务要求 (37)4.3培训要求 (38)4.4信息安全管理要求 (38)5运维服务考核指标体系 (39)第III 页1 概述河南省工商行政管理局金信工程项目自2009 年上线以来,信息系统运行稳定,应用软件满足了工商业务不断发展的需要,实现了全省工商系统软件应用与数据的全省大集中、大统一,该项目于2009 年9 月份完成验收。
公司信息系统安全保障体系规划方案
信息系统安全保障体系规划方案V1.5文档信息文档名称XXXXXXXXXXXX信息系统安全保障体系规划方案保密级别商业秘密文档编号制作人制作日期复审人复审日期复审日期分发控制读者文档权限与文档的主要关系创建、修改、读取负责编制、修改、审核本技术方案XXXXXXXXXXXX 阅读版本控制时间版本说明修改人V1.0 文档初始化V1.5 修改完善目录1. 概述 .............................................................................................................1.1.引言.................................................................................................1.2.背景.................................................................................................XXXX行业行业相关要求...........................................................国家等级保护要求 .....................................................................三个体系自身业务要求..............................................................1.3.三个体系规划目标 ...........................................................................安全技术和安全运维体系规划目标 ............................................安全管理体系规划目标..............................................................1.4.技术及运维体系规划参考模型及标准...............................................参考模型 ...................................................................................参考标准 ...................................................................................1.5.管理体系规划参考模型及标准..........................................................国家信息安全标准、指南 ..........................................................国际信息安全标准 .....................................................................行业规范 ...................................................................................2.技术体系建设规划........................................................................................2.1.技术保障体系规划 ...........................................................................设计原则 ...................................................................................技术路线 ...................................................................................2.2.信息安全保障技术体系规划 .............................................................安全域划分及网络改造..............................................................现有信息技术体系描述..............................................................2.3.技术体系规划主要内容 ....................................................................网络安全域改造建设规划 ..........................................................网络安全设备建设规划..............................................................CA认证体系建设 ......................................................................数据安全保障 ............................................................................终端安全管理 ............................................................................备份与恢复................................................................................安全运营中心建设 .....................................................................周期性风险评估及风险管理.......................................................2.4.