数据安全能力成熟度模型DSMM----4、数据存储安全
文章目录
- 一、PA07 存储媒体安全
- 1、PA描述
- 2、等级描述
- 二、PA08 存储逻辑安全
- 1、PA描述
- 2、等级描述
- 三、PA09 数据备份和恢复
- 1、PA描述
- 2、等级描述
一、PA07 存储媒体安全
1、PA描述
针对组织内需要对数据存储媒体进行访问和使用地场景,提供有效地技术和管理手段,防止对媒体地不当使用而可能引发地数据泄露风险。存储媒体宝库欧洲段设备及网络存储。
2、等级描述
2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未建立成熟稳定的存储媒体安全管理,仅根据临时需求或基于个人经验处理了存储媒体安全需求。
2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设:应由业务团队相关人员根据实际业务需求负责执行存储媒体安全管理工作。
②制度流程:业务团队应明确存储媒体使用、购买、标记的安全制度。
③人员能力:业务团队中负责相关工作的人员,应熟悉存储媒体安全管理的相关制度要求。
2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:组织应设立统一负责存储媒体安全管理的岗位和人员。
②制度流程:
a)应明确存储媒体访问和使用的安全管理规范,建立存储媒体使用的审批和记录流程;
b)应明确购买或获取存储媒体的流程,要求通过可信渠道购买或获取存储媒体,并针对各类存储媒体建立格式化规程;
c)应建立存储媒体资产标识,明确存储媒体存储的数据;
d)应对存储媒体进行长队和随机检查,确保存储媒体的使用符合机构公布的关于存储媒体的使用的制度。
③技术工具:
a)组织应使用技术工具对存储媒体性能进行监控,包括存储媒体的使用历史、性能指标、错误或损坏情况,对超过安全阙值的存储媒体进行预警;
b)应对存储媒体访问和使用行为进行记录和审计。
④人员能力:负责该项工作的人员影书系存储媒体安全管理的相关合规要求,熟悉不同存储媒体访问和使用的差异性。
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①技术工具:应建立存储媒体管理系统,确保存储媒体的使用和传递过程得到严密跟踪。
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①技术工具:
a)应持续更新优化组织的存储媒体管理系统和净化工具,以保证存储媒体的安全使用;
b)应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。
二、PA08 存储逻辑安全
1、PA描述
基于组织内部的业务特性和数据存储安全要求,建立针对数据逻辑存储、存储容器等的有效安全控制。
2、等级描述
2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务中建立数据逻辑存储环境安全管理,仅根据临时需求或基于个人经验考虑了个别数据逻辑存储系统的安全管理。
2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设:应由业务团队相关人员负责相关数据逻辑存储系统(如数据库)的安全管理。
②技术工具:应采取技术工具支撑逻辑存储系统的安全管理,如配置扫描、身份鉴定、访问控制等。
2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:
a)组织应设立统一负责数据逻辑存储安全管理的岗位和人员,负责明确整体的数据逻辑存储系统安全管理要求,并推进相关要求的实施。
b)应明确个数据逻辑存储系统的安全管理员,负责执行数据逻辑存储系统、存储设备的安全管理和运维工作。
②制度流程:
a)应明确数据逻辑存储管理安全规范和配置规划,明确各类数据存储系统的账号权限管理、访问控制、日志管理、加密管理、版本升级等方面的要求;
b)内部的数据存储系统应在上线前遵循统一的配置要求进行有效的安全配置,对使用的外部数据存储系统也应进行有效的安全配置;
c)应明确数据逻辑存储隔离授权于操作要求,确保具备多用户数据存储安全隔离能力。
③技术工具:
a)应提供数据存储系统配置扫描工具,定期对主要数据存储系统的安全配置进行扫描,以保证符合安全基线要求;
b)应利用技术工具检测逻辑存储系统的数据使用规范性,确保数据存储符合组织的相关安全要求;
c)应具备对个人信息、重要数据等敏感数据的加密存储能力。
④人员能力:负责该项工作的人员应熟悉数据存储系统架构,并能分析出数据存储面临的安全风险,从而能够保证对各类存储系统的有效安全防护。
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①制度流程:
a)应明确分层的逻辑存储授权管理规则和授权操作要求,具备对数据逻辑存储结构的分层和分级保护;
b)应明确数据分片和分布式存储安全规则,如数据存储完整性规则阿、多副本一致性管理规则、存储转移安全规则,以满足分布式存储下分片数据完整性、一致性和保密性保护要求;
c)组织应根据数据分类分级要求,明确各类各级数据的加密存储要求。
②技术工具:
