GB／T 37988-2019 标准规范下载简介

GB／T 37988-2019 信息安全技术 数据安全能力成熟度模型

12.8.2.5等级5.持续优化

12.9PA28鉴别与访问控制

通过基于组织的数据安全需求和合规性要求建立身份鉴别和数据访问控制机制DB11／T 1322.29-2018 安全生产等级评定技术规范 第29部分：金属非金属矿山（地下），防止对数据的未 授权访问风险

12.9.2.1等级1.非正式执行

该等级的数据安全能力描述如下 组织建设：未在任何业务中建立成熟稳定的身份鉴别与访问控制机制，仅根据临时需求或基于个 险在个别系统中采用了身份鉴别与访问控制手段（BP.28.01)

12.9.2.2等级2.计划跟踪

GB/T379882019

核等级的数据安全能力要求描述如下： 组织建设：应由业务团队相关人员负责管理核心业务系统的用户身份及数据权限管理（BP.28.02）。 制度流程：核心业务应明确重要系统和数据库的身份鉴别、访问控制和权限管理的安全要求 (BP.28.03)。 技术工具： 1）核心业务系统应对登录的用户进行身份标识和鉴别，身份标识具有唯一性，鉴别信息具有 复杂度要求并定期更换（BP.28.04）； 2 核心业务系统应提供访问控制功能，对登录的用户分配账户和权限（BP.28.05）； 3本 核心业务系统应提供并启用登录失败处理功能，多次登录失败后应采取必要的保护措施 (BP.28.06)

12.9.2.3等级3.充分定义

该等级的数据安全能力要求描述如下： a）组织建设：组织应设立统一的岗位和人员，负责制定组织内用户身份鉴别、访问控制和权限管 理的策略，提供相关技术能力或进行统一管理（BP.28.07）。 b） 制度流程： 1）应明确组织的身份鉴别、访问控制与权限管理要求，明确对身份标识与鉴别、访问控制及 权限的分配、变更、撤销等权限管理的要求（BP.28.08）； 2 应按最少够用、职权分离等原则，授予不同账户为完成各自承担任务所需的最小权限，并 在它们之间形成相互制约的关系（BP.28.09）； 3 应明确数据权限授权审批流程，对数据权限申请和变更进行审核（BP.28.10）； 4） 应定期审核数据访问权限，及时删除或停用多余的、过期的账户和角色，避免共享账户和 角色权限冲突的存在（BP.28.11）； 5 应对外包人员和实习生的数据访问权限进行严格控制（BP.28.12）。 c） 技术工具： 1）应建立组织统一的身份鉴别管理系统，支持组织主要应用接入，实现对人员访问数据资源 的统一身份鉴别（BP.28.13）； 2 应建立组织统一的权限管理系统，支持组织主要应用接入，对人员访问数据资源进行访问 控制和权限管理（BP.28.14）； 3）应采用技术手段实现身份鉴别和权限管理的联动控制（BP.28.15）； 4） 应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴 别，且其中一种鉴别技术至少应使用密码技术来实现（BP.28.16）； 5 访问控制的粒度应达到主体为用户级，客体为系统、文件、数据库表级或字段（BP.28.17）。 d）人员能力：负责该项工作的人员应熟悉相关的数据访问控制的技术知识，并能够根据组织数据 安全管理制度对数据权限进行审批管理（BP.28.18）

12.9.2.4等级4.量化控制

该等级的数据安全能力要求描述如下： 制度流程：组织应建立数据安全角色清单，明确数据安全角色的安全要求、分配策略、授权机制 和权限范围（BP.28.19）。 b)技术工具

该等级的数据安全能力要求描述如下： a） 制度流程：组织应建立数据安全角色清单，明确数据安全角色的安全要求、分配策略、授权机 和权限范围(BP.28.19)。 h)技术工具

应建立面向数据应用的访问控制机制，包括访问控制时效的管理和验证，以及数据应用接 入的合法性和安全性取证机制（BP.28.20）； 2） 应建立人力资源管理与身份鉴别管理、权限管理的联动控制，及时删除离岗、转岗人员的 权限（BP.28.21）； 3）应采用技术手段对系统或应用访问敏感数据进行访问控制（BP.28.22）

