信息安全技术数据安全能力成熟度模型(GB-T 37988-2019).pdf

《信息安全技术数据安全能力成熟度模型(GB-T 37988-2019).pdf》由会员分享，可在线阅读，更多相关《信息安全技术数据安全能力成熟度模型(GB-T 37988-2019).pdf（59页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T XXXXXXXXX信息安全技术数据安全能力成熟度模型Information security techniques Data security capability maturity model（报批稿）2018-5-19XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.V引言.VI1 范围.12 规范性引用文件.13 术语和定义.14 缩略语.35 数据安全能力成熟度模型架构.35.1 成熟度模型架构图.35.2 安全能力维度.45.2.1 能力构成.

2、45.2.2 组织建设.45.2.3 制度流程.45.2.4 技术工具.45.2.5 人员能力.55.3 能力成熟度等级.55.4 数据安全过程.65.4.1 数据生命周期的各个阶段.65.4.2 数据安全过程域体系.66 数据采集安全.86.1 PA01 数据分类分级.86.1.1 过程域描述.86.1.2 等级描述.86.2 PA02 数据采集告知同意.96.2.1 过程域描述.96.2.2 等级描述.96.3 PA03 数据源鉴别及记录.106.3.1 过程域描述.106.3.2 等级描述.106.4 PA04 数据质量管理.116.4.1 过程域描述.116.4.2 等级描述.117

3、数据传输安全.137.1 PA05 数据传输加密.137.1.1 过程域描述.137.1.2 等级描述.137.2 PA06 网络可用性管理.14GB/T XXXXXXXXXII7.2.1 过程域描述.147.2.2 等级描述.148 数据存储安全.158.1 PA07 存储介质安全.158.1.1 过程域描述.158.1.2 等级描述.158.2 PA08 逻辑存储安全.168.2.1 过程域描述.168.2.2 等级描述.168.3 PA09 数据备份和恢复.178.3.1 过程域描述.178.3.2 等级描述.179 数据处理安全.189.1 PA10 数据脱敏.189.1.1 过程域描

4、述.189.1.2 等级描述.189.2 PA11 数据分析安全.199.2.1 过程域描述.199.2.2 等级描述.199.3 PA12 数据正当使用.219.3.1 过程域描述.219.3.2 等级描述.219.4 PA13 数据处理环境安全.229.4.1 过程域描述.229.4.2 等级描述.2210 数据交换安全.2310.1 PA14 数据导入导出安全.2310.1.1 过程域描述.2310.1.2 过程域描述.2310.2 PA15 数据共享安全.2410.2.1 过程域描述.2410.2.2 等级描述.2410.3 PA16 数据发布安全.2610.3.1 过程域描述.261

5、0.3.2 等级描述.2610.4 PA17 数据接口安全.2710.4.1 过程域描述.2710.4.2 等级描述.2711 数据销毁安全.2811.1 PA18 数据销毁处置.2811.1.1 过程域描述.2811.1.2 等级描述.2811.2 PA19 介质销毁处置.29GB/T XXXXXXXXXIII11.2.1 过程域描述.2911.2.2 等级描述.2912 通用安全.3012.1 PA21 数据安全策略规划.3012.1.1 过程域描述.3012.1.2 等级描述.3012.2 PA21 人力资源安全.3212.2.1 过程域描述.3212.2.2 等级描述.3212.3 P

6、A22 合规管理.3412.3.1 过程域描述.3412.3.2 等级描述.3412.4 PA23 数据资产管理.3612.4.1 过程域描述.3612.4.2 等级描述.3612.5 PA24 数据供应链安全.3712.5.1 过程域描述.3712.5.2 数据安全能力等级描述.3712.6 PA25 元数据安全.3812.6.1 过程域描述.3812.6.2 等级描述.3812.7 PA26 终端数据安全.3912.7.1 过程域描述.3912.7.2 等级描述.3912.8 PA27 监控与审计.4012.8.1 过程域描述.4012.8.2 等级描述.40附录A（资料性附录）能力成熟度

7、等级描述与通用实践.42A.1 概述.42A.2 能力成熟度等级 1非正式执行.42A.2.1 能力成熟度等级描述.42A.2.2 GP 1.1 组织建设.42A.2.3 GP 1.2 制度流程.42A.2.4 GP 1.3 技术工具.42A.2.5 GP 1.4 人员能力.42A.3 能力成熟度等级 2计划跟踪.42A.3.1 能力成熟度等级描述.42A.3.2 GP 2.1 组织建设.43A.3.3 GP 2.2 制度流程.43A.3.4 GP 2.3 技术工具.43A.3.5 GP 2.1.4 人员能力.43A.4 能力成熟度等级 3 充分定义.43GB/T XXXXXXXXXIVA.4