a)应建立管理数据存储系统安全配置的技术工具,实现对安全配置情况的统一管理和控制;
b)应建立可伸缩数据存储架构,以满足数据量持续增长、数据分类分级存储等需求;
c)应建立满足应用层、数据层、操作系图层、数据存储层等不同层次数据存储加密需求的数据存储加密架构。
③人员能力:负责数据加密工作的人员应熟悉各类数据加密算法的性能和瓶颈,并能够基于业务发展的需求、合规的需求制定有效的数据加密方案。
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①制度流程:应定期审核数据库的安全配置情况和权限分配情况,并改进优化相关配置和角色权限包的内容。
②技术工具:应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。
三、PA09 数据备份和恢复
1、PA描述
通过执行定期的数据备份和恢复,实现对存储数据的冗余管理,保护数据的可用性。
2、等级描述
2.1、等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务中建立成熟稳定的数据备份恢复机制,仅根据临时需求或基于个人经验对部分数据执行了临时的数据备份和恢复性测试。
2.2、等级2:计划跟踪
该等级的数据安全能力要求描述如下:
①组织建设:业务团队应明确负责数据备份和恢复的岗位和人员。
②制度流程:业务团队应明确数据备份和恢复的制度。
③技术工具:应建立数据备份与恢复的技术工具。
2.3、等级3:充分定义
该等级的数据安全能力要求描述如下:
①组织建设:组织应明确负责组织统一的数据备份和恢复管理工作的岗位和人员,负责建立相应的制度流程并部署相关的安全措施。
②制度流程:
a)应明确数据备份与恢复的管理制度,以满足数据服务可靠性、可用性等安全目标;
b)应明确数据备份和恢复的操作规程,明确定义数据备份和恢复的范围、频率、工具、过程、日志记录、数据保存时长等;
c)应明确数据备份与恢复的定期检查和更新工作程序,包括数据副本的更新频率、保存期限等;
d)应依据数据生存周期和业务规范,建立数据生存周期各阶段数据归档的操作流程;
f)应明确归档数据的压缩或加密要求;
g)应明确归档数据的安全管控措施,非授权用户不能访问归档数据;
h)应识别组织适用的合规要求,按监管部门的要求对相关数据予以记录和保存;
i)应明确数据存储时效性管理规程,明确数据分享、存储、使用和删除的有效期、有效期到期时对数据的处理流程、国企存储数据的安全管理要求;
j)应明确过期存储数据的安全保护机制,对超出有效期的存储数据应具备再次获取数据控制者授权的能力。
③技术工具:
a)应建立数据备份与恢复的统一技术工具,保证相关工作的自动执行;
b)应建立备份和归档数据安全的技术手段,包括但不限于对备份和归档数据的访问控制、压缩或加密管理、完整性和可用性管理,确保对备份和归档数据的安全性、存储空间的有效利用、安全存储和安全访问。
c)应定期采取必要的技术措施查验备份和归档数据完整性和可用性;
d)应建立过期存储数据机器备份数据彻底删除或匿名化的方法和机制,能够验证数据已被完全删除、无法恢复或无法识别到个人,并告知数据控制者和数据使用者;
f)应通过风险提示和技术手段避免非过期数据的误删除,确保在一定的时间窗口内的误删除数据可以手动恢复;
g)应确保存储架构具备数据存储跨机柜或跨机房容错部署能力。
④人员能力:
a)负责该项工作的人员应了解数据备份媒体的性能和相关数据的业务特性,能够确定有效的数据备份和恢复机制;
b)负责该项工作的人员应了解数据存储时效性相关的合规性要求,并具备基于业务对合规要求的解读能力和实施能力。
2.4、等级4:量化控制
该等级的数据安全能力要求描述如下:
①制度流程:
a)应明确数据冗余强一致性、弱一致性等控制要求,以满足不同一致性水平需求的数据副本多样性和多变性存储管理要求;
b)应对组织内数据备份的场景、数量、频率进行了定期的统计,了解组织内部数据备份工作的开展情况。
②技术工具:
a)应建立在线/离线的多级数据归档方式,支持海量数据的有效归档、恢复和使用;
b)应为不同时效性的数据建立分层的数据存储方法、具备按时效性自动迁移数据分层存储的能力;
c)应具备数据副本或数据备份存储的多种压缩策略和实现技术,确保压缩数据副本或数据备份的完整性和可用性;
d)存储系统应具备数据存储跨地域的容灾能力;
f)应通过工具对需要符合数据存储合规要求的数据进行标识;
g)应具备数据时效性自动检测能力,包括但不限于告警、自动删除和拒绝访问等,以保证数据的及时删除、更新和有效性。
2.5、等级5:持续优化
该等级的数据安全能力要求描述如下:
①制度流程:应密切关注国内外数据备份和恢复的优秀解决方案,适当地采纳并用于组织内部的数据备份和恢复工作
①技术工具:应参与国际、国家或行业相关标准制度,在业界分享最佳实践,成为行业标杆。
数据来源:GB/T 37988-2019
数据安全能力成熟度模型DSMM----4、数据存储安全相关推荐
- 数据安全能力成熟度模型DSMM----7、数据销毁安全
文章目录 一.PA18 数据销毁处置 1.PA描述 2.等级描述 二.PA19 存储媒体销毁处置 1.PA描述 2.等级描述 一.PA18 数据销毁处置 1.PA描述 通过建立针对数据的删除.净化机制 ...
