GB/T 37988-2019 Data Security Capability Maturity Model PDF

Summary

This document is the Chinese national standard GB/T 37988-2019, titled "Information security technology - Data security capability maturity model." It specifies a maturity model for assessing an organization's data security capabilities, covering data collection, transmission, storage, processing, exchange, destruction, and general security. It's intended for evaluating data security and guiding organizations in enhancing their data security practices.

Full Transcript

ICS35.
040
L 80

中 华 人 民 共 和 国 国 家 标 准
GB/T 37988—2019

信息安全技术 数据安全能力成熟度模型
I
nfo
rma
tions
ecu
rit
yte
chno
logy—Da
tas
ecu
rit
ycapab
ili
tyma
tur
itymod
el

-
2019 -
0830 发布 -
2020 -
0301 实施

国家市场监督管理总局 发 布
中国国家标准化管理委员会
 GB/T 37988—2019

目 次

前言 ………………………………………………………………………………………………………… Ⅲ

1 范围 ……………………………………………………………………………………………………… 1
2 规范性引用文件 ………………………………………………………………………………………… 1
3 术语和定义 ……………………………………………………………………………………………… 1
4 缩略语 …………………………………………………………………………………………………… 3
5 DSMM 架构 ……………………………………………………………………………………………… 3
1 成熟度模型架构 …………………………………………………………………………………… 3
5.
2 安全能力维度 ……………………………………………………………………………………… 4
5.
3 能力成熟度等级维度 ……………………………………………………………………………… 4
5.
4 数据安全过程维度 ………………………………………………………………………………… 6
5.
6 数据采集安全 …………………………………………………………………………………………… 7
1 PA01 数据分类分级 ……………………………………………………………………………… 7
6.
2 PA02 数据采集安全管理 ………………………………………………………………………… 8
6.
3 PA03 数据源鉴别及记录 ………………………………………………………………………… 9
6.
4 PA04 数据质量管理 ……………………………………………………………………………… 11
6.
7 数据传输安全 …………………………………………………………………………………………… 12
1 PA05 数据传输加密 ……………………………………………………………………………… 12
7.
2 PA06 网络可用性管理 …………………………………………………………………………… 13
7.
8 数据存储安全 …………………………………………………………………………………………… 14
1 PA07 存储媒体安全 ……………………………………………………………………………… 14
8.
2 PA08 逻辑存储安全 ……………………………………………………………………………… 15
8.
3 PA09 数据备份和恢复 …………………………………………………………………………… 17
8.
9 数据处理安全 …………………………………………………………………………………………… 19
1 PA10 数据脱敏 …………………………………………………………………………………… 19
9.
2 PA11 数据分析安全 ……………………………………………………………………………… 20
9.
3 PA12 数据正当使用 ……………………………………………………………………………… 22
9.
4 PA13 数据处理环境安全 ………………………………………………………………………… 23
9.
5 PA14 数据导入导出安全 ………………………………………………………………………… 24
9.
10 数据交换安全 ………………………………………………………………………………………… 26
10.
1 PA15 数据共享安全 …………………………………………………………………………… 26
10.
2 PA16 数据发布安全 …………………………………………………………………………… 27
10.
3 PA17 数据接口安全 …………………………………………………………………………… 28

11 数据销毁安全 ………………………………………………………………………………………… 29
1 PA18 数据销毁处置 …………………………………………………………………………… 29
11.
2 PA19 存储媒体销毁处置 ……………………………………………………………………… 31
11.
Ⅰ
GB/T 37988—2019

12 通用安全 ……………………………………………………………………………………………… 32
1 PA20 数据安全策略规划 ……………………………………………………………………… 32
12.
2 PA21 组织和人员管理 ………………………………………………………………………… 34
12.
3 PA22 合规管理 ………………………………………………………………………………… 36
12.
4 PA23 数据资产管理 …………………………………………………………………………… 38
12.
5 PA24 数据供应链安全 ………………………………………………………………………… 39
12.
6 PA25 元数据管理 ……………………………………………………………………………… 41
12.
7 PA26 终端数据安全 …………………………………………………………………………… 42
12.
8 PA27 监控与审计 ……………………………………………………………………………… 43
12.
9 PA28 鉴别与访问控制 ………………………………………………………………………… 44
12.
10 PA29 需求分析 ………………………………………………………………………………… 46
12.
11 PA30 安全事件应急 …………………………………………………………………………… 47
12.
附录 A (资料性附录) 能力成熟度等级描述与 GP …………………………………………………… 49

1 概述 ……………………………………………………………………………………………… 49
A.
2 能力成熟度等级 1———非正式执行 ……………………………………………………………… 49
A.
3 能力成熟度等级 2———计划跟踪 ………………………………………………………………… 49
A.
4 能力成熟度等级 3———充分定义 ………………………………………………………………… 50
A.
5 能力成熟度等级 4———量化控制 ………………………………………………………………… 51
A.
6 能力成熟度等级 5———持续优化 ………………………………………………………………… 52
A.
附录 B (资料性附录) 能力成熟度等级评估参考方法 ………………………………………………… 54
附录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法 …………………………………… 55

1 能力成熟度等级评估流程 ………………………………………………………………………… 55
C.
2 能力成熟度模型使用方法 ………………………………………………………………………… 56
C.
参考文献 …………………………………………………………………………………………………… 57

Ⅱ
 GB/T 37988—2019

前 言

本标准按照 GB/T1.
1—2009 给出的规则起草。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会( SAC/TC260)提出并归口。
本标准起草单位:阿里巴巴(北京)软件服务有限公司、中国电子 技 术 标 准 化 研 究 院、中 国 信 息 安 全
测评中心、北京奇安信科技有限公司、联想(北京)有限公司、公安部第 三 研 究 所、清 华 大 学、中 国 网 络 安
全审查技术与认证中心、中国科学院软件研究所、中国移动通信集团公司、阿里云计算有限公司、北京天
融信科技股份有限公司、中国科学院信息工程研究所、陕西省信息化工程研究院、西北大学、浪潮电子信
息产业股份有限公司、北京易华录信息技术股份有限公司、新华三技术 有 限 公 司、勤 智 数 码 科 技 股 份 有
限公司、北京数字认证股份有限公司、启明星辰信息技术集团股份有限公司、海信集团有限公司、银川市
大数据产业发展服务中心、南京中新赛克科技有限责任公司、北京微步 在 线 科 技 有 限 公 司、上 海 观 安 信
息技术有限公司、华为技术有限公司、三六零科技股份有限公司、中电长城网际系统应用有限公司。
本标准主要起草人:朱 红 儒、刘 贤 刚、胡 影、贾 雪 飞、白 晓 媛、叶 晓 俊、李 克 鹏、潘 亮、薛 勇、谢 安 明、
梅婧婷、金涛、叶润国、孙明亮、张宇光、徐羽佳、杜跃 进、陈 彩 芳、柯 妍、张 玉 东、徐 雨 晴、张 世 长、宋 玲 娓、
闵京华、郑新华、苗光胜、刘玉岭、潘正泰、张锐卿、任 卫 红、任 兰 芳、蔡 晓 丹、常 玲、赵 蓓、张 大 江、唐 海 龙、
孙晓军、李正、孙骞、赵江、马红霞、鲁晋、王川、杜青峰、薛坤、尤其、王伟、张屹、何军、张兴。

Ⅲ
 GB/T 37988—2019

信息安全技术 数据安全能力成熟度模型

1 范围

本标准给出了组织数据安全能力的成熟度模型架构,规定了 数 据 采 集 安 全、数 据 传 输 安 全、数 据 存
储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。
本标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。

2 规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引 用 文 件,仅 注 日 期 的 版 本 适 用 于 本 文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T25069—2010 信息安全技术 术语
GB/T29246—2017 信息技术 安全技术信息安全管理体系 概述和词汇

3 术语和定义

GB/T25069—2010 和 GB/T29246—2017 界定的以及下列术语和定义适用于本文件。
3.
1
数据安全 da
tas
ecu
rit
y
通过管理和技术措施,确保数据有效保护和合规使用的状态。
3.
2
保密性 c
onf
ide
nti
ali
ty
使信息不泄漏给未授权的个人、实体、进程,或不被其利用的特性。
[
GB/T25069—2010,定义 2.1]
1.
3.
3
完整性 i
nte
gri
ty
准确和完备的特性。
[
GB/T29246—2017,定义 2.
40]
3.
4
可用性 a
vai
lab
ili
ty
已授权实体一旦需要就可访问和使用的数据和资源的特性。
[
GB/T25069—2010,定义 2.20]
1.
3.
5
数据安全能力 da
tas
ecu
rit
ycapab
ili
ty
组织在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障。
3.
6
能力成熟度 c
apab
ili
tyma
tur
ity
对一个组织有条理 的 持 续 改 进 能 力 以 及 实 现 特 定 过 程 的 连 续 性、可 持 续 性、有 效 性 和 可 信 度 的
1
GB/T 37988—2019

水平。
3.
7
能力成熟度模型 c
apab
ili
tyma
tur
itymode
l
对一个组织的能力成 熟 度 进 行 度 量 的 模 型,包 括 一 系 列 代 表 能 力 和 进 展 的 特 征、属 性、指 示 或 者
模式。
注:能力成熟度模型为组织衡量其当前的实践、流程、方法的能力水平提供参考基准,并设置明确的提升目标。