8、.1 能力成熟度等级描述.43A.4.2 GP 3.1 组织建设.44A.4.3 GP 3.2 制度流程.44A.4.4 GP 3.3 技术工具.44A.4.5 GP 3.4 人员能力.44A.5 能力成熟度等级 4 量化控制.44A.5.1 能力成熟度等级描述.44A.5.2 GP 4.1 组织建设.45A.5.3 GP 4.2 制度流程.45A.5.4 GP 4.3 技术工具.45A.5.5 GP 4.4 人员能力.45A.6 能力成熟度等级 5 持续优化.45A.6.1 能力成熟度等级描述.45A.6.2 GP 5.1 组织建设.45A.6.3 GP 5.2 制度流程.46A.6.4 G

9、P 5.3 技术工具.46A.6.5 GP 5.4 人员能力.46附录B（资料性附录）能力成熟度等级评估方法.47B.1 能力成熟度等级综合判定参考方法.47B.2 能力成熟度等级维度与数据安全过程域维度之间的映射关系.47附录C（资料性附录）能力成熟度等级评估流程和模型使用方法.49C.1 能力成熟度等级评估流程.49C.2 能力成熟度模型使用方法.49参考文献.51GB/T XXXXXXXXXV前言本标准依据GB/T1.12009标准化工作导则 第1部分：标准的结构和编写 给出的规则进行起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全

10、标准化技术委员会（SAC/TC 260）提出并归口。本标准起草单位：阿里巴巴（北京）软件服务有限公司、中国电子技术标准化研究院、中国信息安全测评中心、北京奇安信科技有限公司、联想（北京）有限公司、国家信息安全工程技术研究中心、公安部第三研究所、清华大学、中国信息安全认证中心、中国科学院软件所、中国移动通信集团公司、阿里云计算有限公司、北京天融信科技股份有限公司、中国科学院信息工程研究所、北京华宇信息技术有限公司、陕西省信息化工程研究院、西北大学、北京易华录信息技术股份有限公司、新华三集团、勤智数码科技股份有限公司、北京数字认证股份有限公司、启明星辰信息技术集团股份有限公司、海信集团、银川市大数

11、据管理服务局、南京中新赛克科技有限责任公司、北京微步在线科技有限公司、上海观安信息技术有限公司、亚信科技（成都）有限公司、华为技术有限公司、三六零科技股份有限公司。本标准主要起草人：朱红儒、刘贤刚、李克鹏、胡影、贾雪飞、叶润国、梅婧婷、叶晓俊、薛勇、谢安明、潘亮、孙明亮、郑斌、郑新华、杜跃进、柯妍、张玉东、徐雨晴、张世长、宋玲娓、苗光胜、刘玉岭、侯金刚、潘正泰、张锐卿、任卫红、金涛、任兰芳、常玲、赵蓓、张大江、唐海龙、罗海龙、孙晓军、李正、孙骞、赵江、陈驰、马红霞、陈彩芳、高冀鹏、鲁晋、杨宇波、白晓媛、刘伟、谢江、王川、周薇茹、杜青峰、薛坤、程瑜琦、尤其、王伟、张屹、何军。GB/T XXXXX

12、XXXXVI引言随着互联网、物联网、云计算等技术的快速发展，以及智能终端、网络社会、数字地球等信息体的普及和建设，全球数据量出现爆炸式增长，形成了大数据环境。伴随着大数据技术的发展，组织机构在业务发展、内部运营等关键环节利用大数据技术对业务进行优化以发掘出更多的数据价值。在内部管理运营过程中，组织机构利用大数据技术驱动业务的发展和组织的运营，极大程度改变了工作模式和业务发展方向，也对组织机构的数据安全保障带来了新的挑战。数据的高速流通性让组织机构内部信息系统、网络区域之间的边界越发模糊；而在大数据技术的广泛应用中，大数据大容量、多种类和可变性等特性对组织机构的数据管理能力提出了更高的要求。组织

13、机构除关注自身业务产生的数据外，也在采集外部第三方组织或人员的数据来丰富自己的数据资源，以及开放和共享自身的数据给其他组织机构，数据在不同组织机构间的流通和处理成为不可避免的趋势。数据作为组织机构的重要资产，一方面面临着传统环境中的数据安全风险，另一方面也面临着大数据环境下所特有的数据安全风险。数据安全成为了当前产业环境下各类组织机构共同关注的安全命题。数据安全的保障需要基于以数据为中心的安全保障思路，即从组织机构业务范围内的数据生命周期的角度出发，结合组织机构各类数据业务发展所体现的安全需求开展数据安全保障工作。数据安全能力成熟度模型（以下简称“模型”）关注组织机构开展数据安全工作时应具备的