应建立面向数据应用的访问控制机制，包括访问控制时效的管理和验证，以及数据应用接 入的合法性和安全性取证机制（BP.28.20）； 应建立人力资源管理与身份鉴别管理、权限管理的联动控制，及时删除离岗、转岗人员的 权限(BP.28.21); 应采用技术手段对系统或应用访问敏感数据进行访回控制（BP.28.22）

12.9.2.5等级5.持续优化

该等级的数据安全能力要求描述如下： 技术工具： a）应建立针对数据生存周期各阶段的数据安全主动防御机制或措施，如基于用户行为或设备行 为安全控制机制（BP.28.23）； b 应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆（BP.28.24）

该等级的数据安全能力要求描述如下： 技术工具： a）应建立针对数据生存周期各阶段的数据安全主动防御机制或措施，如基于用户行为或设备行 为安全控制机制（BP.28.23)； b 应参与国际、国家或行业相关标准制定。在业界分享最佳实践.成为行业标杆（BP.28.24)

12.10PA29需求分析

12.10.1PA 描述

12.10.2等级描述

12.10.2.1等级1.非正式执行

该等级的数据安全能力描述如下： 组织建设：未在任何业务建立成熟稳定的数据安全需求分析机制，仅根据临时需求或基于个人经验 对个别新业务进行了数据安全需求分析（BP.29.01）。 12.10.2.2等级2：计划跟踪 该等级的数据安全能力要求描述如下： a） 组织建设：业务部门应设置负责数据安全需求分析的岗位或人员（BP.29.02）。 b）制度流程：核心业务应开展数据安全需求分析（BP.29.03）。 2.10.2.3等级3：充分定义 该等级的数据安全能力要求描述如下： 组织建设：组织应设立负责数据安全需求分析的岗位和人员，负责对数据业务设计开发等阶段 开展数据安全需求分析工作，确保安全需求的有效制定和规范化表达（BP.29.04）。 b 制度流程： 1） 应明确数据安全需求分析的制定流程和评审机制，明确安全需求文档内容要求（BP.29.05）； 2） 应依据国家法律、法规、标准等要求，分析数据安全合规性需求（BP.29.06）； 3） 应结合机构战略规划、数据服务业务目标和业务特点，明确数据服务安全需求和安全规划 实施的优先级（BP.29.07）； 4）应识别数据服务面临的威胁和自身脆弱性，分析数据安全风险和应对措施需求（BP.29.08）。 c）技术工具：应建立承载数据业务的安全需求分析系统，该系统记录所有的数据业务的需求分析 的申请、需求分析以及相关安全方案，以保证对所有的数据业务的安全需求分析过程的有效追 溯（BP.29.09）。 d）人员能力：负责该项工作的人员应具有需求分析挖掘能力，对组织的数据安全管理的业务有充 46

12.10.2.2等级2.计划跟踪

12.10.2.3等级3.充分定义

GB/T379882019

分的理解，并通过培训实现各业务的需求分析人员对数据安全需求分析标准的一致性理解 (BP.29.10)

10.2.4等级4.量化控制

该等级的数据安全能力要求描述如下： 制度流程：应使用数据驱动分析方法或安全需求工程思想进行数据安全需求分析，确保数据安全 的有效表达（BP.29.11)

12.10.2.5等级5.持续优化

该等级的数据安全能力要求描述如下： a） 制度流程：应持续优化数据安全需求分析，以保证符合组织发展战略和业务发展的实际需要 (BP.29.12)。 b 人员能力：负责该项工作的人员应具有需求分析挖掘能力（BP.29.13）。 技术工具：应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆 (BP.29.14)

该等级的数据安全能力要求描述如下： a） 制度流程：应持续优化数据安全需求分析，以保证符合组织发展战略和业务发展的实际需要 (BP.29.12)。 b） 人员能力：负责该项工作的人员应具有需求分析挖掘能力（BP.29.13）。 技术工具：应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆 （BP.29.14)

12.11.1PA 描述

12.11.2等级描述

12.11.2.1等级1.非正式执行

12.11.2.2等级2:计划跟踪

12.11.2.3等级3.充分定义

2.11.2.4等级4.量化控制

12.11.2.5等级5.持续

GB/T379882019

本附录的能力成熟度等级描述与GP给出了每一个级别的数据安全PA和BP应达到的程度，GP 给出了划分数据安全PA和BP等级的原则和方法论，用于形成第6、7、8、9、10、11、12章中各PA的等 级要求。 通用实践使用GP来进行编号，第一位数字表示等级，第二位数字表示GP的序号。 示例：GP2.1表示等级2（计划跟踪级）的第一个GP