3.
8
安全过程 s
ecu
rit
ypr
oce
ss
用于实现某一安全目标的完整过程,该过程包含输入和输出。
示例:“安全审计”这一安全过程,输入是系统日志,输出是审计报告。

3.
9
过程域 pr
oce
ssa
rea
实现同一安全目标的相关数据安全基本实践的集合。
注:一个过程域中包含一个或多个基本实践。
示例:“元数据管理”这一过程域,包含建立元数据管理规范、建立元数据访问控制策略、建立元数据技 术 工 具 等 基 本
实践。

3.
10
基本实践 ba
sepr
act
ice
实现某一安全目标的数据安全相关活动。
示例:建立数据资产清单,对数据资产进行分类分级管理等。

3.
11
ene
通用实践 g ricpr
act
ice
在评估中用于确定任何安全过程域或基本实践的实施能力的评定准则。
3.
12
数据脱敏 da
tad
ese
nsi
tiz
ati
on
通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。
3.
13
数据处理 da
tapr
oce
ssi
ng
对原始数据进行抽取、转换、加载的过程。
注 1:数据处理包括开发数据产品或数据分析等。
注 2:数据产品包括但不限于能访问原始数据,提供数据 计 算、数 据 存 储、数 据 交 换、数 据 分 析、数 据 挖 掘、数 据 展 示
等应用的软硬件产品。

3.
14
数据供应链 da
tas
upp
lycha
in
为满足数据供应关系,通过资源和过程将需方、供方相互关联的结构。
3.
15
规程 pr
oce
dur
e
对执行一个给定任务所采取动作历程的书面描述。
[
GB/T25069—2010,定义 2.7]
1.
3.
16
合规 c
omp
lianc
e
对数据安全所适用的法律法规的符合程度。
2
 GB/T 37988—2019

4 缩略语

下列缩略语适用于本文件。
BP:基本实践(
Bas
ePr
act
ice)
DSMM:数据安全能力成熟度模型(
Dat
aSe
cur
ityCapab
ili
ty Ma
tur
it l)
y Mode
GP:通用实践(
Gene
ricPr
act
ice)
PA:过程域(
Proc
essAr
ea)
SSL:安全套接层(
Secu
reSo
cke
t r)
sLaye
TLS:传输层安全(
Transpo
rtLaye
rSe
cur
ity)

5 DSMM 架构

5.
1 成熟度模型架构

DSMM 架构如图 1 所示。

图 1 DSMM 架构图

DSMM 的架构由以下三个维度构成:
a) 安全能力维度
安全能力维度明确了组织在数据安全领域应 具 备 的 能 力,包 括 组 织 建 设、制 度 流 程、技 术 工 具
和人员能力。
b) 能力成熟度等级维度
1 级 是 非 正 式 执 行 级,
数据安 全 能 力 成 熟 度 等 级 划 分 为 五 级,具 体 包 括: 2 级 是 计 划 跟 踪 级,
3
4 级是量化控制级,
级是充分定义级, 5 级是持续优化级。
3
GB/T 37988—2019

c) 数据安全过程维度
1) 数据安全过程包括数据生存周期安全过程和通用安全过程;
2) 数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理
安全、数据交换安全、数据销毁安全 6 个阶段。

5.
2 安全能力维度

2.
5.1 能力构成

通过对组织各数据安全过程应具备安全能力的量化,进而评估每项安全过程的实现能力。
安全能力分为以下 4 个方面:
a) 组织建设:数据安全组织的设立、职责分配和沟通协作;
b) 制度流程:组织数据安全领域的制度和流程执行;
c) 技术工具:通过技术手段和产品工具落实安全要求或自动化实现安全工作;
d) 人员能力:执行数据安全工作的人员的安全意识及相关专业能力。

2.
5.2 组织建设

从承担数据安全工作的组织应具备的组织建设能力角度,根据以下方面进行能力等级区分:
a) 数据安全组织架构对组织业务的适用性;
b) 数据安全组织承担的工作职责的明确性;
c) 数据安全组织运作、沟通协调的有效性。

2.
5.3 制度流程

从组织在数据安全制度流程的建设以及执行情况角度,根据以下方面进行能力等级区分:
a) 数据生存周期关键控制节点授权审批流程的明确性;
b) 相关流程制度的制定、发布、修订的规范性;
c) 制度流程实施的一致性和有效性。

2.
5.4 技术工具

从组织用于开展数 据 安 全 工 作 的 安 全 技 术、应 用 系 统 和 工 具 出 发,根 据 以 下 方 面 进 行 能 力 等 级
区分:
a) 数据安全技术在数据全生存周期过程中的利用情况,应对数据全生存周期安全风险的能力;
b) 利用技术工具对数据安全工作的自动化支持能力,对数据安全制度流程固化执行的实现能力。

2.
5.5 人员能力

从组织承担数据安全工作的人员应具备的能力出发,根据以下方面进行能力等级区分:
a) 数据安全人员所具备的数据安全技能是否能够满足实 现 安 全 目 标 的 能 力 要 求(对 数 据 相 关 业
务的理解程度以及数据安全专业能力);
b) 数据安全人员的数据安全意识以及对关键数据安全岗位员工数据安全能力的培养。

5.
3 能力成熟度等级维度

组织的数据安全能力成熟度等级共分为 5 级,见表 1。

4
 GB/T 37988—2019

表 1 数据安全能力成熟度等级共性特征

数据安全能力
共性特征 说明
成熟度等级

执行 BP:组织在数据安全过程中不能 有 效 地 执 行 相 关 工 作,仅 在 部 分 业
随 机、无 序、被 动 地 执
等级 1: 务执行过程中根据临时的需求执行 了 相 关 工 作,未 形 成 成 熟 的 机 制 保 证
行 安 全 过 程,依 赖 于 个
非正式执行 相关工作的持续有效进行,执行相 关 工 作 的 人 员 未 达 到 相 应 能 力。 所 执
人经验,无法复制
行的过程称为“非正式过程”

a) 规划执行:对安全过程进行规划,提前分配资源和责任。
b) 规范执行:对安全过程进行控 制,使 用 执 行 计 划、执 行 基 于 标 准 和 程
在业 务 系 统 级 别 主 动
序的过程,对数据安全过程实施配置管理。
等级 2: 地实 现 了 安 全 过 程 的
c) 验证执行:确认 过 程 按 预 定 的 方 式 执 行,验 证 过 程 的 执 行 与 计 划 是
计划跟踪 计 划 与 执 行,但 没 有 形
一致的。
成体系化
d) 跟踪执行:控制 数 据 安 全 过 程 执 行 的 进 展,通 过 可 测 量 的 计 划 跟 踪
过程的执行,当过程实践与计划产生重大偏离时采取修正行动

a) 定义标准过程:组 织 对 标 准 过 程 进 行 制 度 化,为 组 织 定 义 标 准 化 的
过程文档,为满足特定用途对标准过程进行裁剪。
等级 3: b) 执行已定义的过程:充 分 定 义 的 过 程 是 可 重 复 执 行 的,并 使 用 过 程 在组 织 级 别 实 现 了 安
充分定义 执行的结果数据,对有缺陷的过程结果和安全实践进行核查。 全过程的规范执行
c) 协调安全实践:确定业务系统 内、各 业 务 系 统 之 间、组 织 外 部 活 动 的
协调机制

a) 建立可测的安全目标:为组织的数据安全建立可测量目标。
等级 4: 建 立 了 量 化 目 标,安 全
b) 客观地管理执 行:确 定 过 程 能 力 的 量 化 测 量,使 用 量 化 测 量 管 理 安
量化控制 过程可度量
全过程,并以量化测量作为修正行动的基础

a) 改进组织能力:在 整 个 组 织 范 围 内 对 规 程 的 使 用 进 行 比 较,寻 找 改
根据 组 织 的 整 体 目 标,
等级 5: 进规程的机会,并进行改进。
不断 改 进 和 优 化 安 全
持续优化 b) 改进过程有效 性:制 定 处 于 持 续 改 进 状 态 下 的 规 程,对 规 程 的 缺 陷
过程
进行消除,并对规程进行持续改进

能力成熟度等级与 PA、
BP、安全能力的关系如下:
a) 将组织在每个数据安全 PA 的能力 成 熟 度 划 分 为 五 级,针 对 每 个 等 级 下 组 织 应 具 备 的 能 力 要
求,从 4 个安全能力(组织建设、制度流程、技术工具及人员能力)提出具体的 BP。
b) 3 级要求应包含全部 4 个安全能力,其他等级要求可不包含完整的 4 个数据安全关键能力,并
非每个安全 PA 的能力成熟度等级都包含完整的 4 个数据安全关键能力。
示例:某些 PA 的 2 级要求具备组织建设和制度流程两个关键能力,而 4 级和 5 级 的 能 力 要 求 仅 涉 及 部 分 关 键 能 力
如组织建设、技术工具的提升。

c) 对于每个数据安全 PA,高等 级 的 能 力 要 求 应 包 括 所 有 低 等 级 能 力 要 求。 针 对 某 一 具 体 数 据
安全 PA,如果 5 级的能力要求中未涉及某一关键能力的内容,则默认应 达 到 在 4 级 的 能 力 要
求中的 该 关 键 能 力 的 内 容;如 果 4 级 的 能 力 要 求 中 依 旧 未 涉 及 该 关 键 能 力,则 默 认 应 达 到 在
3 级的能力要求中该关键能力的内容,依此类推。
能力成熟度等级的描述与 GP 参见附录 A。
能力成熟度等级评估参考方法,参见附录 B。
5
GB/T 37988—2019