14、数据安全能力，定义数据安全保障的模型框架和方法论，提出对组织机构的数据安全能力成熟度的分级评估方法，以衡量组织机构的数据安全能力，促进组织机构了解并提升自身的数据安全水平，促进数据在组织机构之间的交换与共享，充分发挥数据的价值。GB/T XXXXXXXXX1信息安全技术数据安全能力成熟度模型1范围本标准规定了组织机构数据安全保障的能力成熟度模型，以数据为中心，重点围绕数据生命周期，从组织建设、制度流程、技术工具和人员能力四个方面进行安全保障。本标准适用于对组织机构数据安全能力进行评估，也可供组织机构开展数据安全能力建设时参考。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引

15、用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 250692010 信息安全技术术语GB/T 352732017 信息安全技术个人信息安全规范GB/T 352742017 信息安全技术大数据服务安全能力要求3术语和定义GB/T 250692010中界定的以及下列术语和定义适用于本文件。3.1数据安全data security保护数据的机密性、完整性和可用性。3.2数据安全能力data security capability组织机构在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障能力。3.3成熟度maturity

16、对一个组织的有条理的持续改进能力以及实现特定过程的连续性、可持续性、有效性和可信度的度量。3.4成熟度模型maturity model对一个组织机构的成熟度进行度量的模型，包括一系列的代表能力和进展的特征、属性、指示或是模式。成熟度模型提供一个组织机构衡量其当前的实践、流程、方法的能力水平的基准，并设置提升的目标。GB/T XXXXXXXXX23.5安全过程 security process用于实现安全目标的过程，该过程包含输入和输出。例如“安全审计”这一安全过程，输入是系统日志，输出是审计报告。3.6过程域 process area实现同一安全目标的一系列数据安全基本实践的集合。一个过程域中

17、包含一个或多个基本实践。例如“元数据安全”这一过程域，包含建立元数据管理规范、建立元数据访问控制策略、建立元数据技术工具等基本实践。3.7基本实践 base practices实现某一安全目标的数据安全相关活动。例如建立数据资产清单，对数据资产进行分类分级管理等。3.8通用实践 generic practices在评估中用于确定任何安全过程域或基本实践的实施能力的评定准则。例如“持续优化”这一能力成熟度等级，包含四个通用实践：优化组织建设、优化制度流程、优化技术工具和优化人员能力。通用实践用于评定实施安全过程或基本实践的能力等级。3.9数据脱敏 data desensitization通过模糊

18、化等方法对原始数据进行处理以屏蔽敏感信息的一种数据保护方法。3.10数据产品 data product直接或间接使用数据的产品，包括但不限于能访问原始数据，提供数据计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的软件产品。3.11数据处理 data processing对原始数据进行抽取、转换、加载的过程，包括开发数据产品或数据分析等。3.12数据供应链 data supply chain指为满足数据供应关系，通过资源和过程将需方、供方相互连接的网链结构，可用于供方将数据及其产品与服务提供给需方。3.13合规 compliance对数据安全所适用的法律法规的遵循。GB/T XXX

19、XXXXXX34缩略语下列缩略语适用于本标准：BP基本实践（Base Practice）CF共性特征（Commnon Feature）CMM能力成熟度模型（Capability Maturity Model）DSMM数据安全能力成熟度模型（Data Security Capability Maturity Model）GP通用实践（Generic Practice）PA过程域（Process Area）5数据安全能力成熟度模型架构5.1成熟度模型架构图本标准借鉴能力成熟度模型（CMM）的思想，以CMM的通用实践衡量能力成熟度等级，基于数据生命周期及通用安全过程定义数据安全过程域和基本实践，指导

20、组织机构如何满足目标能力成熟度等级所对应的安全要求。数据安全能力成熟度模型（DSMM）的模型架构如图1所示：图 1数据安全能力成熟度模型架构图数据安全能力成熟度模型的架构由以下三个维度构成：（1）安全能力维度GB/T XXXXXXXXX4安全能力维度明确了组织机构在数据安全领域所需具备的能力，包括组织建设、制度流程、技术工具和人员能力四个关键能力。安全能力维度在第 5.2 节进行了详细说明。（2）能力成熟度等级维度本标准对组织机构的数据安全能力成熟度的分级评估，是基于各能力成熟度等级下的数据安全能力通用实践（GP，Generic Practices）所定义的分级评估方法，对各数据安全过程进行的

