数据安全能力建设实施指南v1.0
合集下载
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
4
计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的软件产品。 数 据 处 理 data processing:对原始数据进行抽取、转换、加载的过程,包括开发数据产品或数 据分析等。 合 规 compliance: 对数据安全所适用的法律法规的遵循。
4
缩略语
下列缩略语适用于本标准: PA BP DSMM IAM BYOD MDM MAM MCM 过程域(Process Area) 基本实践(Base Practice) 数据安全能力成熟度模型(Data Security Capability Maturity Model) 身份识别与访问管理(Identity and Access Management) 自带设备办公(Bring Your Own Device) 移动设备管理(Mobile Device Management) 移动应用管理(Mobile Application Management) 移动内容管理(Mobile Content Management)
5
数据安全能力建设框架
5.1
数据安全与现有安全体系融合
3
术语和定义
GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。 数据安全 data security: 保护数据的机密性、完整性和可用性。 data security capability: 组织机构在组织建设、制度流程、技术工具以及
数据安全能力
人员能力等方面对数据的安全保障能力。 成熟度 maturity: 对一个组织的有条理的持续改进能力以及实现特定过程的连续性、可持续性、
周俊、徐胜兵 周俊、徐胜兵 陈树鹏 张敏翀 白晓媛
本指南还得到以下单位相关领导和专家们的大力支持,参与了指南的评审并提出宝贵建议: 阿里巴巴(杜跃进、张玉东、朱红儒、张世长、潘亮、贾雪飞) ,电子四院(胡影、张宇光) ,数梦工 场(孙晖) ,安恒信息(林明峰) ,蚂蚁金服(王心刚、王道奎) ,阿里云(岑欣伟、张大江) 。
第10章 PA04、PA07、PA08、PA09、 阿里巴巴数据安全研究院 PA18、PA19、PA20、PA21、PA25 第10章 PA05、PA06 第10章 PA10、PA11、PA12、PA13 第10章 PA22、PA26、PA27 第10章 PA23、PA24 第2章和第10章所有PA涉及的国家 和行业标准,以及全文排版校对 安恒信息 安恒信息 蚂蚁金服 阿里云 阿里巴巴标准化部
2
规范性引用文件
下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069—2010 信息安全技术 GB/T XXXX—XXXX 信息安全技术 GB/T 35273—2017 信息安全技术 GB/T 35274—2017 信息安全技术 术语 数据安全能力成熟度模型(待发布) 个人信息安全规范 大数据服务安全能力要求
数据安全能力建设实施指南 V1.0
(征求意见稿)
《数据安全能力成熟度模型(DSMM)》配套文档 2018-9-......................................................................... 3 1 范围 ................................................................................ 4 2 规范性引用文件 ...................................................................... 4 3 术语和定义 .......................................................................... 4 4 缩略语 .............................................................................. 5 5 数据安全能力建设框架 ................................................................ 5 5.1 数据安全与现有安全体系融合 ...................................................... 5 5.2 数据安全能力建设框架 ............................................................ 5 5.3 能力建设框架图说明 .............................................................. 6 6 数据安全组织建设 .................................................................... 7 6.1 组织架构设计 .................................................................... 7 6.2 协同部门数据安全职能 ............................................................ 9 7 数据安全人员能力 ................................................................... 11 7.1 数据安全管理能力 ............................................................... 11 7.2 数据安全运营能力 ............................................................... 12 7.3 数据安全技术能力 ............................................................... 12 7.4 数据安全合规能力 ............................................................... 13 7.5 人员能力与组织架构的映射 ....................................................... 13 8 数据安全制度流程 ................................................................... 14 8.1 制度体系架构设计 ............................................................... 14 8.2 制度体系架构说明 ............................................................... 16 9 数据安全技术工具 ................................................................... 17 9.1 技术工具架构设计 ............................................................... 17 9.2 技术工具架构说明 ............................................................... 