能力成熟度等级评估流程和模型使用方法,参见附录 C。

5.
4 数据安全过程维度

4.
5.1 数据生存周期

数据生存周期分为以下 6 个阶段:
a) 数据采集:组织内部系统中新产生数据,以及从外部系统收集数据的阶段;
b) 数据传输:数据从一个实体传输到另一个实体的阶段;
c) 数据存储:数据以任何数字格式进行存储的阶段;
d) 数据处理:组织在内部对数据进行计算、分析、可视化等操作的阶段;
e) 数据交换:组织与组织或个人进行数据交换的阶段;
f) 数据销毁:对数据及数据存储媒体通过相应的操作手段,使数据彻底删除且无法通过任何手段
恢复的过程。
特定的数据所经历的生存周期由实际的业务所决定,可为完整的 6 个阶段或是其中的几个阶段。

4.
5.2 数据安全 PA 体系

4.
5.2.
1 PA 体系

PA 体系分为数据生存周期安全过程和通用安全过程两部分,共包含 30 个 PA,如图 2 所示。

图 2 数据安全 PA 体系

数据生存周期安全过程域包括以下 6 个过程:
a) 数据采集安全的 PA( PA01~PA04)包括:数据分类分级、数据采集安全管理、数据源鉴别及记
录、数据质量管理 4 个 PA;
b) 数据传输安全的 PA(
PA05~PA06)包括:数据传输加密、网络可用性管理 2 个 PA;
c) 数据存储安全的 PA(
PA07~PA09)包括:存储媒体安全、逻辑存储安全、数据备份和恢复 3 个
安全 PA;
d) 数据处理安全的 PA(
PA10~PA14)包 括:数 据 脱 敏、数 据 分 析 安 全、数 据 正 当 使 用、数 据 处 理
环境安全、数据导入导出安全 5 个安全 PA;
e) 数据交换安全的 PA(
PA15~PA17)包括:数据共享安全、数据发布安全、数据接口安全 3 个安
全 PA;
f) 数据销毁安全的 PA(
PA18~PA19)包括:数据销毁处置、存储媒体销毁处置 2 个安全 PA。
通用安全过程域(PA20~PA30)包括:数据安全策略规划、组织和人员管理、合规管理、数据资产管
6
 GB/T 37988—2019

理、数据供应链安全、元数据管理、终端数据安全、监控与审计、鉴 别 与 访 问 控 制、需 求 分 析、安 全 事 件 应
急 11 个 PA。

4.
5.2.
2 编码规则

数据安全 PA 编码规则如下:
a) 每个 PA 有对应的编号,分别采用递增的数值 01、
02,..,表示。.
示例 1:
PA01,代表 PA “数据分类分级”。
b) 每个 PA 由一些 BP 组成。BP 用 BP.
××.
×× 来进行编号,第一组编码表示所在 PA 的序号,
第二组编码表示具体 BP 的序号,具体 BP 的序号采用递增的数值 01、 02,..,表示。.
示例 2:
BP. 01 表示,过程域 PA01“数据分类分级”中的第一个 BP。
01.
c) 对于每个 PA 的每个级别,需要同时满足本级别和所有低于该级别的 BP 的 要 求,才 能 达 到 本
级别的能力水平,依此类推。

6 数据采集安全

1 PA01 数据分类分级
6.

1.
6.1 PA 描述

基于法律法规以及业务需求确定组织内部的数据分类分级方法,对 生 成 或 收 集 的 数 据 进 行 分 类 分
级标识。

1.
6.2 等级描述

1.
6. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
制度流程:组织未在任何业务建立成熟稳定的数据分类分级,仅 根 据 临 时 需 求 或 基 于 个 人 经 验,对
BP.
部分数据进行了分类或分级( 01)。
01.

1.
6. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责相关业务的数据分类分级( BP. 02);
01.
b) 制度流 程:应 根 据 业 务 特 性 和 外 部 合 规 要 求,对 核 心 业 务 的 关 键 数 据 进 行 分 类 分 级 管 理
(
BP. 03)。
01.

1.
6. 3 等级 3:充分定义
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:组织应设立负责数据安全分类分级工作的管理岗位和人员,主要负责定义组织整体
的数据分类分级的安全原则(BP. 04)。
01.
b) 制度流程:
1) 应明确数据分类分级原则、方法和操作指南(
BP. 05);
01.
2) 应对组织的数据进行分类分级标识和管理(
BP. 06);
01.
3) 应对不同类别和级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控
BP.
制措施( 07);
01.
7
GB/T 37988—2019

4) 应明确数据分类分级变更审批流程和机 制,通 过 该 流 程 保 证 对 数 据 分 类 分 级 的 变 更 操 作
BP.
及其结果符合组织的要求( 08)。
01.
c) 技术工具:应建立数据分类分级打标或数据 资 产 管 理 工 具,实 现 对 数 据 的 分 类 分 级 自 动 标 识、
BP.
标识结果发布、审核等功能( 09)。
01.
d) 人员能力:负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感
BP.
数据( 10)。
01.

1.
6. 4 等级 4:量化控制
2.

该等级的数据安全能力要求描述如下:
技术工具:
a) 应记录自动分类分级结果与人工审核后的分类分 级 结 果 之 间 的 差 异,定 期 分 析 改 进 分 类 分 级
BP.
标识工具,提升工具处理的准确度( 11);
01.
b) 应对数据分类分级的操作、变更过程进行日志记录和分析,定期通过日志分析等技术手段进行
BP.
变更操作审计,数据分类分级可追溯( 12)。
01.

1.
6. 5 等级 5:持续优化
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:应定期评审数据分类分级的规范和 细 则,考 虑 其 内 容 是 否 完 全 覆 盖 了 当 前 的 业 务,
并执行持续的改进优化工作(BP. 13);
01.
b) 技术工具:
1) 应跟踪数据分类分级标识效果,持续改进数据分类分级的技术工具(
BP. 14);
01.
2) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆(
BP. 15)。
01.

2 PA02 数据采集安全管理
6.

2.
6.1 PA 描述

在采集外部客户、合作伙伴等相关方数据的过程中,组织应明 确 采 集 数 据 的 目 的 和 用 途,确 保 满 足
数据源的真实性、有效性和最少够用等原则要求,并明确数据采集渠道、规 范 数 据 格 式 以 及 相 关 的 流 程
和方式,从而保证数据采集的合规性、正当性、一致性。

2.
6.2 等级描述

2.
6. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
制度流程:未在任何业务建立成熟稳定的数据采集安全管理,仅根据临时需求或基于个人经验对个
BP.
别数据采集进行安全管理( 01)。
02.

2.
6. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责数据采集安全管理(
BP. 02)。
02.
b) 制度流程:
1) 应明确核心业务数据采集原则,保证该业务数据采集的合法、正当(
BP. 03);
02.
2) 核心业务应明示个人信息采集的目的、方式和范围,并经被收集者同意(BP. 04)。
02.
8
 GB/T 37988—2019

2.
6. 3 等级 3:充分定义
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:组织应设立数据采集安全管理的岗位和人员,负责制定相关的数据采集安全管理的制
BP.
度,推动相关要求、流程的落地,并对具体业务或项目的风险评估提供咨询和支持( 05)。
02.
b) 制度流程:
1) 应明确组织的数据采集原则,定义业务的数据采集流程和方法(
BP. 06);
02.
2) 应明确数据采集的渠道及外部数据源,并对外部数据源的合法性进行确认( BP.02.07);
3) 应 明 确 数 据 采 集 范 围、数 量 和 频 度,确 保 不 收 集 与 提 供 服 务 无 关 的 个 人 信 息 和 重 要 数 据
(
BP. 08);
02.
4) 应明确组织数据采集的风险评估流程,针 对 采 集 的 数 据 源、频 度、渠 道、方 式、数 据 范 围 和
BP.
类型进行风险评估( 09);
02.
5) 应明确数据采集过程中个人信息和重要 数 据 的 知 悉 范 围 和 需 要 采 取 的 控 制 措 施,确 保 采
集过程中的个人信息和重要数据不被泄漏( BP.02.10);
6) 应明确自动化采集数据的范围(
BP. 11)。
02.
c) 技术工具:
1) 应依据统一的数据采集流程建设数据采 集 相 关 的 工 具,以 保 证 组 织 数 据 采 集 流 程 实 现 的
一致性,同时相关系统应 具 备 详 细 的 日 志 记 录 功 能,确 保 数 据 采 集 授 权 过 程 的 完 整 记 录
(
BP. 12);
02.
2) 应采取技术手段保证数据采集过程中个人信息和重要数据不被泄漏(
BP. 13)。
02.
d) 人员能力:负责该项工作的人员应能够充分 理 解 数 据 采 集 的 法 律 要 求、安 全 和 业 务 需 求,并 能
够根据组织的业务提出针对性的解决方案(BP.02.14)。

2.
6. 4 等级 4:量化控制
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:应明确数据采集安全管理效果的评 估 方 式,如 数 据 采 集 安 全 管 理 在 业 务 的 覆 盖 率、
BP.
制度流程执行效果、数据采集授权率等( 15)。
02.
b) 技术工具:
1) 应采取必要的技术手段对采集的数据进行校验(
BP. 16);
02.
2) 应跟踪和记录数据采集和获取过程,支持对数据采集和获取操作过程的可追溯(
BP. 17)。
02.