21、能力成熟度等级评估。本标准的能力成熟度等级划分为五级，具体包括：1 级是非正式执行级，2 级是计划跟踪级，3 级是充分定义级，4 级是量化控制级，5 级是持续改进级。能力成熟度等级在第 5.3 节进行了定义，并在附录 A 中进行了详细介绍。（3）数据安全过程维度数据安全过程包括数据生命周期安全过程和通用安全过程。数据安全过程在第 5.4 节进行了说明，各安全过程由若干个安全过程域（PA，Process Area）组成，各个安全过程域由若干个基本实践（BP，Base Practices）组成。数据生命周期安全过程具体包括：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据

22、销毁安全六个阶段的安全过程，六个阶段安全过程的过程域和基本实践分别在第 6、7、8、9、10、11 章进行了详细介绍。通用安全过程，是与各个生命周期都相关的过程，通用安全的过程域和基本实践在第 12 章进行了详细介绍。5.2安全能力维度5.2.1能力构成通过对组织机构各数据安全过程所需具备安全能力的量化，能够评估每项安全过程的实现能力。安全能力从组织建设、制度流程、技术工具及人员能力四个关键能力展开。组织建设：数据安全组织机构的架构建立、职责分配和沟通协作。制度流程：组织机构数据安全领域的制度规范和流程执行。技术工具：通过技术手段和产品工具固化安全要求或自动化实现安全工作。人员能力：执行数据安

23、全工作的人员的意识及专业能力。5.2.2组织建设从承担数据安全工作的组织机构应具备的组织建设能力出发，根据以下方面进行能力等级区分：数据安全组织架构对组织业务的适用性。数据安全组织机构承担的工作职责的明确性。数据安全组织机构运作、沟通协调的有效性。5.2.3制度流程从组织机构在数据安全制度流程的建设以及执行情况出发，根据以下方面进行能力等级区分：数据生命周期关键控制节点授权审批流程的明确性。相关流程制度的制定、发布、修订的规范性。制度流程落地执行的一致性和有效性。5.2.4技术工具从组织机构用于开展数据安全工作的安全技术、应用系统和自动化工具出发，根据以下方面进行能力等级区分：GB/T XXX

24、XXXXXX5数据安全技术在数据全生命周期过程中的利用情况，针对数据全生命周期安全风险的应对能力。利用技术工具对数据安全工作的自动化支持能力，对数据安全制度流程固化执行的支持能力。5.2.5人员能力从组织机构承担数据安全工作的人员应具备的能力出发，根据以下方面进行能力等级区分：数据安全人员所具备的数据安全技能是否能够满足复合型能力要求(对数据相关业务的理解程度以及数据安全专业能力)。数据安全人员的数据安全意识以及对关键数据安全岗位员工数据安全能力的培养。5.3能力成熟度等级组织机构的数据安全能力成熟度等级共分为 5 级，随着组织机构的数据安全能力成熟度的不断提升，数据安全能力成熟度从 1 级至

25、 5 级逐级提高。数据安全能力成熟度等级的定义与共性特征如表 1 所示：表 1.数据安全能力成熟度等级定义与共性特征数据安全能力数据安全能力成熟度等级成熟度等级共性特征详述共性特征详述成熟度等级成熟度等级特征特征等级等级 1:1:非正式执行非正式执行执行基本实践执行基本实践：组织机构在数据安全过程中不能有效地执行相关工作，仅在部分业务场景执行过程中根据临时的需求执行了相关工作，未形成成熟的机制保证相关工作的持续有效进行，执行相关工作的人员能力也未得到保障。所执行的过程称为“非正式过程”。随机、无序、被动地执行安全过程，依赖于个人经验，无法复制。等级等级 2:计划跟踪计划跟踪规划执行：规划执行：

26、对安全过程进行规划，提前分配资源和责任。规范化执行规范化执行：对安全过程进行控制，使用执行计划、执行基于标准和程序的过程，对数据安全过程实施配置管理。验证执行验证执行：确认过程按照预定的方式执行，验证过程的执行与计划是一致的。跟踪执行跟踪执行：控制数据安全过程执行的进展，通过可测量的计划跟踪过程的执行，当过程实践与计划产生重大偏离时采取修正行动。在业务系统级别主动地实现了安全过程的计划与执行，但没有形成体系化。等级等级 3:充分定义充分定义定义标准过程定义标准过程：组织机构对标准过程进行制度化，为组织机构定义标准化的过程文档，为满足特定用途对标准过程进行裁剪。执行已定义的过程执行已定义的过程：