技术体系建设实施规划 ....................................................................安全建设阶段 ............................................................................建设项目规划 ............................................................................3.运维体系建设规划........................................................................................3.1.风险评估及安全加固........................................................................风险评估 ...................................................................................安全加固 ...................................................................................3.2.信息安全运维体系建设规划 .............................................................机房安全规划 ............................................................................资产和设备安全.........................................................................网络和系统安全管理..................................................................监控管理和安全管理中心 ..........................................................备份与恢复................................................................................恶意代码防范 ............................................................................变更管理 ...................................................................................信息安全事件管理 .....................................................................密码管理 ...................................................................................3.3.运维体系建设实施规划 ....................................................................安全建设阶段 ............................................................................建设项目规划 ............................................................................4.管理体系建设规划........................................................................................4.1.体系建设..........................................................................................建设思路 ...................................................................................规划内容 ...................................................................................4.2.信息安全管理体系现状 ....................................................................现状...........................................................................................问题...........................................................................................4.3.管理体系建设规划 ...........................................................................信息安全最高方针 .....................................................................风险管理 ...................................................................................组织与人员安全.........................................................................信息资产管理 ............................................................................网络安全管理 ............................................................................桌面安全管理 ............................................................................服务器管理................................................................................第三方安全管理.........................................................................系统开发维护安全管理..............................................................业务连续性管理.........................................................................项目安全建设管理 .....................................................................物理环境安全 ............................................................................4.4.管理体系建设规划 ...........................................................................项目规划 ...................................................................................总结...........................................................................................1.概述1.1.引言本文档基于对XXXX公司(以下简称“XXXX公司工业”)信息安全风险评估总体规划的分析,提出XXXX公司工业信息安全技术工作的总体规划、目标以及基本原则,并在此基础上从信息安全保障体系的视角描绘了未来的信息安全总体架构。
SOA标准规范体系
中国电子技术标准化研究所互联网标准开放实验室
I
SOA 标准体系白皮书
本部分对本文档的目的、读者范围、意义及作用进行说明。
Байду номын сангаас
目的
对当前所有 SOA 国际标准(W3C、OASIS、OMG、WS-I 等发 布)及国际主流企业标准进行梳理,并进行分析,形成 SOA 标准体 系全集。
读者范围
SOA 相关产品研发及项目实施的咨询顾问、架构师、开发人员、 技术负责人及用户。
意义及作用
1、 2、 是 ISOL 后续所规划的 SOA 标准研发的基础; 为当前业界技术人员了解 SOA 标准提供参考依据。
中国电子技术标准化研究所互联网标准开放实验室
II
SOA 标准体系白皮书
目
录
1 前言 ....................................................................................................................................... 1 2 SOA 标准体系概述 ................................................................................................................ 3
中国电子技术标准化研究所互联网标准开放实验室 1
SOA 标准体系白皮书
近几年发展迅速的 Web 服务技术为 SOA 系统的构建奠定了良好 的技术基础,它所具有的平台无关、标准中立等特点,使其成为现今 构建 SOA 系统的首选技术。 标准是影响 SOA 发展和 SOA 系统构建的重要因素。基于 SOA 构建的系统许多方面都需要标准,比如:数据传输、消息传递、互操 作等。 随着 SOA 相关技术的迅速发展,SOA 相关标准研究在国际上已 经产生大量成果,基本覆盖到 SOA 实施的各个方面。但目前 SOA 国 际标准体系尚未确立和统一,主要国际标准组织( W3C、OASIS 、 WS-I、OMG 等)所制定的标准存在重复、不一致现象,现有 SOA 产品对标准的支持不一致、 难以互联互通, 用户缺乏统一的评判标准、 存在风险顾虑,影响了 SOA 技术及产品的规模化应用。 鉴于上述情况, 互联网标准开放实验室于 2006 年初开展 SOA 标 准体系专项研究。通过对 Web 服务技术和 SOA 相关标准(以下将 Web 服务技术标准及其它相关 SOA 技术标准统一称为“SOA 标准” ) 的研究,基于中国行业应用需求及标准化现状,从中梳理出 SOA 标 准体系,其涵盖 SOA 相关各环节的国际及业界主流标准,为 SOA 系 统的构建提供参考。 SOA 标准体系使得构建 SOA 系统的各种技术能共同协作,以规 范化的方式支撑企业或组织的 IT 战略实现以及业务需求满足。SOA 标准体系的采纳及推广, 将促进中国 SOA 产业链的规范化, 提升 SOA 产品及项目的开发实施水平,促进 SOA 在各行业的规模化应用。
2021-2022数据安全治理实践指南
数据安全治理实践指南目录一、数据安全治理概述 (1)(一) 数据安全治理概念内涵 (1)(二) 数据安全治理要点阐释 (2)二、数据安全治理总体视图 (3)三、数据安全治理参考框架 (5)(一) 数据安全战略 (5)(二) 数据全生命周期安全 (7)(三) 基础安全 (10)四、数据安全治理实践路线 (13)(一) 第一步:治理规划 (14)(二) 第二步:治理建设 (15)(三) 第三步:治理运营 (24)(四) 第四步:治理成效评估 (27)五、数据安全治理未来展望 (29)六、附录:数据安全治理企业实践 (30)(一) 中国联通集团数据安全治理实践 (30)(二) 蚂蚁集团数据安全治理实践 (35)(三) 百度数据安全治理实践 (39)(四) 天翼云数据安全治理实践 (43)图目录图1 数据安全治理总体视图 (4)图2 数据安全治理参考框架 (5)图3 数据安全治理组织架构示意图 (16)图4 数据安全管理制度体系示意图 (18)图5 一套可参考的数据安全管理制度体系 (19)图6 数据安全管控流程参考示意图 (20)图7 数据安全技术工具部署示意图 (20)图8 数据安全人员能力培养体系 (23)图9 中国联通数据安全体系总体框架 (31)图10 蚂蚁数据安全复合治理管理模式 (35)图11 蚂蚁集团数据安全四重保障图 (38)图12 百度数据安全治理工作路线 (39)图13 百度数据安全治理三步走 (40)图14 百度数据安全治理实践 (41)图15 天翼云数据安全治理实践路标图 (43)图16 天翼云数据安全治理能力 (45)图17 天翼云数据安全技术体系 (46)表目录表1 数据安全组织架构角色及职责分工 (16)表2 技术工具对应功能描述 (21)表3 日常审计项目示例 (26)一、数据安全治理概述(一)数据安全治理概念内涵随着数据作为生产要素的重要性凸显,数据安全的地位不断提升,尤其随着《数据安全法》的正式颁布,数据安全在国家安全体系中的重要地位得到了进一步明确。