2.
6. 5 等级 5:持续优化
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:数据采集安全管理应持续优化,持续 跟 踪 数 据 采 集 安 全 管 理 执 行 效 果、新 业 务 产 生
的需求、行业新技术和最佳实践、合规新要求新变化等( BP. 18)。
02.
b) 技术工具:
1) 应根据制度流程的更新,不断升级优化数据采集工具(
BP. 19);
02.
2) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆(
BP. 20)。
02.

3 PA03 数据源鉴别及记录
6.

3.
6.1 PA 描述

对产生数据的数据源进行身份鉴别和记录,防止数据仿冒和数据伪造。
9
GB/T 37988—2019

3.
6.2 等级描述

3.
6. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
组织建设:未对任何业务的采集数据源进行有效管理,仅根据临时需求或基于个人经验对采集的数
BP.
据源进行临时记录( 01)。
03.

3.
6. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责数据源鉴别和记录(
BP. 02);
03.
b) 制度流程:核心业务系统的在线数据采集和外部第三方采集,均应建立了相应机制执行数据源
BP.
的鉴别和记录( 03);
03.
c) 技术工具:核心业务应具有技术工具支持对数据源的鉴别和记录(
BP. 04)。
03.

3.
6. 3 等级 3:充分定义
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责对数据源进行鉴别和记录(BP. 05)。
03.
b) 制度流程:应明确数据源管理的制度,对组织采集的数据源进行鉴别和记录( BP. 06)。
03.
c) 技术工具:
1) 组织应采取技术手段对外部收集的数据和数据源进行识别和记录(BP. 07);
03.
2) 应对关键追溯数据进行备份,并采取技术手段对追溯数据进行安全保护( BP. 08)。
03.
d) 人员能力:负责该项工作的人员应理解数据源鉴别标准和组织内部数据采集的业务,能够结合
实际情况执行(BP. 09)。
03.

3.
6. 4 等级 4:量化控制
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:
1) 组织应定义了数据 追 溯 策 略 要 求、追 溯 数 据 格 式、追 溯 数 据 安 全 存 储 与 使 用 的 管 理 制 度
等。根据组织内的业务梳理数据源的类型,并明确在关键的数据管理系统(如数据库管理
BP.
系统、元数据管理系统)上对数据源类型标记的要求( 10);
03.
2) 应明确基于追溯数据的数据业务与法律 法 规 合 规 性 审 核 的 机 制,并 依 据 审 核 结 果 增 强 或
改进与数据服务相关的访问控制与合规性保障机制和策略( BP. 11)。
03.
b) 技术工具:组织关键的数据管理系统中应提供了标记数据的数据源类型的功能,从而实现对组
织内部各类数据源的统计和分析(BP. 12)。
03.

3.
6. 5 等级 5:持续优化
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:应对数据源鉴别方式和分类方法进行持续的改进,基于业务的发展变化以及行业最
BP.
佳实践,提升数据源管理的成效( 13)。
03.
b) 技术工具:
1) 应面向制度流程的更新,
持续改进工具在数据鉴别、 BP.
记录和追溯等方面的服务能力( 14);
03.
2) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆(
BP. 15)。
03.
10
 GB/T 37988—2019

4 PA04 数据质量管理
6.

4.
6.1 PA 描述

建立组织的数据质量 管 理 体 系,保 证 对 数 据 采 集 过 程 中 收 集/产 生 的 数 据 的 准 确 性、一 致 性 和 完
整性。

4.
6.2 等级描述

4.
6. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
组织建设:未在任何业务建立成熟稳定的数据质量管理或监控,仅根据临时需求或基于个人经验考
BP.
虑数据质量管理( 01)。
04.

4.
6. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员根据业务需求进行数据质量管理(
BP. 02)。
04.
b) 制度流程:在核心业务中应将数据质量管理或监控作为必要的环节(
BP. 03)。
04.

4.
6. 3 等级 3:充分定义
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:组织应设立数据质量管理岗位和人 员,负 责 制 定 统 一 的 数 据 质 量 管 理 要 求,明 确 对
数据质量进行管理和监控的责任部门或人员(BP.
04.04)。
b) 制度流程:
1) 应明确数据质量管理相关的要求,包含 数 据 格 式 要 求、数 据 完 整 性 要 求、数 据 源 质 量 评 价
BP.
标准等( 05);
04.
2) 应明确数据采集过程中质量监控规则,明确数据质量监控范围及监控方式( BP.04.06);
3) 应明确组织的数据清洗、转换和加载操 作 相 关 的 安 全 管 理 规 范,明 确 执 行 的 规 则 和 方 法、
BP.
相关人员权限、完整性和一致性要求等( 07)。
04.
)
c 技术工具:应利用技术工具实现对关键数据进行数据质量管理和监控,实现异常数据及时告警
BP.
或更正( 08)。
04.
d) 人员能力:负责该项工作的人员应了解数据采集阶段的数据质量控制要素,能够基于组织的业
务特点开展数据质量评估工作(BP. 09)。
04.

4.
6. 4 等级 4:量化控制
2.

该等级的数据安全能力要求描述如下:
制度流程:
a) 应明确数据质量分级标准,明确不同级别和类 型 的 数 据 采 集、清 洗、转 换 等 数 据 采 集 处 理 流 程
BP.
质量要求( 10);
04.
b) 应定期对数据质量进行分析、预判和盘点,明确数据质量问题定位和修复时间要求(
BP. 11)。
04.

4.
6. 5 等级 5:持续优化
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应在组织层面实现数据质量管理的可持续优化,建立数据质量管理过程的有效性和
11
GB/T 37988—2019

效率目标,建立数据质量管理岗位人员与各业务团队的数据管理人员之间的有效沟通、反馈机
BP.
制,能够持续、及时地针对数据质量管理工作进行改进( 12)。
04.
b) 技术工具:
1) 应建立数据质量的技术指标,并通过相关管理系统评估数据质量管理的水平(
BP. 13);
04.
2) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆(
BP. 14)。
04.

7 数据传输安全

1 PA05 数据传输加密
7.

1.
7.1 PA 描述

根据组织内部和外部的数据传输要求,采用适当的加密保护 措 施,保 证 传 输 通 道、传 输 节 点 和 传 输
数据的安全,防止传输过程中的数据泄漏。

1.
7.2 等级描述

1.
7. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
组织建设:未在任何业务中建立成熟稳定的数据传输安全和 密 钥 管 理 机 制,仅 根 据 个 别 业 务 需 求、
BP.
合规要求,对传输通道、传输节点或数据采用了临时的加密保护措施( 01)。
05.

1.
7. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责对传输通道进行加密处理(
BP. 02)。
05.
)
b 制度流程:应根据合规要求和业务性能的需求,核心业务明确业务中需要加密传输的数据范围
和加密算法(BP. 03)。
05.
c) 技术工具:
1) 应有对传输通道两端进行主体身份鉴别和认证的技术方案和工具(
BP. 04);
05.
2) 应有对传输数据加密的技术方案和工具,包括针对关键的数据传输通道的加密方案(如采
用 TLS/SSL 方式),及对传输数据内容进行加密(
BP. 05)。
05.

1.
7. 3 等级 3:充分定义
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:组织应设立了管理数据加密、密钥管理的人员,负责整体的加密原则和技术工作,由
各业务的技术团队负责实现具体场景下的数据传输加密( BP. 06)。
05.
b) 制度流程:
1) 应明确数据传输安全管理规范,明确数据传输安全要求(如传输通道加密、数据内容加密、签
名验签、身份鉴别、数据传输接口安全等),确定需要对数据传输加密的场景(
BP. 07);
05.
2) 应明确对数据传输安全策略的变更进行审核的技术方案(BP. 08)。
05.
c) 技术工具:
1) 应有对传输数据的完整性进行检测,并具备数据容错或恢复的技术手段( BP. 09);
05.
2) 应部署对通道安全配置、密码算法配置、密钥管理等保护措施进行审核及监控的技术工具
(
BP. 10)。
05.
d) 人员能力:
12
 GB/T 37988—2019

1) 应了解常用的安全通道方案、身份鉴别 和 认 证 技 术、主 管 部 门 推 荐 的 数 据 加 密 算 法,基 于
BP.
具体的业务选择合适的数据传输安全管理方式( 11);
05.
2) 负责该项工作的人员应熟悉数据加密的 算 法,并 能 够 基 于 具 体 的 业 务 选 择 合 适 的 加 密 技
BP.
术( 12)。
05.

1.
7. 4 等级 4:量化控制
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:应在数据分类分级定义的基础上,明 确 提 出 对 不 同 类 型、级 别 的 数 据 的 加 密 传 输 要
BP.
求,包含对数据加密算法的要求和密钥的管理要求( 13)。
05.
b) 技术工具:
1) 每个传输链路上的节点都应部署了独立 密 钥 对 和 数 字 证 书,以 保 证 各 节 点 有 效 的 身 份 鉴
BP.
别( 14);
05.
2) 应综合量化敏感数据加密和数据传输通 道 加 密 的 实 现 效 果 和 成 本,定 期 审 核 并 调 整 数 据
BP.
加密的实现方案( 15);
05.
3) 组织应提供统一的数据加密模块供开发 传 输 功 能 的 人 员 调 用,根 据 不 同 数 据 类 型 和 级 别
BP.
进行数据加密处理,保证组织内数据加密功能的统一性( 16)。
05.

