本標(biāo)準(zhǔn)基于大數(shù)據(jù)環(huán)境下電子化數(shù)據(jù)在組織機(jī)構(gòu)業(yè)務(wù)場景中的數(shù)據(jù)生命周期,從組織建設(shè)、制度流程、技術(shù)工具以及人員能力四個方面構(gòu)建了數(shù)據(jù)安全過程的規(guī)范性數(shù)據(jù)安全能力成熟度分級模型及其評估方法。
本標(biāo)準(zhǔn)適用于組織機(jī)構(gòu)數(shù)據(jù)安全能力的自身評估,也適用于第三方機(jī)構(gòu)對組織機(jī)構(gòu)的數(shù)據(jù)安全保障能力進(jìn)行評估
本標(biāo)準(zhǔn)借鑒能力成熟度模型(CMM)的思想,以CMM的通用實踐來衡量能力成熟度等級,以《要求》中的安全要求為基礎(chǔ),定義數(shù)據(jù)安全過程域和基本實踐,指導(dǎo)組織機(jī)構(gòu)如何持續(xù)達(dá)到所對應(yīng)的安全要求。
本標(biāo)準(zhǔn)主要根據(jù)《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》(以下簡稱為《要求》)中的數(shù)據(jù)安全要求對組織機(jī)構(gòu)?供的數(shù)據(jù)安全能力?出評估的模型框架及方法論?!兑蟆分卸x了大數(shù)據(jù)服務(wù)?供者應(yīng)具有的組織相關(guān)基礎(chǔ)安全能力和數(shù)據(jù)生命周期相關(guān)的數(shù)據(jù)服務(wù)安全能力,本標(biāo)準(zhǔn)針對《要求》中定義的每個安全要求定義基本實踐,并根據(jù)本標(biāo)準(zhǔn)定義的成熟度等級的通用實踐,對基本實踐進(jìn)行等級評估。
本標(biāo)準(zhǔn)闡述了數(shù)據(jù)安全能力評估的成熟度模型及方法論,在過程域?qū)用媾c《要求》完全一致,在基本實踐層面與《要求》進(jìn)行映射,兩標(biāo)準(zhǔn)可以相互支撐調(diào)用。《要求》中定義了大數(shù)據(jù)服務(wù)?供者?供大數(shù)據(jù)服務(wù)所需要滿足的基線要求,本標(biāo)準(zhǔn)定義了組織機(jī)構(gòu)持續(xù)實現(xiàn)安全過程、滿足安全要求的能力等級的評估方法,來指導(dǎo)組織機(jī)構(gòu)?升自身的數(shù)據(jù)安全能力水平。