阿里研究院-数据安全能力建设实施指南 V1.0-2018.9-70页
白晓媛
和行业标准,以及全文排版校对
本指南还得到以下单位相关领导和专家们的大力支持,参与了指南的评审并提出宝贵建议: 阿里巴巴(杜跃进、张玉东、朱红儒、张世长、潘亮、贾雪飞),电子四院(胡影、张宇光),数梦工 场(孙晖),安恒信息(林明峰),蚂蚁金服(王心刚、王道奎),阿里云(岑欣伟、张大江)。
3
数据安全能力建设实施指南
IAM
身份识别与访问管理(Identity and Access Management)
BYOD
自带设备办公(Bring Your Own Device)
MDM
移动设备管理(Mobile Device Management)
MAM
移动应用管理(Mobile Application Management)
1 范围
本指南依据《信息安全技术 数据安全能力成熟度模型》(简称DSMM)制定,以数据为核心,重点围 绕数据生命周期,从组织建设、制度流程、技术工具和人员能力等四个方面,提供数据安全能力建设的具 体实施指南,为组织数据安全能力建设提供参考。
规划输出系列版本,这次版本以数据安全能力成熟度三级为目标,即如何达到DSMM规定的充分定义级 (三级),后续升级版再陆续补充其他级别的指南内容。
3 术语和定义
GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。 数据安全 data security:保护数据的机密性、完整性和可用性。 数据安全能力 data security capability:组织机构在组织建设、制度流程、技术工具以及 人员能力等方面对数据的安全保障能力。 成熟度 maturity:对一个组织的有条理的持续改进能力以及实现特定过程的连续性、可持续性、 有效性和可信度的度量。 成熟度模型 maturity model:对一个组织机构的成熟度进行度量的模型,包括一系列的代表能 力和进展的特征、属性、指示或是模式。成熟度模型提供一个组织机构衡量其当前的实践、流程、方法的 能力水平的基准,并设置提升的目标。
《企业创新能力建设指南》团体标准
创新思维方法 Innovative Thinking Method 是指以新的角度、新的思考方法来解决问题的思维过程,通过这种思维方法突破常规 思维的界限,以超常规甚至新颖独创的方法、视角去思考问题,提出解决方案。
3.1.11
诊断分析问题手段 Means of Diagnosing Problem 是指用于寻找问题的原因、解决问题的依据、事物发展的方向和规律的总结归纳等方 面的关键措施。
3.1.8
技术创新 Technological Innovation 是指组织改进现有或创造新的产品、生产过程或服务方式的技术活动。
3.1.9
数据创新 Data Innovation 是指利用信息技术实施创新对象的数字化表达,并面向智能化通过多元的主体之间、 主客体之间的“数字关系”构成要素的创造性活动。
T/BIA 001-2020
企业创新能力建设指南
Enterprise Innovation Capacity Building Guide
(征求意见稿)
2020 年 X 月 X 日 发布
2020 年 X 月 X 日 实施
北京信息化协会 发布
前言
企业创新能力建设指南(以下简称:本指南)参照 GB/T1.1-2009《标准化工作导则 第 1 部分 标准的结构和编写》的要求起草。
3.1.4
渐进式创新 Incremental Innovation 指通过不断的、渐进的、连续的小创新和微创新,最后实现创新的目的。
3.1.5
突破式创新 Breakthrough Innovation 使组织的架构、经营、管理、工艺、技术、产品和服务具有前所未有的性能特征,或 者具有相似的特征,但是成本能有较大幅度的降低,可以改变现有的市场和产品,或创造出 新的产品和市场。
安数云擎安保等保一体机技术白皮书
安数云擎安保等保一体机技术白皮书北京安数云信息技术有限公司二〇一八年五月目录1背景介绍................................................................. 错误!未定义书签。
2等级保护................................................................. 错误!未定义书签。
2.1等保定义....................................................................... 错误!未定义书签。
2.2等保工作内容 ............................................................... 错误!未定义书签。
2.3等保等级划分 ............................................................... 错误!未定义书签。
2.4等保建设意义 ............................................................... 错误!未定义书签。
3产品概述................................................................. 错误!未定义书签。
4产品功能................................................................. 错误!未定义书签。
4.1自查评估....................................................................... 错误!未定义书签。
4.2整改加固....................................................................... 错误!未定义书签。
OMC北向接口规范第1分册接口功能(V3.0)剖析