27、充分定义的过程是可重复执行的，并使用过程执行的结果数据，对有缺陷的过程结果和安全实践进行核查。协调安全实践协调安全实践：确定业务系统内、各业务系统之间、组织机构外部活动的协调机制。在组织级别实现了安全过程的规范定义与执行。等级等级 4:量化控制量化控制建立可测的安全目标建立可测的安全目标：为组织机构的数据安全建立可测量目标。客观地管理执行客观地管理执行：确定过程能力的量化测量，使用量化测量管理安全过程，并以量化测量作为修正行动的基础。建 立 了 量 化 目标，安全过程可进 行 度 量 与 预测。等级等级 5:改进组织能力改进组织能力：在整个组织机构范围内对标准过程的使用进根据组织机构的GB/T

28、 XXXXXXXXX6数据安全能力数据安全能力成熟度等级成熟度等级共性特征详述共性特征详述成熟度等级成熟度等级特征特征持续优化持续优化行比较，寻找改进标准过程的机会，并进行改进。改进过程有效性改进过程有效性：制定处于持续改进状态下的标准过程，对标准过程的缺陷进行消除，并对标准过程进行持续改进。整体目标，不断改进和优化安全过程。本标准针对组织机构在每个安全过程域（PA）的能力，将数据安全能力成熟度划分为五个能力成熟度等级，并针对每个等级下组织机构应具备的能力要求，从数据安全能力四个关键能力（组织建设、制度流程、技术工具及人员能力）提出具体的基本实践（BP）。其中，并非每个安全过程域（PA）的能力

29、成熟度等级都包含完整的四个数据安全关键能力，尤其是针对安全过程域（PA）的低级别的能力成熟度等级而言。例如，某些过程域（PA）的 2 级要求需要具备组织建设和制度流程两个关键能力，3 级要求具备全部四个关键能力，而 4 级和 5 级的能力要求仅涉及部分关键能力如组织建设、技术工具的提升。对于每个数据安全过程域，高等级的能力要求包括所有低等级能力要求。针对某一具体数据安全过程域，如果 5 级的能力要求中未涉及某一关键能力的内容，则默认需达到在 4 级的能力要求中的该关键能力的内容；如果 4 级的能力要求中依旧未涉及该关键能力，则默认需达到在 3 级的能力要求中该关键能力的内容，依此类推。能力成熟

30、等级的详细描述及其通用实践（GP）在本标准的附录 A 中进行了详细介绍。5.4数据安全过程5.4.1数据生命周期的各个阶段本标准基于大数据环境下数据在组织机构业务中的流转情况，定义了数据生命周期的六个阶段：数据采集：组织机构内部系统中新产生数据，以及从外部系统收集数据的阶段。数据传输：数据从一个实体通过网络流动到另一个实体的阶段。数据存储：数据以任何数字格式进行物理存储或云存储的阶段。数据处理：组织机构在内部针对数据进行计算、分析、可视化等操作的阶段。数据交换：组织机构与外部组织机构及个人进行数据交互的阶段。数据销毁：通过对数据及数据存储介质通过相应的操作手段，使数据彻底消除且无法通过任何手段

31、恢复的过程。特定的数据所经历的生命周期由实际的业务场景所决定，并非所有的数据都会完整的经历六个阶段。5.4.2数据安全过程域体系本标准的数据安全过程域（PA）体系分为数据生命周期安全过程和通用安全过程两部分，共包含28个过程域（PA），如图2所示。GB/T XXXXXXXXX7图 2数据安全过程域体系其中，各个过程域（PA）分别有对应的编号，比如 PA01，代表过程域“数据分类分级”。每个过程域由一些基本实践（BP）组成。基本实践用 BP.XX.XX 来进行编号，第一组编码表示所在过程域（PA）的序号，第二组编码表示具体基本实践（BP）的序号。例如，BP.01.01 表示，过程域 PA01“数

32、据分类分级”中的第一个基本实践。对于每个过程域（PA）的每个级别，需要同时满足本级别和所有低于该级别的基本实践（BP）的要求，才能达到本级别的能力水平，依此类推。数据生命周期的安全过程包括数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个安全过程，具体内容如下：数据采集安全的过程域（PA01PA04）包括：数据分类分级、数据采集告知同意、数据源鉴别及记录、数据质量管理四个过程域，相关内容在第 6 章进行了详细介绍。数据传输安全的过程域（PA05PA06）包括：数据传输加密、网络可用性管理两个过程域，相关内容在第 7 章进行了详细介绍。数据存储安全的过程域（P