1.
7. 5 等级 5:持续优化
2.

该等级的数据安全能力要求描述如下:
技术工具:
a) 应跟进传输通道加密保护的技术发展,评估新技术对安全方案的影响,适当引入新技术以应对
BP.
最新的安全风险( 17);
05.
b) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆(
BP. 18)。
05.

2 PA06 网络可用性管理
7.

2.
7.1 PA 描述

通过网络基础设施及网络层数据防泄漏设备的备份建设,实现网络的高可用性,从而保证数据传输
过程的稳定性。

2.
7.2 等级描述

2.
7. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
组织建设:未在任何业务建立网络可用性管理,仅根据临时需求或基于个人经验对网络冗余建设进
BP.
行规划( 01)。
06.

2.
7. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应有负责网络的可用性管理的人员(
BP. 02);
06.
b) 制度流程:应在网络安全管 理 的 制 度 中 明 确 关 键 网 络 链 路、网 络 (安 全)设 备 的 可 用 性 管 理 要
BP.
求,关键业务的网络架构应考虑网络的可用性建设需求( 03)。
06.
13
GB/T 37988—2019

2.
7. 3 等级 3:充分定义
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:组织应设立负责网络可用性管理的人员或团队(
BP. 04)。
06.
b) 制度流程:应制定组织的网络可用性管 理 指 标,包 括 可 用 性 的 概 率 数 值、故 障 时 间/频 率/统 计
BP.
业务单元等;基于可用性管理指标,建立网络服务配置方案和宕机替代方案等( 05)。
06.
c) 技术工具:
1) 应对关键的网络传输链路、网络设备节点实行冗余建设(
BP. 06);
06.
2) 应部署相关设备对网络可用性及数据 泄 漏 风 险 进 行 防 范,如 负 载 均 衡、防 入 侵 攻 击、数 据
BP.
防泄漏检测与防护等设备( 07)。
06.
d) 人员能力:负责该项工作的人员应具有网络安全管理的能力,了解网络安全中对可用性的安全
BP.
需求,能够根据不同业务对网络性能需求制定有效的可用性安全防护方案( 08)。
06.

2.
7. 4 等级 4:量化控制
2.

该等级的数据安全能力要求描述如下:
技术工具:应通过相关指标定量分析网络可用性及数据防泄 漏 服 务 现 状,并 有 针 对 性 地 解 决 问 题,
BP.
提升网络可用性( 09)。
06.

2.
7. 5 等级 5:持续优化
2.

该等级的数据安全能力要求描述如下:
技术工具:
a) 应实现网络安全设备的健康状态检查及自动化切换(
BP. 10);
06.
b) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆(
BP. 11)。
06.

8 数据存储安全

1 PA07 存储媒体安全
8.

1.
8.1 PA 描述

针对组织内需要对数据存储媒体进行访问和使用的场景,提供有效的技术和管理手段,防止对媒体
的不当使用而可能引发的数据泄漏风险。存储媒体包括终端设备及网络存储。

1.
8.2 等级描述

1.
8. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
组织建设:未建立成熟稳定的存储媒体安全管理,仅根据临时需求或基于个人经验处理了存储媒体
BP.
安全需求( 01)。
07.

1.
8. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设: BP.
应由业务团队相关人员根据实际业务需求负责执行存储媒体安全管理工作( 0
7.2)。
0
14
 GB/T 37988—2019

b) 制度流程:业务团队应明确存储媒体使用、购买、标记的安全制度( BP. 03)。
07.
c) 人员能 力:业 务 团 队 中 负 责 相 关 工 作 的 人 员,应 熟 悉 存 储 媒 体 安 全 管 理 的 相 关 制 度 要 求
(
BP. 04)。
07.

1.
8. 3 等级 3:充分定义
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:组织应设立统一负责存储媒体安全管理的岗位和人员(
BP. 05)。
07.
b) 制度流程:
1) 应明确 存 储 媒 体 访 问 和 使 用 的 安 全 管 理 规 范,建 立 存 储 媒 体 使 用 的 审 批 和 记 录 流 程
(
BP. 06);
07.
2) 应明确购买或获取存储媒体的流程,要求通过可信渠道购买或获取存储媒体,并针对各类
BP.
存储媒体建立格式化规程( 07);
07.
3) 应建立存储媒体资产标识,明确存储媒体存储的数据( BP. 08);
07.
4) 应对存储媒体进行常规和随机检查,确保 存 储 媒 体 的 使 用 符 合 机 构 公 布 的 关 于 存 储 媒 体
BP.
使用的制度( 09)。
07.
c) 技术工具:
1) 组织应使用技术工具对存储媒体性能 进 行 监 控,包 括 存 储 媒 体 的 使 用 历 史、性 能 指 标、错
BP.
误或损坏情况,对超过安全阈值的存储媒体进行预警( 10);
07.
2) 应对存储媒体访问和使用行为进行记录和审计(
BP. 11)。
07.
d) 人员能力:负责该项工作的人员应熟悉存储媒体安全管理的相关合规要求,熟悉不同存储媒体
访问和使用的差异性(BP. 12)。
07.

1.
8. 4 等级 4:量化控制
2.

该等级的数据安全能力要求描述如下:
BP.
技术工具:应建立存储媒体管理系统,确保存储媒体的使用和传递过程得到严密跟踪( 13)。
07.

1.
8. 5 等级 5:持续优化
2.

该等级的数据安全能力要求描述如下:
技术工具:
a) 应持续更新优化组织的存储媒体管理系统和净化工具,以保证存储媒体的安全使用(BP. 14);
07.
b) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆(BP. 15)。
07.

2 PA08 逻辑存储安全
8.

2.
8.1 PA 描述

基 于 组 织 内 部 的 业 务 特 性 和 数 据 存 储 安 全 要 求,建 立 针 对 数 据 逻 辑 存 储、存 储 容 器 等 的 有 效 安 全
控制。

2.
8.2 等级描述

2.
8. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
组织建设:未在任何业务中建立数据逻辑存储环境安全管理,仅根据临时需求或基于个人经验考虑
BP.
了个别数据逻辑存储系统的安全管理( 01)。
08.
15
GB/T 37988—2019

2.
8. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:
应由业务团队相关人员负责相关数据逻辑存储系统(
如数据库) BP.
的安全管理( 0
8.2)
0 。
b) 技术工具:应采取技术工具支撑逻辑存储系统的安全管理,如配置扫描、身份鉴别、访问控制等
(
BP. 03)。
08.

2.
8. 3 等级 3:充分定义
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:
1) 组织应设立统一负责数据逻辑存储安全 管 理 的 岗 位 和 人 员,负 责 明 确 整 体 的 数 据 逻 辑 存
BP.
储系统安全管理要求,并推进相关要求的实施( 04);
08.
2) 应明确各数据逻辑存储系统的安全管理员,负责执行数据逻辑存储系统、存储设备的安全
BP.
管理和运维工作( 05)。
08.
b) 制度流程:
1) 应明确数据逻辑存储管理安全规范和配置规则,明确各类数据存储系统的账号权限管理、
BP.
访问控制、日志管理、加密管理、版本升级等方面的要求( 06);
08.
2) 内部的数据存储系统应在上线前遵循统 一 的 配 置 要 求 进 行 有 效 的 安 全 配 置,对 使 用 的 外
部数据存储系统也应进行有效的安全配置( BP.08.07);
3) 应明确 数 据 逻 辑 存 储 隔 离 授 权 与 操 作 要 求,确 保 具 备 多 用 户 数 据 存 储 安 全 隔 离 能 力
(
BP. 08)。
08.
c) 技术工具:
1) 应提供数据存储系统配置扫描工具,定期对主要数据存储系统的安全配置进行扫描,以保
证符合安全基线要求( BP. 09);
08.
2) 应利用技术工具监测逻辑存储系统的数 据 使 用 规 范 性,确 保 数 据 存 储 符 合 组 织 的 相 关 安
BP.
全要求( 10);
08.
3) 应具备对个人信息、重要数据等敏感数据的加密存储能力( BP. 11)。
08.
d) 人员能力:负责该项工作的人员应熟悉数据存储系统架构,并能够分析出数据存储面临的安全
风险,从而能够保证对各类存储系统的有效安全防护(BP. 12)。
08.

2.
8. 4 等级 4:量化控制
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:
1) 应明确分层的逻辑存储授权管理规则和 授 权 操 作 要 求,具 备 对 数 据 逻 辑 存 储 结 构 的 分 层
和分级保护能力(BP.
08.13);
2) 应明确数据分片和 分 布 式 存 储 安 全 规 则,如 数 据 存 储 完 整 性 规 则、多 副 本 一 致 性 管 理 规
则、存储转移安全规则,以满足分布式存 储 下 分 片 数 据 完 整 性、一 致 性 和 保 密 性 保 护 要 求
(
BP. 14);
08.
3) 组织应根据数据分类分级要求,明确各类各级数据的加密存储要求( BP.
08.15)。
b) 技术工具:
1) 应建立管理数据存储系统安全配置的技 术 工 具,实 现 对 安 全 配 置 情 况 的 统 一 管 理 和 控 制
(
BP. 16);
08.
)
2 应建立可伸缩数据存储架构,以满足数据量持续增长、数据分类分级存储等需求(
BP. 17);
08.
16
 GB/T 37988—2019

3) 应建立满足应用层、数据层、操作系统层、数 据 存 储 层 等 不 同 层 次 数 据 存 储 加 密 需 求 的 数
BP.
据存储加密架构( 18)。
08.
c) 人员能力:负责数据加密工作的人员应熟悉各类数据加密算法的性能和瓶颈,并能够基于业务
BP.
发展的需求、合规的需求制定有效的数据加密方案( 19)。
08.