20 10 数据安全域实施指南 ................................................................ 20 10.1 数据采集安全 .................................................................. 20 10.2 数据传输安全 .................................................................. 29 10.3 数据存储安全 .................................................................. 33 10.4 数据处理安全 .................................................................. 38 10.5 数据交换安全 .................................................................. 45 10.6 数据销毁安全 .................................................................. 52 10.7 通用安全 ...................................................................... 56 11 参考文献 .......................................................................... 70
2
前 言
本指南由阿里巴巴数据安全研究院发起,统筹规划和发布,最终解释归口。某些内容可能涉及专利, 本指南的发布机构不承担识别这些专利的责任。 本指南参与起草单位:阿里巴巴(中国)有限公司(下文简称“阿里巴巴” ) ,杭州数梦工场科技有限 公司(下文简称“数梦工场” ) 、杭州安恒信息技术股份有限公司(下文简称“安恒信息” ) 、浙江蚂蚁小微 金融服务集团(下文简称“蚂蚁金服” ) 、阿里云计算有限公司(下文简称“阿里云” ) 。 各章节参与单位及人员: 主要章节 第5章 数据安全能力建设框架 第6章 数据安全组织建设 起草单位 阿里巴巴数据安全研究院 阿里巴巴数据安全研究院 数梦工场 第7章 数据安全人员能力 阿里巴巴数据安全研究院 蚂蚁金服 安恒信息 第8章 数据安全制度流程 第9章 数据安全技术工具 第10章 PA01、PA02、PA03 第10章 PA14、PA15、PA16、PA17 阿里巴巴数据安全研究院 阿里巴巴数据安全研究院 数梦工场 数梦工场 起草人员 张迅迪、薛勇 陈彩芳 何维群 陈彩芳 陈树鹏 周俊 薛勇 薛勇 何维群 毛昱 薛勇
有效性和可信度的度量。 成熟度模型 maturity model: 对一个组织机构的成熟度进行度量的模型,包括一系列的代表能
力和进展的特征、属性、指示或是模式。成熟度模型提供一个组织机构衡量其当前的实践、流程、方法的 能力水平的基准,并设置提升的目标。 数 据 脱 敏 data desensitization: 通过模糊化等方法对原始数据进行处理以屏蔽敏感信息的一 种数据保护方法。 数 据 产 品 data product: 直接或间接使用数据的产品,包括但不限于能访问原始数据,提供数据
3
数据安全能力建设实施指南
1
范围
本指南依据《信息安全技术
数据安全能力成熟度模型》 (简称DSMM)制定,以数据为核心,重点围
绕数据生命周期,从组织建设、制度流程、技术工具和人员能力等四个方面,提供数据安全能力建设的具 体实施指南,为组织数据安全能力建设提供参考。 规划输出系列版本,这次版本以数据安全能力成熟度三级为目标,即如何达到DSMM规定的充分定义级 (三级) ,后续升级版再陆续补充其他级别的指南内容。
计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的软件产品。 数 据 处 理 data processing:对原始数据进行抽取、转换、加载的过程,包括开发数据产品或数 据分析等。 合 规 compliance: 对数据安全所适用的法律法规的遵循。
4
缩略语
下列缩略语适用于本标准: PA BP DSMM IAM BYOD MDM MAM MCM 过程域(Process Area) 基本实践(Base Practice) 数据安全能力成熟度模型(Data Security Capability Maturity Model) 身份识别与访问管理(Identity and Access Management) 自带设备办公(Bring Your Own Device) 移动设备管理(Mobile Device Management) 移动应用管理(Mobile Application Management) 移动内容管理(Mobile Content Management)
5
数据安全能力建设框架
5.1
数据安全与现有安全体系融合
3
术语和定义
GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。 数据安全 data security: 保护数据的机密性、完整性和可用性。 data security capability: 组织机构在组织建设、制度流程、技术工具以及
数据安全能力
人员能力等方面对数据的安全保障能力。 成熟度 maturity: 对一个组织的有条理的持续改进能力以及实现特定过程的连续性、可持续性、
周俊、徐胜兵 周俊、徐胜兵 陈树鹏 张敏翀 白晓媛
本指南还得到以下单位相关领导和专家们的大力支持,参与了指南的评审并提出宝贵建议: 阿里巴巴(杜跃进、张玉东、朱红儒、张世长、潘亮、贾雪飞) ,电子四院(胡影、张宇光) ,数梦工 场(孙晖) ,安恒信息(林明峰) ,蚂蚁金服(王心刚、王道奎) ,阿里云(岑欣伟、张大江) 。
第10章 PA04、PA07、PA08、PA09、 阿里巴巴数据安全研究院 PA18、PA19、PA20、PA21、PA25 第10章 PA05、PA06 第10章 PA10、PA11、PA12、PA13 第10章 PA22、PA26、PA27 第10章 PA23、PA24 第2章和第10章所有PA涉及的国家 和行业标准,以及全文排版校对 安恒信息 安恒信息 蚂蚁金服 阿里云 阿里巴巴标准化部
2
规范性引用文件
下列文件对于本文件的应用是必不可少的。 凡是注日期的引用文件, 仅所注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069—2010 信息安全技术 GB/T XXXX—XXXX 信息安全技术 GB/T 35273—2017 信息安全技术 GB/T 35274—2017 信息安全技术 术语 数据安全能力成熟度模型(待发布) 个人信息安全规范 大数据服务安全能力要求
数据安全能力建设实施指南 V1.0
(征求意见稿)