33、A07PA09）包括：存储介质安全、逻辑存储安全、数据备份和恢复三个安全过程域，相关内容在第 8 章进行了详细介绍。数据处理安全的过程域（PA10PA13）包括：数据脱敏、数据分析安全、数据正当使用、数据处理环境安全四个安全过程域，相关内容在第 9 章进行了详细介绍。数据交换安全的过程域（PA14PA17）包括：数据导入导出安全、数据共享安全、数据发布安全、数据接口安全四个安全过程域，相关内容在第 10 章进行了详细介绍。数据销毁安全的过程域（PA18PA19）包括：数据销毁处置、介质销毁处置两个安全过程域，相关内容在第 11 章进行了详细介绍。通用安全的过程域（PA20PA27）包括：数据安

34、全策略规划、人力资源安全、合规管理、数据资产管理、数据供应链安全、元数据安全、终端数据安全、监控与审计八个过程域，相关内容在第 12 章进行了详细介绍。GB/T XXXXXXXXX86数据采集安全6.1PA01 数据分类分级6.1.1过程域描述基于法律法规以及业务需求确定组织机构内部的数据分类分级方法，对生成或收集的数据进行分类分级标识。6.1.2等级描述6.1.2.1等级 1:非正式执行制度流程：未定义组织机构的数据安全分类分级原则，仅在部分业务场景中对数据进行分类分级。（BP.01.01）6.1.2.2等级 2:计划跟踪组织建设：在核心业务系统中，由业务团队负责相关业务场景的数据分类分级。

35、(BP.01.02)制度流程：1)根据组织机构的业务特性以及组织机构面临的外部合规要求，在组织机构的数据安全规范中明确定义组织机构的数据安全分类分级原则。(BP.01.03)2)根据数据的安全分类分级原则,各业务团队分别对其负责的关键数据进行安全分类分级的划分。(BP.01.04)6.1.2.3等级 3:充分定义组织建设：1)组织机构设立了负责数据安全分类分级工作的管理岗位和人员，主要负责对组织机构整体的数据安全分类分级的原则定义和能力提供。(BP.01.05)2)由各业务团队的数据管理者/数据安全管理者负责具体对数据的分类分级工作。(BP.01.06)制度流程：1)对数据资产进行分类分级管理

36、，制定组织机构层面的数据分类分级原则、定义和方法，针对具体的关键业务场景制定数据安全分类分级的细则。(BP.01.07)2)依据数据资产分类分级要求建立相应的标记策略、访问控制、数据加解密、数据脱敏等安全管理和控制措施。(BP.01.08)3)制定数据分类分级的建立及变更审核流程，通过该流程保证对数据分类分级的变更操作及其结果符合组织机构的策略要求。(BP.01.09)技术工具：1)建立数据的安全分类分级标识工具；基于组织机构的数据资产安全分类分级策略对数据进行自动的分类分级标识，实现数据标识结果的发布和审核等。(BP.01.10)2)对数据分类分级的操作、变更过程进行日志的记录和分析，定期通

37、过日志分析等技术手段进行变更操作审计，确保数据分类分级过程可追溯。(BP.01.11)人员能力：负责该项工作的人员应理解组织机构内数据所处的业务场景，及数据一旦发生泄漏所造成的风险。（BP.01.12）6.1.2.4等级 4:量化控制GB/T XXXXXXXXX9技术工具：1)记录数据自动化分类分级的结果与人工审核后的分类分级结果之间的差异，定期分析改进分类分级标识工具，以提升工具处理的准确度。(BP.01.13)2)记录人工审核阶段将数据安全级别向低级别调整的情况，定期审核此类场景下是否存在人为的错误。(BP.01.14)6.1.2.5等级 5:持续优化制度流程：定期评审数据分类分级的规范和

38、细则，考虑其内容是否完全覆盖了当前的业务场景，并执行持续的改进优化工作。(BP.01.15)6.2PA02 数据采集告知同意6.2.1过程域描述在采集外部客户、合作伙伴等相关方的数据的过程中，需明确采集数据的目的和用途，确保数据源的真实性、有效性和最少够用等原则要求，并规范数据采集的渠道、数据的格式以及相关的流程和方式，从而保证数据采集的合规性、正当性和执行上的一致性，符合相关法律法规要求。6.2.2等级描述6.2.2.1等级 1:非正式执行制度流程：未建立对数据采集进行规范管理的流程，仅有部分业务系统中根据数据采集过程中涉及的法律法规需求执行合规风险审查。(BP.02.01)6.2.2.2等