2.
8. 5 等级 5:持续优化
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:应定期审核数据库的安全配置情况和权限分配情况,并改进优化相关配置和角色权
限包的内容(BP. 20)。
08.
b) 技术工 具:应 参 与 国 际、国 家 或 行 业 相 关 标 准 制 定。 在 业 界 分 享 最 佳 实 践,成 为 行 业 标 杆
(
BP. 21)。
08.

3 PA09 数据备份和恢复
8.

3.
8.1 PA 描述

通过执行定期的数据备份和恢复,实现对存储数据的冗余管理,保护数据的可用性。

3.
8.2 等级描述

3.
8. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
组织建设:未在任何业务中建立成熟稳定的数据备份恢复机制,仅根据临时需求或基于个人经验对
BP.
部分数据执行了临时的数据备份和恢复性测试( 01)。
09.

3.
8. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:业务团队应明确负责数据备份和恢复的岗位和人员( BP. 02)。
09.
b) 制度流程:业务团队应明确数据备份和恢复的制度(BP. 03)。
09.
c) 技术工具:应建立数据备份与恢复的技术工具(
BP. 04)。
09.

3.
8. 3 等级 3:充分定义
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:组织应明确负责组织统一的数据备份和恢复管理工作的岗位和人员,负责建立相应
的制度流程并部署相关的安全措施(BP. 05)。
09.
b) 制度流程:
1) 应明确数据备份与恢复的管理制度,以满足数据服务可靠性、可用性等安全目标(
BP. 06);
09.
2) 应明确数据备份与恢复的操作规程,明 确 定 义 数 据 备 份 和 恢 复 的 范 围、频 率、工 具、过 程、
BP.
日志记录、数据保存时长等( 07);
09.
3) 应明确数据备份与恢复的定期检查和更新工作程序,包括数据副本的更新频率、保存期限
BP.
等( 08);
09.
4) 应依据数据生存周期和业务规范,
建立数据生存周期各阶段数据归档的操作流程( BP.
0
9.9);
0
5) 应明确归档数据的压缩或加密要求(BP. 10);
09.
6) 应明确归档数据的安全管控措施,非授权用户不能访问归档数据(BP. 11);
09.
7) 应识别组织适用的合规要求,按监管部门的要求对相关数据予以记录和保存(
BP. 12);
09.
17
GB/T 37988—2019

8) 应明确数据存储时效性管理规程,明确数据分享、存储、使用和删除的有效期、有效期到期
时对数据的处理流程、过期存储数据的安全管理要求(BP. 13);
09.
9) 应明确过期存储数据的安全保护机制,对 超 出 有 效 期 的 存 储 数 据 应 具 备 再 次 获 取 数 据 控
BP.
制者授权的能力( 14)。
09.
c) 技术工具:
1) 应建立数据备份与恢复的统一技术工具,保证相关工作的自动执行(
BP. 15);
09.
2) 应建立备份和归档数据安全的技术手段,包括但不限于对备份和归档数据的访问控制、压
缩或加密管理、完整性和可用性管理,确 保 对 备 份 和 归 档 数 据 的 安 全 性、存 储 空 间 的 有 效
BP.
利用、安全存储和安全访问( 16);
09.
3) 应定期采取必要的技术措施查验备份和归档数据完整性和可用性( BP. 17);
09.
4) 应建立过期存储数据及其备份数据彻底 删 除 或 匿 名 化 的 方 法 和 机 制,能 够 验 证 数 据 已 被
BP.
完全删除、无法恢复或无法识别到个人,并告知数据控制者和数据使用者( 18);
09.
5) 应通过风险提示和技术手段避免非过期 数 据 的 误 删 除,确 保 在 一 定 的 时 间 窗 口 内 的 误 删
BP.
除数据可以手动恢复( 19);
09.
6) 应确保存储架构具备数据存储跨机柜或跨机房容错部署能力(
BP. 20)。
09.
d) 人员能力:
1) 负责该项工作的人员应了解数据备份媒 体 的 性 能 和 相 关 数 据 的 业 务 特 性,能 够 确 定 有 效
BP.
的数据备份和恢复机制( 21);
09.
2) 负责该项工作的人员应了解数据存储时 效 性 相 关 的 合 规 性 要 求,并 具 备 基 于 业 务 对 合 规
BP.
要求的解读能力和实施能力( 22)。
09.

3.
8. 4 等级 4:量化控制
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:
1) 应明确数据冗余强一致性、弱一致性等控制要求,以满足不同一致性水平需求的数据副本
多样性和多变性存储管理要求(BP. 23);
09.
2) 应对组织内数据备份的场景、数量、频率 进 行 了 定 期 的 统 计,了 解 组 织 内 部 数 据 备 份 工 作
BP.
的开展情况( 24)。
09.
b) 技术工具:
1) 应建立在线/离线的多级数据归档方式,支持海量数据的有效归档、恢复和使用(
BP. 25);
09.
2) 应为不同时效性的数据建立分层的数据 存 储 方 法,具 备 按 时 效 性 自 动 迁 移 数 据 分 层 存 储
BP.
的能力( 26);
09.
3) 应具备数据副本或数据备份存储的多种 压 缩 策 略 和 实 现 技 术,确 保 压 缩 数 据 副 本 或 数 据
BP.
备份的完整性和可用性( 27);
09.
4) 存储系统应具备数据存储跨地域的容灾能力( BP. 28);
09.
5) 应通过工具对需要符合数据存储合规要求的数据进行标识( BP. 29);
09.
6) 应具备数据时效性自动检测能力,包括 但 不 限 于 告 警、自 动 删 除 和 拒 绝 访 问 等,以 保 证 数
BP.
据的及时删除、更新和有效性( 30)。
09.

3.
8. 5 等级 5:持续优化
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:应密切关注国内外数据备份和恢复的优秀解决方案,适当地采纳并用于组织内部的
数据备份和恢复工作(BP. 31)。
09.
18
 GB/T 37988—2019

b) 技术工 具:应 参 与 国 际、国 家 或 行 业 相 关 标 准 制 定。 在 业 界 分 享 最 佳 实 践,成 为 行 业 标 杆
(
BP. 32)。
09.

9 数据处理安全

1 PA10 数据脱敏
9.

1.
9.1 PA 描述

根据相关法律法规、标准的要求以及业务需求,给出敏感数据 的 脱 敏 需 求 和 规 则,对 敏 感 数 据 进 行
脱敏处理,保证数据可用性和安全性的平衡。

1.
9.2 等级描述

1.
9. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
组织建设:未在任何业务中建立数据脱敏的制度,仅根据临时 需 求 或 基 于 个 人 经 验,在 数 据 使 用 的
BP.
过程中对某些数据字段执行了脱敏处理( 01)。
10.

1.
9. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责数据脱敏工作(
BP. 02)。
10.
b) 人员能力:负责该项工作的人员应了解数据脱敏的常用技术,并能够基于数据脱敏的具体场景
保证业务和安全之间的需求平衡(BP. 03)。
10.
c) 制度流程:在核心业务中,应对业务中涉及的数 据 脱 敏 需 求 进 行 分 析,明 确 脱 敏 的 流 程 和 方 法
(
BP. 04)。
10.
d) 技术工具:应 通 过 一 定 的 技 术 工 具 (如 敏 感 字 段 屏 蔽 等 方 式 ),实 现 对 核 心 业 务 的 数 据 脱 敏
(
BP. 05)。
10.

1.
9. 3 等级 3:充分定义
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:
1) 组织应设立统一的数据安全岗位和人员,负责制定数据脱敏的原则和方法,并提供相关技
BP.
术能力( 06);
10.
2) 在数据权限的申请阶段,有相关人员应评估使用真实数据的必要性,以及确定该场景下适
用的数据脱敏规则及方法(BP. 07)。
10.
b) 制度流程:
1) 应明确组织的数据脱敏规范,明确数据脱敏的规则、脱敏方法和使用限制等(
BP. 08);
10.
2) 应明确需要脱敏处理的应用场景、脱敏处理流程、涉及部门及人员的职责分工(
BP. 09)。
10.
c) 技术工具:
1) 组织应提供统一的数据脱敏工具,实现数据脱敏工具与数据权限管理系统的联动,以及数
BP.
据使用前的静态脱敏( 10);
10.
2) 应提供面向不同数据类型的脱敏方案,可基于场景需求自定义脱敏规则(BP. 11);
10.
3) 数据脱敏后应保留原始数据格式和特定属性,满足开发与测试需求(
BP. 12);
10.
4) 应对数据脱敏处理过程相应的操作进行记录, BP.
以满足数据脱敏处理安全审计要求( 13)。
10.
19
GB/T 37988—2019

d) 人员能力:
1) 应熟悉常规的数据脱敏技术,能够分析数据脱敏过程中存在的安全风险,基于数据脱敏的
具体场景保证业务和安全之间的需求平衡( BP.
10.14);
2) 应具备对数据脱敏的技术方案定制化的 能 力,能 够 基 于 组 织 内 部 各 级 别 的 数 据 建 立 有 效
BP.
的数据脱敏方案( 15)。
10.