《数据安全能力成熟度模型(DSMM)》配套文档 2018-9-......................................................................... 3 1 范围 ................................................................................ 4 2 规范性引用文件 ...................................................................... 4 3 术语和定义 .......................................................................... 4 4 缩略语 .............................................................................. 5 5 数据安全能力建设框架 ................................................................ 5 5.1 数据安全与现有安全体系融合 ...................................................... 5 5.2 数据安全能力建设框架 ............................................................ 5 5.3 能力建设框架图说明 .............................................................. 6 6 数据安全组织建设 .................................................................... 7 6.1 组织架构设计 .................................................................... 7 6.2 协同部门数据安全职能 ............................................................ 9 7 数据安全人员能力 ................................................................... 11 7.1 数据安全管理能力 ............................................................... 11 7.2 数据安全运营能力 ............................................................... 12 7.3 数据安全技术能力 ............................................................... 12 7.4 数据安全合规能力 ............................................................... 13 7.5 人员能力与组织架构的映射 ....................................................... 13 8 数据安全制度流程 ................................................................... 14 8.1 制度体系架构设计 ............................................................... 14 8.2 制度体系架构说明 ............................................................... 16 9 数据安全技术工具 ................................................................... 17 9.1 技术工具架构设计 ............................................................... 17 9.2 技术工具架构说明 ............................................................... 20 10 数据安全域实施指南 ................................................................ 20 10.1 数据采集安全 .................................................................. 20 10.2 数据传输安全 .................................................................. 29 10.3 数据存储安全 .................................................................. 33 10.4 数据处理安全 .................................................................. 38 10.5 数据交换安全 .................................................................. 45 10.6 数据销毁安全 .................................................................. 52 10.7 通用安全 ...................................................................... 56 11 参考文献 .......................................................................... 70
2
前 言
本指南由阿里巴巴数据安全研究院发起,统筹规划和发布,最终解释归口。某些内容可能涉及专利, 本指南的发布机构不承担识别这些专利的责任。 本指南参与起草单位:阿里巴巴(中国)有限公司(下文简称“阿里巴巴” ) ,杭州数梦工场科技有限 公司(下文简称“数梦工场” ) 、杭州安恒信息技术股份有限公司(下文简称“安恒信息” ) 、浙江蚂蚁小微 金融服务集团(下文简称“蚂蚁金服” ) 、阿里云计算有限公司(下文简称“阿里云” ) 。 各章节参与单位及人员: 主要章节 第5章 数据安全能力建设框架 第6章 数据安全组织建设 起草单位 阿里巴巴数据安全研究院 阿里巴巴数据安全研究院 数梦工场 第7章 数据安全人员能力 阿里巴巴数据安全研究院 蚂蚁金服 安恒信息 第8章 数据安全制度流程 第9章 数据安全技术工具 第10章 PA01、PA02、PA03 第10章 PA14、PA15、PA16、PA17 阿里巴巴数据安全研究院 阿里巴巴数据安全研究院 数梦工场 数梦工场 起草人员 张迅迪、薛勇 陈彩芳 何维群 陈彩芳 陈树鹏 周俊 薛勇 薛勇 何维群 毛昱 薛勇
有效性和可信度的度量。 成熟度模型 maturity model: 对一个组织机构的成熟度进行度量的模型,包括一系列的代表能
力和进展的特征、属性、指示或是模式。成熟度模型提供一个组织机构衡量其当前的实践、流程、方法的 能力水平的基准,并设置提升的目标。 数 据 脱 敏 data desensitization: 通过模糊化等方法对原始数据进行处理以屏蔽敏感信息的一 种数据保护方法。 数 据 产 品 data product: 直接或间接使用数据的产品,包括但不限于能访问原始数据,提供数据
3
数据安全能力建设实施指南
1
范围
本指南依据《信息安全技术
数据安全能力成熟度模型》 (简称DSMM)制定,以数据为核心,重点围
绕数据生命周期,从组织建设、制度流程、技术工具和人员能力等四个方面,提供数据安全能力建设的具 体实施指南,为组织数据安全能力建设提供参考。 规划输出系列版本,这次版本以数据安全能力成熟度三级为目标,即如何达到DSMM规定的充分定义级 (三级) ,后续升级版再陆续补充其他级别的指南内容。