39、级 2:计划跟踪组织建设：在核心业务中，指定了相关团队或人员开展数据采集的合规管理。(BP.02.02)制度流程：根据合规要求制定数据采集规则，明示个人信息采集的目的、方式和范围，保证数据采集渠道的合法、正当。(BP.02.03)6.2.2.3等级 3:充分定义组织建设：1）成立数据采集保护的实体/虚拟团队，团队由法律人员、安全人员、业务人员共同组成。该团队负责制定相关的数据保护制度规范，并推动相关要求、流程的落地。(BP.02.04)2）涉及数据采集的业务团队设立数据采集风险评估小组，对具体业务场景下的数据采集进行风险评估并制定改进方案，组织机构负责数据安全合规的团队提供对各业务团队风险评估

40、小组工作的咨询和支持。(BP.02.05)制度流程：1）明确数据采集的目的、用途和范围，规范数据采集的流程和方法。(BP.02.06)2）明确数据采集的渠道及外部数据源，要求外部数据提供方说明数据来源，并对信息来源的合法性进行确认，确保数据采集渠道的合法性和正当性。(BP.02.07)3）按照国内法律法规相关要求，明示采集个人信息的目的、方式和范围，并经被采集者同意，不得采集与其提供的服务无关的个人信息。(BP.02.08)4）组织机构内部建立数据采集的风险评估流程，针对采集的数据源、采集频度、采集渠道、采集方式、数据范围和类型进行风险评估；涉及采集个人信息和重要数据的业务场景进一步依据相应的

41、合规要求进行合规风险的评估，并防范采集过程中可能存在的数据泄漏风险。GB/T XXXXXXXXX10(BP.02.09)5）明确数据采集过程中个人信息和重要数据的知悉范围和安全控制措施，确保采集过程中的个人信息和重要数据不被泄露。(BP.02.10)技术工具：1）在涉及数据采集的业务系统中建立统一的数据采集流程，以保证组织机构数据采集流程实现的一致性，以及授权过程的有效记录。(BP.02.11)2）采取必要的技术手段保证数据采集过程中个人信息和重要数据不被泄露。(BP.02.12)人员能力：1）负责该项工作的人员保证充分理解数据采集的法律要求、安全和业务需求，并能够根据组织机构内的业务场景提出

42、针对性的解决方案。(BP.02.13)2）建立数据采集保护部门与数据采集的业务部门之间的定期交流机制，实现数据采集的信息共享机制，提升组织机构内相关人员对合规要求以及对业务场景的理解。(BP.02.14)6.2.2.4等级 4:量化控制制度流程：建立数据采集安全合规管理效果的度量机制，如数据采集安全合规管理在业务的覆盖率、制度流程执行效果、数据采集授权率等。(BP.02.15)技术工具：1）采取必要的技术手段对采集的数据进行校验，以保证其完整性和一致性。(BP.02.16)2）针对所有在线的数据采集过程执行有效的日志管理，实现对数据采集过程的可追溯性。(BP.02.17)6.2.2.5等级 5

43、:持续优化制度流程：数据采集安全合规管理可持续优化，持续跟踪数据采集安全合规管理执行效果、新业务场景产生的需求、行业新技术和最佳实践、合规新要求新变化等。(BP.02.18)6.3PA03 数据源鉴别及记录6.3.1过程域描述对产生数据的数据源进行身份鉴别和记录，防止数据仿冒和数据伪造。6.3.2等级描述6.3.2.1等级 1:非正式执行组织建设：未设立岗位和人员负责对数据源的身份进行鉴别。(BP.03.01)制度流程：未在任何业务系统中的采集数据源进行有效管理，仅根据个别业务需求或合法合规要求对采集的数据源进行了临时的记录。(BP.03.02)6.3.2.2等级 2:计划跟踪组织建设：由各业

44、务团队的数据管理岗位和人员负责对数据源的身份进行鉴别。(BP.03.03)制度流程：在核心业务流程中，对数据采集环节建立了相应的机制执行数据源的鉴别和记录。其中，针对通过信息系统采集的数据，利用信息系统的身份认证机制保证对数据源的鉴别，并以系统日志的形式记录数据源的信息；针对线下从第三方采集的数据，利用合同协议等形式执行对数据源的鉴别及记录。(BP.03.04)技术工具：核心业务具有技术工具支持数据源鉴别和记录。(BP.03.05)GB/T XXXXXXXXX116.3.2.3等级 3:充分定义组织建设：组织机构设立了统一的数据管理岗位和人员，由其负责确立组织机构统一的数据管理原则。(BP.0

