本標準基于大數(shù)據(jù)環(huán)境下電子化數(shù)據(jù)在組織機構(gòu)業(yè)務(wù)場景中的數(shù)據(jù)生命周期�,從組織建設(shè)、制度流程�����、技術(shù)工具以及人員能力四個方面構(gòu)建了數(shù)據(jù)安全過程的規(guī)范性數(shù)據(jù)安全能力成熟度分級模型及其評估方法�����。
本標準適用于組織機構(gòu)數(shù)據(jù)安全能力的自身評估�,也適用于第三方機構(gòu)對組織機構(gòu)的數(shù)據(jù)安全保障能力進行評估
本標準借鑒能力成熟度模型(CMM)的思想���,以CMM的通用實踐來衡量能力成熟度等級,以《要求》中的安全要求為基礎(chǔ)�,定義數(shù)據(jù)安全過程域和基本實踐���,指導組織機構(gòu)如何持續(xù)達到所對應(yīng)的安全要求�。
本標準主要根據(jù)《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》(以下簡稱為《要求》)中的數(shù)據(jù)安全要求對組織機構(gòu)?供的數(shù)據(jù)安全能力?出評估的模型框架及方法論����。《要求》中定義了大數(shù)據(jù)服務(wù)?供者應(yīng)具有的組織相關(guān)基礎(chǔ)安全能力和數(shù)據(jù)生命周期相關(guān)的數(shù)據(jù)服務(wù)安全能力����,本標準針對《要求》中定義的每個安全要求定義基本實踐��,并根據(jù)本標準定義的成熟度等級的通用實踐����,對基本實踐進行等級評估�����。
本標準闡述了數(shù)據(jù)安全能力評估的成熟度模型及方法論���,在過程域?qū)用媾c《要求》完全一致,在基本實踐層面與《要求》進行映射���,兩標準可以相互支撐調(diào)用?����!兑蟆分卸x了大數(shù)據(jù)服務(wù)?供者?供大數(shù)據(jù)服務(wù)所需要滿足的基線要求�����,本標準定義了組織機構(gòu)持續(xù)實現(xiàn)安全過程�����、滿足安全要求的能力等級的評估方法�����,來指導組織機構(gòu)?升自身的數(shù)據(jù)安全能力水平��。