企业秘密中国电信移动网络管理规范体系OMC北向接口规范第1分册接口功能(V3.0)中国电信集团网运部完成日期:2010年4月目次目次 (2)前言 (4)1 范围 (5)2 规范性引用文件 (5)3 术语、定义与缩略语 (5)3.1 术语与定义 (5)3.1.1 管理域控制对象 (5)3.1.2 网络资源对象 (5)3.1.3 采集活动 (6)3.1.4 活跃告警 (6)3.1.5 告警历史信息 (6)3.1.6 告警信息列表 (6)3.2 缩略语 (6)网络管理体系结构 (6)3.3 中国电信CDMA网络参考模型 (6)3.4 接口位置 (7)3.5 网络管理接口采用的协议栈 (8)3.5.1 IIOP协议栈 (8)3.5.2 FTP协议栈 (8)3.5.3 Telnet协议栈 (9)接口管理功能 (9)3.6 事务需求 (9)3.6.1 角色 (9)3.6.2 高层用例 (9)3.7 公共管理功能集 (10)3.7.1 用例 (10)3.7.2 访问入口点功能集 (11)3.7.3 通知管理功能集 (12)3.7.4 链路监视功能集 (14)3.7.5 通知日志管理功能集 (15)3.7.6 文件传输功能集 (15)3.8 配置管理功能集 (17)3.8.1 用例 (17)3.8.2 基本配置功能 (17)3.8.3 配置信息改变通知上报功能 (17)3.8.4 配置信息同步功能 (18)3.9 故障管理功能集 (18)3.9.1 用例 (18)3.9.2 告警上报功能 (19)3.9.3 同步告警信息 (19)3.9.4 告警确认 (20)3.9.5 取消告警确认 (20)3.9.6 获取告警数 (20)3.9.7 增加告警说明 (20)3.9.8 清除告警 (20)3.9.9 告警确认状态改变通知上报 (20)3.9.10 增加说明通知上报 (20)3.9.11 告警信息列表重建通知上报 (20)3.9.12 潜在错误告警信息列表通知上报 (21)3.10 性能管理功能集 (21)3.10.1 用例 (21)3.10.2 性能采集管理功能集 (21)3.10.3 性能门限管理功能集 (24)3.10.4 性能数据管理功能 (26)3.11 安全管理功能集 (26)附录 A 本系列标准采用的方法论(资料性附录) (27)A.1 接口功能需求的描述方法 (27)A.2 接口分析的描述方法 (27)A.3 接口设计方法 (28)参考文献 (29)前言中国电信移动网管规范体系主要包括下列规范:《中国电信移动网络核心网电路域OMC功能规范》《中国电信移动网络无线侧OMC功能规范》《中国电信移动网络OMC北向接口规范》《中国电信省级移动网管系统功能规范》《中国电信移动网管系统集团-省级接口规范》《中国电信集团移动网管系统功能规范》其中,《中国电信移动网络OMC北向接口规范》分为以下7个分册,前6个分册为基于CORBA接口的内容,第7分册为对CORBA接口的扩展。
CNAS-CL01-A020-2018检测和校准实验室能力认可准则在信息安全检测领域的应用说明
CNAS-CL01-A020检测和校准实验室能力认可准则在信息安全检测领域的应用说明Guidance on the Application of Testing and Calibration Laboratories Competence Accreditation Criteria in the Field of Information Security Testing中国合格评定国家认可委员会前言本文件由中国合格评定国家认可委员会(CNAS)制定,是结合信息安全检测的特点对CNAS-CL01《检测和校准实验室能力认可准则》中的部分条款的应用说明,并不增加或减少该认可准则的要求。
本文件与CNAS-CL01《检测和校准实验室能力认可准则》同时使用。
在结构编排上,本文件章、节的条款号和条款名称均采用CNAS-CL01:中章、节条款号和名称,对CNAS-CL01应用说明的具体内容在对应条款后给出。
本文件代替CNAS-CL46:2013《检测和校准实验室能力认可准则在信息安全检测领域的应用说明》。
本次修订主要根据CNAS-CL01:2018《检测和校准实验室能力认可准则》对章节号重新进行了编排,并按照CNAS的统一要求调整文件编号。
检测和校准实验室能力认可准则在信息安全检测领域的应用说明1 范围本文件适用于所有从事信息安全检测的实验室。
2 引用文件CNAS-CL01:2018《检测和校准实验室认可准则》3 术语和定义4 通用要求4.1公正性4.1.3如果实验室所在的组织从事信息安全检测以外的活动(例如,涉及信息安全相关的开发),应承诺并采取措施确保不利用被检测信息安全相关方的知识产权牟取利益。
4.1.4 实验室应建立并保持从事信息安全检测公正性和诚实性的政策和程序,并确保信息安全检测人员不参加被测对象的开发和咨询,确保实验室检测人员与产品开发商、系统集成商、安全集成商、其他有利害关系和可能影响检测结果的人员之间相互分离。
数据安全能力建设实施指南v1.0
计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的软件产品。 数 据 处 理 data processing:对原始数据进行抽取、转换、加载的过程,包括开发数据产品或数 据分析等。 合 规 compliance: 对数据安全所适用的法律法规的遵循。
4
缩略语
下列缩略语适用于本标准: PA BP DSMM IAM BYOD MDM MAM MCM 过程域(Process Area) 基本实践(Base Practice) 数据安全能力成熟度模型(Data Security Capability Maturity Model) 身份识别与访问管理(Identity and Access Management) 自带设备办公(Bring Your Own Device) 移动设备管理(Mobile Device Management) 移动应用管理(Mobile Application Management) 移动内容管理(Mobile Content Management)
5
数据安全能力建设框架
5.1
数据安全与现有安全体系融合
3
术语和定义
GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。 数据安全 data security: 保护数据的机密性、完整性和可用性。 data security capability: 组织机构在组织建设、制度流程、技术工具以及
数据安全能力
人员能力等方面对数据的安全保障能力。 成熟度 maturity: 对一个组织的有条理的持续改进能力以及实现特定过程的连续性、可持续性、
周俊、徐胜兵 周俊、徐胜兵 陈树鹏 张敏翀 白晓媛
本指南还得到以下单位相关领导和专家们的大力支持,参与了指南的评审并提出宝贵建议: 阿里巴巴(杜跃进、张玉东、朱红儒、张世长、潘亮、贾雪飞) ,电子四院(胡影、张宇光) ,数梦工 场(孙晖) ,安恒信息(林明峰) ,蚂蚁金服(王心刚、王道奎) ,阿里云(岑欣伟、张大江) 。
数据管理实践
元数据中心
业务线(商业智能、小微金融等)
开放API 事件订阅/通知
元数据中心
图搜索 元数据服务
事件中心
元数据驱动
元数据 资源库
事件订阅 /通知
ODPS 驱动
Hive 驱动
......