45、3.06)制度流程：1)制定数据源管理的制度规范，定义数据溯源策略和溯源机制、溯源数据表达方式和格式规范、溯源数据安全存储与使用的管理制度等，以规范化组织、存储和管理溯源数据。(BP.03.07)2)针对组织机构在业务流程中对客户及相关方采集数据场景，明确要求对相关数据源的鉴别及记录。(BP.03.08)技术工具：1)提供有效的技术工具对外部收集的数据和数据源进行识别和记录，即通过数据溯源的机制能够保证数据管理人员能够追踪其加工和计算数据相关的数据源。(BP.03.09)2)对信息系统中采集的数据采取必要的访问控制手段、备份和校验措施。(BP.03.10)人员能力：1)负责该项工作的人员能够理

46、解组织机构内部数据采集的业务场景，从而能够结合实际情况执行落地执行的方案。(BP.03.11)2)负责该项工作的人员应具备对数据源鉴别标准的一致性理解和执行的准确性。(BP.03.12)6.3.2.4等级 4:量化控制制度流程：1)组织机构定义了数据源可追溯的要求，根据组织机构内的业务场景梳理数据源的类型，并明确在关键的数据管理平台系统（如数据库管理平台系统、元数据管理平台系统）上对数据源类型的标记要求。(BP.03.13)2)建立基于溯源数据的数据业务与法律法规合规性审核机制,并依据审核结果增强或改进数据服务相关的访问控制与合规性保障机制和策略。(BP.03.14)技术工具：组织机构关键的数

47、据管理平台系统中提供了对数据的数据源类型进行标记的功能，从而实现对组织机构内部各类数据源的量化统计和分析。(BP.03.15)6.3.2.5等级 5:持续优化制度流程：对数据源鉴别模式和分类方法进行持续的改进，基于业务的发展变化以及行业最佳实践，提升数据源管理的成效。(BP.03.16)6.4PA04 数据质量管理6.4.1过程域描述建立组织机构的数据质量管理体系，保证对数据采集过程中收集/产生的数据的准确性、及时性和完整性。6.4.2等级描述6.4.2.1等级 1:非正式执行组织建设：未设立组织机构的数据质量保障岗位和人员，仅由各业务团队根据业务需求对信息系统产生的数据执行数据质量把控。(B

48、P.04.01)GB/T XXXXXXXXX126.4.2.2等级 2:计划跟踪组织建设：组织机构内由各业务团队的数据管理人员执行对相关业务的数据质量的管理。(BP.04.02)制度流程：在核心业务流程中将数据质量管理作为重要的环节。(BP.04.03)人员能力：在核心业务中，负责该项工作的人员具有数据质量管理的相关理论基础，具备基于业务场景防范数据质量风险的能力。(BP.04.04)6.4.2.3等级 3:充分定义组织建设：组织机构内成立了数据质量管理岗位和人员，由该岗位人员负责制定统一的数据质量管理规范，并对各业务的数据管理人员进行规范的培训，由各业务团队的数据管理人员按照规范的要求执行对

49、数据的标准化处理。(BP.04.05)制度流程：1)制定数据采集质量管理规范，包含数据格式要求、数据完整性要求、数据质量要素、数据源质量评价标准，以及对异常事件处理的流程和操作规范。(BP.04.06)2)建立数据采集过程中质量监控规则，明确数据质量监控范围及监控方式。(BP.04.07)技术工具：1)结合元数据管理平台，对数据实现数据资产的等级划分，从而优先实现对关键数据的数据质量资源保障。(BP.04.08)2)利用工具对在线产生数据的平台执行在线数据监控，从而实现异常数据的及时更正，同时通过对在线数据的监控强化离线数据的一致性。(BP.04.09)3)利用工具对数据仓库或数据开发平台的离

50、线关键数据进行数据质量管理和监控，从而实现离线异常数据的及时告警或更正。(BP.04.10)人员能力：1)负责该项工作的人员具有数据质量管理的相关理论基础，并能够基于组织机构的实际数据质量管理需求开展相关工作的落地推进。(BP.04.11)2)负责该项工作的人员应具备对数据质量标准的一致性理解。(BP.04.12)6.4.2.4等级 4:量化控制制度流程：1)制定数据质量分级标准，明确不同级别、类型的数据采集、清洗、转换等数据采集处理流程质量要求。(BP.04.13)2)定期对数据质量进行分析、预判和盘点规范,优化数据质量问题定位和修复时间要求。(BP.04.14)技术工具：建立数据质量的度量