術語和定義

GB/T 25069—2010中界定的以及下列術語和定義適用于本文件。

3.1　數據安全　data security

保護數據的機密性、完整性和可用性。

3.2　數據安全能力　data security capability

組織機構在組織建設、制度流程、技術工具以及人員能力等方面對數據的安全保障能力。

3.3　成熟度　maturity

對一個組織的有條理的持續改進能力以及實現特定過程的連續性、可持續性、有效性和可信度的度量。

3.4　成熟度模型　maturity model

對一個組織機構的成熟度進行度量的模型，包括一系列的代表能力和進展的特征、屬性、指示或是模式。成熟度模型提供一個組織機構衡量其當前的實踐、流程、方法的能力水平的基準，并設置提升的目標。

3.5　安全過程 security process

用于實現安全目標的過程，該過程包含輸入和輸出。例如“安全審計”這一安全過程，輸入是系統日志，輸出是審計報告。

3.6　過程域 process area

實現同一安全目標的一系列數據安全基本實踐的集合。一個過程域中包含一個或多個基本實踐。例如“元數據安全”這一過程域，包含建立元數據管理規范、建立元數據訪問控制策略、建立元數據技術工具等基本實踐。

3.7　基本實踐base practices

實現某一安全目標的數據安全相關活動。例如建立數據資產清單，對數據資產進行分類分級管理等。

3.8　通用實踐generic practices

在評估中用于確定任何安全過程域或基本實踐的實施能力的評定準則。例如“持續優化”這一能力成熟度等級，包含四個通用實踐：優化組織建設、優化制度流程、優化技術工具和優化人員能力。通用實踐用于評定實施安全過程或基本實踐的能力等級。

3.9　數據脫敏data desensitization

通過模糊化等方法對原始數據進行處理以屏蔽敏感信息的一種數據保護方法。

3.10　數據產品 data product

直接或間接使用數據的產品，包括但不限于能訪問原始數據，提供數據計算、數據存儲、數據交換、數據分析、數據挖掘、數據展示等應用的軟件產品。

3.11　數據處理 data processing

對原始數據進行抽取、轉換、加載的過程，包括開發數據產品或數據分析等。

3.12　數據供應鏈 data supply chain

指為滿足數據供應關系，通過資源和過程將需方、供方相互連接的網鏈結構，可用于供方將數據及其產品與服務提供給需方。

3.13　合規compliance

對數據安全所適用的法律法規的遵循。