A.2能力成熟度等级1非正式执行

A.2.1能力成熟度等级描述

在这一等级上，组织的数据安全PA可被标识，相关BP通常在需要时被执行，但主要基于个人的知 识水平和经验判定，未经过严格的计划和跟踪， 在这一等级里，只是保证PA的BP以某种方式执行，仅在部分业务中根据临时的需求执行了相关 BP，未形成成熟稳定的机制保证实践的持续有效进行，数据安全保障的一致性、有效性及质量可能波动 很大，所执行的过程称为“非正式过程”

A.2.2GP1.1组织建设

（员，未形成成熟和稳定的专职/ 据安全的岗位和人员。数据安全

A.2.3GP1.2制度流程

充程，多为对特定业务需求的响应而触发。 4GP1.3技术工具 仅在部分业务场景中根据临时的需求部署数据安全的技术工具，未形成成熟和稳定的技术工具 数据安全工作，执行效果未经规范化的测量或验证

A.2.4GP1.3技术工具

A.2.5GP1.4人员能力

从事数据安全工作的人员具备数据安全意识，但仅能支撑部分业务场景工作，人员能力未得到有 保障。

A.3能力成熟度等级2计划跟踪

A.3.1能力成熟度等级描述

在这一等级上，组织机构的数据安全PA管理符合标准的规定，相关BP的执行是有计划和有跟

的，并可对实践情况进行过程验证，与等级1“非正式执行”的主要区别是BP执行过程被规范地计划和 管理。 在这一等级上，PA和BP的执行按如下的共性特征来执行： a）规划执行：对PA和BP的执行进行规划，涉及过程文档的编制、过程工具的提供、过程实践的 计划、规划执行的培训、过程资源的分配以及过程执行的责任指派，为规范化的过程执行提供 了最根本的基础； b） 规范化执行：对PA和BP的执行进行规范化管理，需要使用过程执行计划、执行基于标准和程 予的过程、对数据安全过程实施配置管理等； ） 验证执行：注重于验证过程是否按预定计划执行，涉及执行过程与计划的一致性验证； 跟踪执行：通过可测量的计划跟踪PA和BP的执行，当与计划产生重大偏离时采取修正行动 包括：执行计划、组织架构、制度流程、技术工具及人员能力等的变更和调整

A.3.2GP 2.1 组织建设

基于数据安全PA的内容，应规划并设立规范化的数据安全岗位，该岗位人员负责制定和落实组织 机构内部的数据安全要求。 同时，对组织机构的岗位设置进行验证，并对组织建设定期进行跟踪，通过测量来检查跟踪数据安

A.3.3GP2.2制度流程

建立以数据为中心的数据安全制度流程，将数据安全制度流程形成标准化文档，并按规划方式执 行，并使用文档化的计划、标准指导执行过程。 同时，将数据安全制度流程实施配置管理，进行版本控制和/或变更控制，并对制度流程进行验证 定期检查跟踪制度流程执行的状态，并建立对制度流程的测量历史记录

A.3.4GP2.3技术工具

为执行数据安全PA提供合适的技术工具，并基于版本控制和配置管理确保数据安全过程的自动 化执行。 同时，应对技术工具进行验证，定期进行跟踪，检查技术工具的状态，并建立对技术工具的测量历史 记录，

A.3.5GP2.4人员能力

对数据安全人员规划适当的培训，使其 风险管理知识，以及规范化执行数据安全过 能力。 并制定人员能力的验证计划，对人员能大 期进行考核

A.4能力成熟度等级3充分定义

A.4.1能力成熟度等级

在这一等级上，组织机构根据已批准的过程、标 的过程。与等级2“计划跟踪”的主要区别在于，使用组织级的标准过程来策划和管理数据安全 在这一等级上，PA和BP的执行按如下的共性特征来执行： a）定义标准过程：定义标准化的过程和过程文档，为满足特定用途对标准过程进行裁剪 b）执行已定义的过程：已定义的过程可重复执行，针对有缺陷的过程结果和安全实践的核查，对

