<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T37988-2019 信息安全技術數據安全能力成熟度模型
    展開或關閉
    前言
    前言
    引言
    引言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 縮略語
    縮略語
    5 數據安全能力成熟度模型架構
    5.1 成熟度模型架構圖 5.2 安全能力維度 5.3 能力成熟度等級 5.4 數據安全過程
    6 數據采集安全
    6.1 PA01 數據分類分級 6.2 PA02 數據采集告知同意 6.3 PA03 數據源鑒別及記錄 6.4 PA04 數據質量管理
    7 數據傳輸安全
    7.1 PA05數據傳輸加密 7.2 PA06網絡可用性管理
    8 數據存儲安全
    8.1 PA07存儲介質安全 8.2 PA08邏輯存儲安全 8.3 PA09數據備份和恢復
    9 數據處理安全
    9.1 PA10 數據脫敏 9.2 PA11 數據分析安全 9.3 PA12 數據正當使用 9.4 PA13 數據處理環境安全
    10 數據交換安全
    10.1 PA14數據導入導出安全 10.2 PA15數據共享安全 10.3 PA16數據發布安全 10.4 PA17數據接口安全
    11 數據銷毀安全
    11.1 PA18數據銷毀處置 11.2 PA19介質銷毀處置
    12 通用安全
    12.1 PA21 數據安全策略規劃 12.2 PA21 人力資源安全 12.3 PA22 合規管理 12.4 PA23 數據資產管理 12.5 PA24 數據供應鏈安全 12.6 PA25 元數據安全 12.7 PA26 終端數據安全 12.8 PA27 監控與審計
    附錄A(資料性附錄)能力成熟度等級描述與通用實踐
    A.1 概述 A.2 能力成熟度等級1—非正式執行 A.3 能力成熟度等級2—計劃跟蹤 A.4 能力成熟度等級3—充分定義 A.5 能力成熟度等級4—量化控制 A.6 能力成熟度等級5—持續優化
    附錄B(資料性附錄)能力成熟度等級評估方法
    B.1 能力成熟度等級綜合判定參考方法 B.2 能力成熟度等級維度與數據安全過程域維度之間的映射關系
    附錄C(資料性附錄)能力成熟度等級評估流程和模型使用方法
    C.1 能力成熟度等級評估流程 C.2 能力成熟度模型使用方法
    參考文獻
    參考文獻

    12.3 PA22 合規管理

    GB/T37988-2019 信息安全技術數據安全能力成熟度模型 /

    12.3 PA22 合規管理

    12.3.1 過程域描述

    持續跟進組織機構需符合的法律法規要求,以保證組織機構業務的發展不會面臨個人信息保護、重要數據保護、跨境數據傳輸等方面的安全合規的風險。

    12.3.2 等級描述

    12.3.2.1 等級1: 非正式執行

    ? 組織建設:未設置專門的在個人信息保護、重要數據保護、跨境數據傳輸等方面的數據安全合規崗位和人員,安全合規工作的開展主要以業務觸發的形式實現。(BP.22.01)

    12.3.2.2 等級 2: 計劃跟蹤

    ? 組織建設:在核心業務或系統中,明確了個人信息保護重要數據保護、跨境數據傳輸等方面的數據安全合規崗位和人員,負責組織機構的個人信息保護、重要數據保護、跨境數據傳輸等方面的安全合規工作,負責對組織機構核心業務或系統所涉及的數據安全合規要求進行整理并執行合規風險控制的工作。(BP.22.03)
    ? 制度流程:通過對外部的個人信息保護、重要數據保護、跨境數據傳輸等方面的安全合規要求的識別,將合規要求更新于組織機構內部各業務部門相關的制度流程中,并在重要環節中設置了相應的管控措施,但未在組織機構內部形成統一的數據安全合規的原則和規范。(BP.22.04)

