5.4 數據安全過程

5.4 數據安全過程

5.4.1　數據生命周期的各個階段

本標準基于大數據環境下數據在組織機構業務中的流轉情況，定義了數據生命周期的六個階段：
——數據采集：組織機構內部系統中新產生數據，以及從外部系統收集數據的階段。
——數據傳輸：數據從一個實體通過網絡流動到另一個實體的階段。
——數據存儲：數據以任何數字格式進行物理存儲或云存儲的階段。
——數據處理：組織機構在內部針對數據進行計算、分析、可視化等操作的階段。
——數據交換：組織機構與外部組織機構及個人進行數據交互的階段。
——數據銷毀：通過對數據及數據存儲介質通過相應的操作手段，使數據徹底消除且無法通過任何手段恢復的過程。

5.4.2　數據安全過程域體系

本標準的數據安全過程域（PA）體系分為數據生命周期安全過程和通用安全過程兩部分，共包含28個過程域（PA），如圖2所示。

其中，各個過程域（PA）分別有對應的編號，比如PA01，代表過程域“數據分類分級”。每個過程域由一些基本實踐（BP）組成。基本實踐用BP.XX.XX來進行編號，第一組編碼表示所在過程域（PA）的序號，第二組編碼表示具體基本實踐（BP）的序號。例如，BP.01.01表示，過程域PA01“數據分類分級”中的第一個基本實踐。
對于每個過程域（PA）的每個級別，需要同時滿足本級別和所有低于該級別的基本實踐（BP）的要求，才能達到本級別的能力水平，依此類推。

• 數據采集安全的過程域（PA01~PA04）包括：數據分類分級、數據采集告知同意、數據源鑒別及記錄、數據質量管理四個過程域，相關內容在第6章進行了詳細介紹。
• 數據傳輸安全的過程域（PA05~PA06）包括：數據傳輸加密、網絡可用性管理兩個過程域，相關內容在第7章進行了詳細介紹。
• 數據存儲安全的過程域（PA07~PA09）包括：存儲介質安全、邏輯存儲安全、數據備份和恢復三個安全過程域，相關內容在第8章進行了詳細介紹。
• 數據處理安全的過程域（PA10~PA13）包括：數據脫敏、數據分析安全、數據正當使用、數據處理環境安全四個安全過程域，相關內容在第9章進行了詳細介紹。
• 數據交換安全的過程域（PA14~PA17）包括：數據導入導出安全、數據共享安全、數據發布安全、數據接口安全四個安全過程域，相關內容在第10章進行了詳細介紹。
• 數據銷毀安全的過程域（PA18~PA19）包括：數據銷毀處置、介質銷毀處置兩個安全過程域，相關內容在第11章進行了詳細介紹。

通用安全的過程域（PA20~PA27）包括：數據安全策略規劃、人力資源安全、合規管理、數據資產管理、數據供應鏈安全、元數據安全、終端數據安全、監控與審計八個過程域，相關內容在第12章進行了詳細介紹。