GB/T379882019

缺陷过程进行规避， C 协调安全实践：对不同业务系统和组织活动间的数据安全过程建立协调机制，包括业务系统 内、组织机构的各业务系统之间、组织机构外部的协调机制

A.4.2GP3.1组织建设

组织机构设立了明确的岗位和人员，实现对数据安全人员的角色及其职责分配，并建立完备有效的 工作考核机制， 数据安全人员主要负责建立有效的数据安全保护机制，包括但不限于建立组织机构统一的安全管 理策略、制度和流程，并提供面向组织机构整体的技术标准解决方案 该岗位的数据安全人员与具体数据安全过程相关的部门（如业务部门、法律部门等），以及与组织机 构外部共同合作，建立有效的沟通和推进机制，保证数据安全组织建设相关标准的统一执行

A.4.3GP3.2制度流程

且不限于：与组织机构结构和数据业务相一致的安全策略、具有明确管控要求的制度、用于相关管控要 求流程、指导整体工作执行的实施指南等， 同时，组织机构针对数据安全相关制度流程建立标准的培训和宣传方案，保证与具体数据安全过程 相关的人员在对制度流程的理解上的一致性，并针对制度流程进行专门的缺陷复查和规避。 数据安全的制度流程能够协调业务系统内、组织机构的不同业务系统之间，以及与组织机构外部之 间以统一的标准来进行数据安全保障。

相关的人员在对制度流程的理解上的一致性，并针对制度流程进行专门的缺陷复查和规避。 数据安全的制度流程能够协调业务系统内、组织机构的不同业务系统之间，以及与组织机构外部之 间以统一的标准来进行数据安全保障。 1.4.4GP3.3技术工具 建立数据安全过程相关的在线化技术工具，固化并记录相关的流程。在组织机构内部建设、部署数 据安全技术产品，强化安全控制，并基于具体的业务场景实现了对数据安全技术产品的有效运营，以保 证产品功能对组织机构的业务场景的适用性 数据安全的技术工具应能够协调业务系统内、组织机构的不同业务系统之间，以及与组织机构外部 之间以统一的标准来实现数据安全保障

A.4.4GP3.3技术工具

安全技术产品，强化安全控制，并基于具体的业务场景实现了对数据安全技术产品的有效运营，以 产品功能对组织机构的业务场景的适用性 数据安全的技术工具应能够协调业务系统内、组织机构的不同业务系统之间，以及与组织机构外 间以统一的标准来实现数据安全保障

A.4.5GP3.4人员能力

数据安全人员应具备数据安全资质和工程实践经验，充分理解组织机构在具体数据安全过程中 的安全风险，具备风险控制和改进方案的能力，能够有效执行已定义的数据安全过程，并通过考核 和培训等方式，对能力上的不足进行补齐。 数据安全人员能够协调业务系统内、组织机构的不同业务系统之间，以及与组织机构外部之间以 的标准来实现数据安全保障

A.5能力成熟度等级4量化控制

在这一等级上，组织机构通过对BP执行情 这个等级的数据安全管理和质量控制过程是客观，与等级3“充分定义”的主要区别在于执行过程的量 化表示和控制。 在这一等级上，PA和BP的执行按如下的共性特征来执行： a）建立可评估的安全目标：建立可评估目标，为客观地管理执行提供了必要的基础：

b）客观地管理执行：使用量化的方式来客观地管理和评估数据安全PA

A.5.2GP4.1组织建设

组织机构应明确定量的数据安全保障要求，将安全目标分解落实到数据安全相关的岗位职责中 于安全目标的可测量、可执行

A.5.3GP4.2制度流程

在制度流程中制定收集和评估数据的方法，对各项数据安全工作的执行情况及其效果进行客观的 评估。 当制度流程未按定义执行时，识别出现偏差的原因，并制定出适当的纠正、预防措施，提出何时和采 取何种修正行动，从而反馈到相关制度流程的内容修订上

A.5.4GP4.3技术工具

对关键数据安全能力的量化控制。 技术工具应支持在数据的各生存周期过程中自动化采集数据和评估，并对评估结果进行展示。当 技术工具未按定义执行时，识别出现偏差的原因，从安全要求、工具执行的有效性方面进行持续的跟踪 和效果评估，从而反馈到相关技术工具的完善和更新上，