元数据及血缘关系
数据总线
DataX TT DT
数据系统
ODPS 云梯1 ......
ots, HBase,iDB...
Dashboard
指标体系,统计分析, 监控预警
元数据中心应用
数据质量项目
1970年入网的淘宝用户:马总6岁操作ARPANET网? • 彩票订单为负值:淘宝从用户手中买彩票? 信息可互通(-Information) • 一条物流单不同字段分别记录了北京和上海:中国直辖市合并? 规范可遵循(-Rule) 24小时:地球停转之日? • 一个人旺旺登录日时长超过 组织可信任(-Organisation )
• 系统可依赖(-System)
• 环境可发挥(-Environment)
血缘应用:影响分析
商业智能、小微金融等要求源数据表变更时有影响评估和变更流程协同。
业务规范约束:前端业务线发起变更申请;
技术体系保障:数据系统DDL执行前事件触发影响分析流程;
前端业分析 (规则+策略)
API
App iSearch
全文检索
名称、标签、owner等
MySql
数据字典
系统、包、数据表、 字段、分区等
Neo4j
数据地图 血缘
表级、字段级、分区 级 血缘追溯、影响分析 等
hive脚本 odps脚本 DataX DT Task TT DBSync
大数据下的数据安全
• 数据在哪里使用的?
– 每一个生产环节 – DT的价值发挥
用户安全意识短板 • 数据在哪里“丢失”的?
– 每一个生产环节的每一个组成要素
2015/12/15
– 交换、共享、披露等外部环节
阿里数据保护的两大重点
用户
生态圈
ALI DATA
淘宝
商品、买家、商家、浏览、交易、 服务…
用户的隐私数据
用户基本数据
2015/12/15
2015/12/15
2015/12/15
2015/12/15
越来越复杂的数据安全
安全防护手段 安全防护手段 • 网络安全域 • 终端DLP、网络DLP • IDS,IPS 入侵检测与防 护,数据传输加密 • WAF Web应用防火墙 安全防护手段 • SDL 软件安全开发生命 周期 • 终端防病毒 • DR/BCM 灾备与业务连 • 基于角色的身份认证 续性管理 • 基于服务器、数据库,表 的权限管理 • 终端加密 • 移动设备加密 • 数据库存储加密
互联网+ 的动力之源
新基础设施:云网端
“互联网+”动力之源
新生产要素:数据资源
信息高度共享下的大规模社会化协同能力
2015/12/题
• 数据的边界
外部链条
• 系统的边界 • 法律的边界 • 监管的边界
合作伙伴
企业内部
2015/12/15
数据的互联
令人又爱又恨
2015/12/15
BIG DATA
• 量变引发形态变化—大 数据,数据的共享成为 • 信息膨胀,数据爆 炸,信息流动突破 了系统、组织和地 域边界,从数据中 寻找决策依据 社会化协同的基础,数 据智能回归线上,成为 业务流的核心,数据成 为独立的生产要素与经 济资源
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
数据安全能力建设实施指南 V1.0
(征求意见稿)
《数据安全能力成熟度模型(DSMM)》配套文档
2018-9-29
目录
前 言 ................................................................................ 3 1 范围 ................................................................................4 2 规范性引用文件 ......................................................................4 3 术语和定义 ..........................................................................4 4 缩略语 ..............................................................................5 5 数据安全能力建设框架 ................................................................5