- 数据安全能力成熟度模型DSMM----6、数据交换安全
文章目录 一.PA15 数据共享安全 1.PA描述 2.等级描述 二.PA16 数据发布安全 1.PA描述 2.等级描述 三.PA17 数据接口安全 1.PA描述 2.等级描述 一.PA15 数据共享 ...
- 数据安全能力成熟度模型DSMM----1、DSMM架构
文章目录 一.DSMM简介 二.DSMM架构 三.安全能力维度 1.能力构成 2.组织建设 3.制度流程 4.技术工具 5.人员能力 四.能力成熟度等级维度 五.数据安全过程维度 一.DSMM简介 数 ...
- DSMM数据安全能力成熟度模型及配套实施指南笔记(附原文下载)
说明 <GBT 37988-2019 信息安全技术 数据安全能力成熟度模型>和<数据安全能力建设实施指南>原文下载链接在文末 2020年3月1日<GBT 37988-20 ...
- 《数据安全能力成熟度模型》实践指南02:数据采集管理
2019年8月30日,<信息安全技术数据安全能力成熟度模型>(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布, ...
- 《数据安全能力成熟度模型》实践指南05:数据传输加密
<信息安全技术 数据安全能力成熟度模型>(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月 ...
- 《数据安全能力成熟度模型》实践指南11:数据分析安全
<信息安全技术 数据安全能力成熟度模型>(GB/T 37988-2019)简称DSMM正式成为国标对外发布,并已正式实施.美创科技将以DSMM数据安全治理思路为依托,针对各过程域,基于充分 ...
- 数据安全能力成熟度模型DSMM----八、通用安全
文章目录 一.PA20 数据安全策略规划 1.PA描述 2.等级描述 二.PA21 组织和人员管理 1.PA描述 2.等级描述 三.PA22 合规管理 1.PA描述 2.等级描述 四.PA23 数据资 ...
- 数据安全能力成熟度模型DSMM----2、数据采集安全
文章目录 一.PA01 数据分类分级 1.PA描述 2.等级描述 二.PA02 数据采集安全管理 1.PA描述 2.等级描述 三.PA03 数据源鉴别及记录 1.PA描述 2.等级描述 四.PA04 ...
最新文章
- 想成为优秀的管理者,不能不知道的决策方法
- 分享一套超棒的iOS “空状态” (empty state) 界面UI设计
- [你必须知道的css系列]第一回:丰富的利器2:CSS选择符之子选择符、相邻选择符...
- php 无法输出图像,ThinkPHP里无法输出图片 设置响应头
- 概要设计 重要性_儿童户外游乐场应如何设计-户外游乐设备厂家【经验分享】...
- C++ 面向对象(二)多态 : 虚函数、多态原理、抽象类、虚函数表、继承与虚函数表
- javascript学习系列(17):数组中的find方法
- 第三十三期:对于人工智能的恐惧及其5个解决方法
- C语言 while 循环 - C语言零基础入门教程
- 微服务 注册中心_4.微服务架构的第二个组件:注册中心
- centos7安装详细图解_CentOS7编译安装PHP7的详细教程(图文)
- java 字体有哪些_java字体有哪些
- ubuntu18.04+nvidia显卡安装+cuda9.0+cudnn7+pycharm2018.2专业版激活+anaconda3+tensorflow-gpu1.6.0+keras+opencv3
- Netty游戏服务器二
- debloater手机版apk_会议管家apk下载-会议管家云平台v1.0.0手机版下载
- Fiddler抓包工具的安装与使用方法
- 数据结构严蔚敏清华大学pdf_2021年清华(清华大学)电子信息考研
- 《统计自然语言处理》(宗成庆)学习笔记(一)
- c语言for循环语句试讲,C语言For循环试讲教学教案(7页)-原创力文档
- 嵌入式工程师常见C语言手写面试题,摘录于RTT内核源码