A.5.5GP4.4人员能力

对数据安全人员能力建立量化的衡量指标，定期进行考核、培训等。 岗位的数据安全人员应具备客观地量化执行数据安全工作的意识，具备采用相关方法和工具开展 数据安全工作的能力。

A.6.1能力成熟度等级描述

A.6.2GP5.1组织建设

能够分析和消陈组织架构的 据安全管理理念的差距，提 出对组织架构的可能改进目标，并持续

A.6.3GP5.2制度流程

持续跟踪数据安全管理领域的最佳实践和业务的最新动向，预先判断业务在数据安全领域所面临 52

据安全管理领域的最佳实践和业务的最新动向，预先判断业务在数据安全领域所面临

GB/T379882019

的风险，并在制度流程上进行持续性的优化，从而提高过程有效性。 对制度流程进行持续监控，并对制度流程的执行效果进行有效性评价，分析并消除制度流程上的缺 陷，并提出持续改进的制度流程

A.6.4GP5.3技术工具

能够分析技术工具执行效果上的不足，建立改进目标，标识出对技术工具的改进点，分析对技术 为可能变更。 基于数据安全技术的最新进展以及组织机构积累的数据安全技术能力，结合业务发展的实际情 入先进的技术工具提升数据安全控制的有效性

A.6.5GP5.4人员能力

组织机构的数据安全能力成熟度等级取决于各个数据安全PA的能力成熟度等级。各个数据安 的成熟度等级取决于该PA中的BP对于目标等级的满足情况。 本标准不对评级方法做具体限定，表B.1给出一种综合判定参考方法，供评估人员参考

注1：基于组织机构业务场景和数据安全风险，可对数据生存周期各阶段安全（PA01～PA19)进行适用性判断 注2：基于数据安全行业专家经验和组织机构对某一PA数据安全风险的接受程度，可对等级结果进行修订 订因子不超过0.5～1.5区间范围，修正后向下取整， 注3：组织机构综合数据安全等级评定，可以采用“木桶原理”“最多原则”“加权平均”等方式。 注4：在评估通用安全PA等级时，可不评估在生存周期已覆盖的BP，如密钥管理、权限管理相关等，

C.1能力成熟度等级评估流程

JGJ／T185-2009建筑工程资料管理规程GB/T379882019

能力成熟度等级评估流程和模型使用方法

C.2能力成熟度模型使用方法

由于各组织机构在业务规模、业务对数据的依赖性以及组织机构对数据安全工作定位等方向的差 异，组织机构对模型的使用应“因地制宜” 组织机构使用DSMM的闭环如图C.1所示

图C.1推荐的成熟度模型使用步骤

使用模型时，组织机构应首先明确其数据安全能力的目标成熟度等级。根据对组织机构整体的数 据安全能力成熟度等级的定义，见5.3，组织机构可以选择适合自已业务实际情况的数据安全能力成熟 度等级目标。本标准定义的数据安全能力成熟度等级中，3级目标适用于所有具备数据安全保障需求 的组织机构作为自已的短期目标/长期目标，具备了3级的数据安全能力则意味着组织机构能够针对数 居安全的各方面风险进行有效的控制。然而，对于业务中尚未大量依赖于大数据技术的组织机构而言 数据仍然倾向于在固有的业务环节中流动，其数据安全保障的需求整体弱于强依赖于大数据技术的组 识机构，因此其短期目标可先定位为2级，待达到2级的目标之后再进一步提升到3级的能力。 在确定目标成熟度等级的前提下，组织机构根据数据生存周期所覆盖的业务场景挑选适用于组织 机构的数据安全PA。例如组织机构A不存在数据交换的情况，因此数据交换的PA就可以从评估范 围中剔除掉。 最后，组织机构基于对成熟度模型内容的理解，识别数据安全能力现状并分析与目标能力等级之间 的差异，在此基础上进行数据安全能力的整改提升计划。而伴随着组织机构业务的发展变化，组织机构 也需要定期复核、明确自已的目标成熟度等级，然后开始新一轮目标达成的工作

GB/T 51350-2019近零能耗建筑技术标准GB/T379882019