    12.3.2.3 等級 3: 充分定義

    ? 組織建設:在組織機構層面,設立了專職的在個人信息保護、重要數據保護、跨境數據傳輸等方面的合規崗位和人員,并建立數據安全合規團隊,該團隊包含法律合規人員、數據安全人員、業務人員、技術人員等,負責明確組織機構在個人信息保護、重要數據保護、跨境數據傳輸等方面的安全合規需求,制定數據安全合規的規范要求和解決方案,推進其在組織機構整體范圍內的落地。(BP.22.06)
    ? 制度流程:
    1) 梳理了組織機構所有的外部合規要求清單,并通過定期跟進監管合規機構的同臺更新該合規要求清單。同時,將該合規要求清單拆分發送給相關方,并對相關方宣貫合規要求的內容,以保證組織機構整體合規意識的提升。(BP.22.07)
    2) 依據個人信息保護相關法律法規和GB/T 35273—2017《信息安全技術 個人信息安全規范》的要求,建立組織機構統一的個人信息保護制度規范。(BP.22.08)
    3) 依據《網絡安全法》等法律法規及相關標準中對重要數據的保護要求,建立組織機構統一的重要數據全生命周期保護的制度規范;針對組織機構內部因業務架構、組織機構職能變更而引發的重要數據流向發生的變化,建立有效的變更管控機制,以實現重要數據流向變化時可能引發的合規風險。(BP.22.09)
    4) 依據《網絡安全法》等法律法規和標準中對數據跨境傳輸的安全要求,建立組織機構統一的數據跨境傳輸的制度規范,明確數據跨境傳輸的安全策略、管理制度、管理規范和管控措施。并建立業務中涉及數據跨境傳輸時相關的處理流程和審批流程。(BP.22.10)
    ? 技術工具:
    1) 建立了在線的數據安全合規庫,對安全合規有需求的人員可以通過該庫查詢相關合規的需求。(BP.22.11)
    2) 建立組織機構個人信息保護安全技術方案,實現對個人信息處理過程中的匿名化、去標識化等,并提供在線保護和控制措施;采取必要的技術手段進行個人信息保護,包括但不限于針對個人信息在線采集的自動化控制以及在個人信息處理的相關安全控制工具等。(BP.22.12)
    3) 依據《網絡安全法》等法律法規中對重要數據的保護要求,制定針對重要數據的風險監控技術方案;記錄重要數據的全生命周期操作行為日志,對重要數據生命周期相關操作行為進行合規性分析,以獲取其合規性實踐的整體情況。(BP.22.13)
    4) 建立數據跨境傳輸相應的在線審批流程,從而對數據跨境傳輸的相關申請和審批進行有效的記錄,并分析整體安全合規情況。(BP.22.14)

    12.3.2.4 等級 4: 量化控制

    ? 制度流程:
    1) 基于組織機構內部各類業務場景所涉及的針對個人信息保護、重要數據保護、跨境數據傳輸等方面的不同的安全風險,在組織機構整體的數據安全制度規范的要求下建立詳細的的針對個人信息保護、重要數據保護、跨境數據傳輸等方面的指導細則。(BP.22.16)
    2) 定期或在發生重大信息安全事件后,對個人信息保護、重要數據保護、數據跨境傳輸有關的制度流程進行審查和檢驗,記錄審查和檢驗結果并提交組織機構最高的數據安全管理組織審批。(BP.22.17)
    ? 技術工具:
    1) 量化組織機構整體的合規情況,并將合規的結果通過圖形化的方式呈獻給管理層,以保證得到管理層對組織機構整體合規情況的有效了解。(BP.22.18)
    2) 針對個人信息保護、重要數據保護、跨境數據傳輸的技術手段建立有效的評價機制,保證相關效果的量化管理。(BP.22.19)

    12.3.2.5 等級 5: 持續優化

    ? 組織建設:設置專門的合規崗位負責與監管機構對接,跟進監管機構最新的合規監管動態,并積極參到合規要求的前期定制過程中。(BP.22.21)
    ? 制度流程:密切關注國內外的合規監管情況,對合規監管的要求進行及時的跟進,已反饋到組織機構內部的合規管理工作中。(BP.22.22)

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类