1.
9. 4 等级 4:量化控制
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:
1) 应明确列出需要脱敏的数据资产,给出不同分类分级数据的脱敏处理流程(
BP. 16);
10.
2) 应明确脱敏数据治理要求,在评估方法等方面反映脱敏治理效果( BP.
10.17)。
b) 技术工具:
1) 应配置脱敏数据识别和脱敏效果验证服 务 组 件 或 技 术 手 段,确 保 数 据 脱 敏 的 有 效 性 和 合
BP.
规性( 18);
10.
)
2 应提供数据脱敏组件或技术手段,支持泛化、抑制、假名化等数据脱敏技术( BP. 19);
10.
3) 应针对特定的数据使用场景和数据脱敏的策略,部署数据的动态脱敏方案( BP. 20)。
10.
c) 人员能力:应定期对数据脱敏工作人员的脱敏操作能力进行考核评估(BP. 21)。
10.

1.
9. 5 等级 5:持续优化
2.

该等级的数据安全能力要求描述如下:
技术工具:
a) 应持续跟踪业务新需求、数据脱敏新技术和最 佳 实 践、合 规 新 要 求 新 变 化 等,持 续 改 进 数 据 脱
BP.
敏规则和手段( 22);
10.
b) 应实现对非结构化数据、组合数据的数据脱敏(
BP. 23);
10.
c) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆(
BP. 24)。
10.

2 PA11 数据分析安全
9.

2.
9.1 PA 描述

通过在数据分析过程采取适当的安全控制措施,防止数据挖掘、分析过程中有价值信息和个人隐私
泄漏的安全风险。

2.
9.2 等级描述

2.
9. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
组织建设:未在任何业务中开展数据分析的安全风险控制,仅根据临时需求或基于个人经验在个别
BP.
业务中考虑了数据分析的安全风险( 01)。
11.

2.
9. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责数据分析过程中的数据安全风险控制(
BP. 02)。
11.
b) 制度流程:
1) 核心业务应明确数据分析安全的原则或要求,如对个人明细数据、业务明细数据进行聚合
20
 GB/T 37988—2019

BP.
分析过程中应考虑的关键安全风险等( 03);
11.
2) 核心业务团队应对涉及个人信息的数据 分 析 需 求 进 行 了 人 工 审 核,针 对 具 体 的 数 据 分 析
BP.
场景制定了相应的隐私保护方案( 04)。
11.

2.
9. 3 等级 3:充分定义
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:组织应设立负责数据分析安全的岗 位 和 人 员,负 责 整 体 的 数 据 分 析 安 全 原 则 制 定、
提供相应技术支持(BP. 05)。
11.
b) 制度流程:
1) 应明确数据处理与分析过程的安全 规 范,覆 盖 构 建 数 据 仓 库、建 模、分 析、挖 掘、展 现 等 方
面的安全要求,明确个人信息保护、数据获取方式、访问接口、授权机制、分析逻辑安全、分
BP.
析结果安全等内容( 06);
11.
2) 应明确数据分析安全审核流程,对数据分析的数据源、数据分析需求、分析逻辑进行审核,
BP.
以确保数据分析目的、分析操作等当面的正当性( 07);
11.
3) 应采取必要的监控审计措施,确保实际进行的分析操作与分析结果使用与其声明的一致,
整体保证数据分析的预期不会超过相关分析团队对数据的权限范围(BP. 08);
11.
4) 应明确数据分析结果输出和使用的安全审核、合规评估和授权流程,防止数据分析结果输
BP.
出造成安全风险( 09)。
11.
c) 技术工具:
1) 在针对个人信息的数据分析中,组织应采 用 多 种 技 术 手 段 以 降 低 数 据 分 析 过 程 中 的 隐 私
K 匿名等(
泄漏风险,如差分隐私保护、 BP. 10);
11.
2) 应记录 并 保 存 数 据 处 理 与 分 析 过 程 中 对 个 人 信 息、重 要 数 据 等 敏 感 数 据 的 操 作 行 为
(
BP. 11);
11.
3) 应提供组织统 一 的 数 据 处 理 与 分 析 系 统,并 能 够 呈 现 数 据 处 理 前 后 数 据 间 的 映 射 关 系
(
BP. 12)。
11.
d) 人员能力:应能够基于合规性要求、相关标准对数据安全分析中所可能引发的数据聚合的安全
风险进行有效的评估,并能够针对分析场景提出有效的解决方案(BP. 13)。
11.

2.
9. 4 等级 4:量化控制
2.

该等级的数据安全能力要求描述如下:
技术工具:
a) 应结合技术手段降低数据分析过程中的安全风险,比如基于机器学习的重要数据自动识别、数
BP.
据安全分析算法设计等( 14);
11.
b) 应采取必要的技术手段(如对分析结果数据进行扫 描 并 采 取 必 要 的 控 制 措 施)和 管 理 措 施,避
免输出的数据分析结果包含可恢复的个人信息、重要数据等数据和结构标识(如用户鉴别信息
的重要标识和数据结构),以防止数据分析结果危害个人隐私、公司商业价值、社会公共利益和
BP.
国家安全( 15);
11.
c) 应建立数据分析过程的安全风险监控系统,对数 据 分 析 可 能 涉 及 的 安 全 风 险 进 行 批 量 的 分 析
BP.
和跟进( 16);
11.
d) 应 具 备 基 于 机 器 学 习 的 敏 感 数 据 自 动 识 别、数 据 分 析 算 法 安 全 设 计 等 数 据 分 析 安 全 能 力
(
BP. 17);
11.
e) 应在个人信息、重要数据等数据有恢复需求时,采取必要的技术手段恢复数据(
BP. 18)。
11.
21
GB/T 37988—2019

2.
9. 5 等级 5:持续优化
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:应跟踪新业务需求、国内外法律法规 变 化 和 技 术 发 展 变 化,持 续 调 整 和 改 进 数 据 分
析安全管理效果(如改进数据分析的个人隐私保护方案)(
BP. 19)。
11.
b) 人员能力:负责该项工作的人员应具备对数据分析的安全技术,能够及时跟进先进的最佳实践
BP.
以保证对相关技术的合理应用( 20)。
11.
c) 技术工 具:应 参 与 国 际、国 家 或 行 业 相 关 标 准 制 定。 在 业 界 分 享 最 佳 实 践,成 为 行 业 标 杆
(
BP. 21)。
11.

3 PA12 数据正当使用
9.

3.
9.1 PA 描述

基于国家相关法律法规对数据分析和利用的要求,建立数据 使 用 过 程 的 责 任 机 制、评 估 机 制,保 护
国家秘密、商业秘密和个人隐私,防止数据资源被用于不正当目的。

3.
9.2 等级描述

3.
9. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
组织建设:未在业务中建立数据合规评估机制,仅根据临时需求或基于个人经验在个别业务系统中
BP.
根据常识、法律法规或合同协议等要求关注了对数据的正当使用需求( 01)。
12.

3.
9. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责数据使用的合规性评估(
BP. 02)。
12.
b) 制度流程:核 心 业 务 应 明 确 数 据 使 用 正 当 性 的 制 度,保 证 数 据 使 用 在 声 明 的 目 的 和 范 围 内
(
BP. 03)。
12.

3.
9. 3 等级 3:充分定义
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:组织应设立相关岗位或人员,负责对数据正当使用管理、评估和风险控制(
BP. 04)。
12.
b) 制度流程:
1) 应明确数据使用的评估制度,所有个人信息和重要数据的使用应先进行安全影响评估,满
足国家合规要求后,允许使用。数据的 使 用 应 避 免 精 确 定 位 到 特 定 个 人,避 免 评 价 信 用、
BP.
资产和健康等敏感数据,不得超出与收集数据时所声明的目的和范围( 05)。
12.
2) 应明确数据使用正当性的制度,保证数据使用在声明的目的和范围内(
BP. 06)。
12.
c) 技术工具:
1) 应依据合规要求建立相应强度或粒度的访问控制机制, BP.
限定用户可访问数据范围( 1
2.7);
0
2) 应完整记录数据使用过程的操作日志, BP.
以备对潜在违约使用者责任的识别和追责( 1
2.8)。
0
d) 人员能力:负责该项工作的人员应能够按最小够用等原则管理权限,并具备对数据正当使用的
BP.
相关风险的分析和跟进能力( 09)。
12.
22
 GB/T 37988—2019

3.
9. 4 等级 4:量化控制
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:
应具备违约责任、缔约过失责任、
侵权责任等数据使用风险分析和处理能力(BP. 10)。
12.
b) 技术工具:应具备技术手段或机制,对数据滥用行为进行有效的识别、监控和预警(BP. 11)。
12.
c) 人员能力:负责该项工作的人员应具备发现数据不正当使用安全风险的能力(BP. 12)。
12.

3.
9. 5 等级 5:持续优化
2.

该等级的数据安全能力要求描述如下:
技术工具:
a) 应研究并利用新的技术提升对用户的身份及访问 管 理 能 力,并 通 过 风 险 监 控 与 审 计 实 现 对 数
BP.
据使用的安全风险进行自动化分析和处理( 13);
12.
b) 应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆(
BP. 14)。
12.

4 PA13 数据处理环境安全
9.

4.
9.1 PA 描述

为组织内部的数据处理环境建立安全保护机制,提供统一的 数 据 计 算、开 发 平 台,确 保 数 据 处 理 的
过程中有完整的安全控制管理和技术支持。

4.
9.2 等级描述

4.
9. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
组织建设:未在任何业务开展成熟稳定的数据处理环境安全,仅根据临时需求或基于个人经验在部
BP.
分业务系统中关注数据处理环境安全( 01)。
13.

4.
9. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责数据处理环境安全管理(BP. 02)。
13.
b) 技术工具:核心业务的数据处理环境,应实现了身份鉴别、访问控制、安全配置等(BP. 03)。
13.

4.
9. 3 等级 3:充分定义
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责数据处理环境安全管控(
BP. 04)。
13.
b) 制度流程:
1) 数据处理环境的系统设计、开发和运维阶段应制定相应的安全控制措施,实现对安全风险
BP.
的管理( 05);
13.
2) 应明确数据处理环境的安全管理要求(
BP. 06);
13.
3) 组织应基于数据处理环境建立分布式处理安全要求,对外部服务组件注册与使用审核、分
布式处理节点间可信连接认证、节点和用户安全属性周期性确认、数据文件标识和用户身
BP.
份鉴权、数据副本节点更新检测及防止数据泄漏等方面进行安全要求和控制( 07);
13.
4) 组织应明确适合数据处理环境的数据加解密处理要求和密钥管理要求(
BP. 08)。
13.
)
c 技术工具:
23
GB/T 37988—2019

1) 数据处理系统与数据权限管理系统应实 现 了 联 动,用 户 在 使 用 数 据 系 统 前 已 获 得 了 授 权
(
BP. 09);
13.
2) 基于数据处理系统 的 多 租 户 的 特 性,应 对 不 同 的 租 户 保 证 其 在 该 系 统 中 的 数 据、系 统 功
BP.
能、会话、调度和运营环境等资源实现隔离控制( 10);
13.
3) 应建立数据处理日志管理工具,记录用户在数据处理系统上的加工操作,提供数据在系统
BP.
上加工计算的关联关系( 11)。
13.
d) 人员能力:负责该项工作的人员应了解在数据环境下的数据处理系统的主要安全风险,并能够在
BP.
相关的系统设计、开发阶段通过合理的设计以及运维阶段的有效配置规避相关风险( 12)。
13.

4.
9. 4 等级 4:量化控制
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:应针对用户在数据处理系统上对数据的操作开展定期审计,确定用户对数据的加工
BP.
未超出前期申请数据时的目的( 13)。
13.
b) 技术工具:
1) 应对分布式处理过程中不同数据副本节点数据的完整性和一致性进行定期检测(
BP. 14);
13.
2) 应建立分布式处理节点和用户安全属性的周期性确认机制(
BP. 15);
13.
3) 应建立数据分布式处理节点的服务组件自动维护和管控措施,包括虚假节点监测、故障用
BP.
户节点确认和自动修复的技术机制( 16);
13.
4) 应建立分布式处理外部服务组件注册与使用审核机制(
BP. 17);
13.
5) 应具备对密文数据进行搜索、排序、计算等透明处理的技术能力(
BP. 18);
13.
6) 应建立分布式处理过程中的数据泄漏控制机制,防止数据处理过程中的调试信息、日志记
BP.
录等不受控制输出导致受保护个人信息、重要数据等敏感数据的泄漏( 19)。
13.

4.
9. 5 等级 5:持续优化
2.

该等级的数据安全能力要求描述如下:
a) 制度流程:相关人员应能对用户在数据处理系统上的操作执行实时监控,能够及时跟进风险并
BP.
采取有效的风险控制措施( 20)。
13.
b) 技术工 具:应 参 与 国 际、国 家 或 行 业 相 关 标 准 制 定。 在 业 界 分 享 最 佳 实 践,成 为 行 业 标 杆
(
BP. 21)。
13.

5 PA14 数据导入导出安全
9.

5.
9.1 PA 描述

通过对数据导入导出过程中对数据的安全性进行管理,防止数据 导 入 导 出 过 程 中 可 能 对 数 据 自 身
的可用性和完整性构成的危害,降低可能存在的数据泄漏风险。

5.
9.2 等级描述

5.
9. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
组织建设:未在任何业务开展成熟稳定的数据导入导出安全风险管控,仅根据临时需求或基于个人
BP.
经验考虑了个别系统的数据导入导出安全需求( 01)。
14.
24
 GB/T 37988—2019

5.
9. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责对数据导入导出执行安全管理(BP. 02)。
14.
b) 制度流程:应明确核心业务数据导入导出安全制度或审批流程(
BP. 03)。
14.
c) 人员能力:负责数据导入导出的人员应具备对数据导入导出业务的理解能力,掌握数据导入导
BP.
出规程,并能够针对具体场景提出有效的解决方案( 04)。
14.
d) 技术工具:应记录组织内部的数据导入导出行为,确保数据导入导出行为追溯(
BP. 05)。
14.

5.
9. 3 等级 3:充分定义
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:组织应设立统一的数据导入导出安全管理岗位和人员,负责制定规则和提供技术能
BP.
力,并推动在组织内业务落地执行( 06)。
14.
b) 制度流程:
1) 应依据数据分类分级要求建立符合业务规则的数据导入导出安全策略,如授权策略、流程
BP.
控制策略、不一致处理策略等( 07);
14.
2) 应明确数据导出安全评估和授权审批流程,评估数据导出的安全风险,并对大量或敏感数
BP.
据导出进行授权审批( 08);
14.
3) 如采用存储媒体导出数据,应建立针对导出存储媒体的标识规范,明确存储媒体的命名规
BP.
则、标识属性等重要信息,定期验证导出数据的完整性和可用性( 09);
14.
4) 应制定导入导出审计策略和日志管理规 程,并 保 存 导 入 导 出 过 程 中 的 出 错 数 据 处 理 记 录
(
BP. 10)。
14.
c) 技术工具:
1) 应记录并定期审计组织内部的数据导入导出行为, BP.
确保未超出数据授权使用范围( 11);
14.
2) 应对数据导入导出终端设备、用户或服务组件执行有效的访问控制,实现对其身份的真实
BP.
性和合法性的保证( 12);
14.
3) 在导入导出完成后应对数据导入导出通 道 缓 存 的 数 据 进 行 删 除,以 保 证 导 入 导 出 过 程 中
BP.
涉及的数据不会被恢复( 13)。
14.
d) 人员能力:负责数据导入导出安全工作的人员应能够充分理解组织的数据导入导出规程,并根
BP.
据数据导入导出的业务执行相应的风险评估,从而提出实际的解决方案( 14)。
14.

5.
9. 4 等级 4:量化控制
2.

该等级的数据安全能力要求描述如下:
技术工具:
a) 应采取多因素鉴别技术对数据导入导出操作人员进行身份鉴别(
BP. 15);
14.
b) 应为数据导入导出通道提供冗余备份能力(
BP. 16);
14.
c) 应对数据导入导出接口进行流量过载监控(
BP. 17);
14.
d) 应建立组织统 一 的 数 据 导 入 导 出 管 理 系 统,提 示 数 据 导 入 导 出 的 安 全 风 险 并 进 行 在 线 审 核
(
BP. 18);
14.
e) 应配置规范的数据导入导出机制或服务组件,明确数据导入导出最低安全防护要求(
BP. 19)。
14.

5.
9. 5 等级 5:持续优化
2.

该等级的数据安全能力要求描述如下:
25
GB/T 37988—2019

a) 制度流程:组织应及时跟进业务相关的法律法规的更新和产业内的优秀做法,定期评估导入导
出服务组件和导入导出通道的安全性,对数据 导 入 导 出 的 风 险 控 制 方 案 进 行 持 续 的 优 化 调 整
(
BP. 20)。
14.
b) 技术工 具:应 参 与 国 际、国 家 或 行 业 相 关 标 准 制 定。 在 业 界 分 享 最 佳 实 践,成 为 行 业 标 杆
(
BP. 21)。
14.

10 数据交换安全

1 PA15 数据共享安全
10.

1.
10.1 PA 描述

通过业务系统、产品对外部组织提供数据时,以及通过合作的方式与合作伙伴交换数据时执行共享
数据的安全风险控制,以降低数据共享场景下的安全风险。

1.
10.2 等级描述

1.
10. 1 等级 1:非正式执行
2.

该等级的数据安全能力描述如下:
组织建设:未在任何业务建立成熟稳定的数据共享安全风险管控,仅根据临时需求或基于个人经验
BP.
对个别数据共享场景考虑了安全需求( 01)。
15.

1.
10. 2 等级 2:计划跟踪
2.

该等级的数据安全能力要求描述如下:
a) 组织建设:应由业务团队相关人员负责对数据共享方案进行安全风险管控( BP.
15.02)。
)
b 制度流程:应明确核心业务数据共享安全评估 机 制,可 从 共 享 目 的 合 理 性、共 享 数 据 的 范 围 和
BP.
合规性、共享方式的安全性、共享后管理责任和约束措施等方面进行评估( 03)。
15.
c) 人员能力:负责数据共享安全的人员应具备对数据共享业务的理解能力,能够结合合规?