本标准基于大数据环境下电子化数据在组织机构业务场景中的数据生命周期,从组织建设、制度流程、技术工具以及人员能力四个方面构建了数据安全过程的规范性数据安全能力成熟度分级模型及其评估方法。
本标准适用于组织机构数据安全能力的自身评估,也适用于第三方机构对组织机构的数据安全保障能力进行评估
本标准借鉴能力成熟度模型(CMM)的思想,以CMM的通用实践来衡量能力成熟度等级,以《要求》中的安全要求为基础,定义数据安全过程域和基本实践,指导组织机构如何持续达到所对应的安全要求。
本标准主要根据《信息安全技术 大数据服务安全能力要求》(以下简称为《要求》)中的数据安全要求对组织机构ᨀ供的数据安全能力ᨀ出评估的模型框架及方法论。《要求》中定义了大数据服务ᨀ供者应具有的组织相关基础安全能力和数据生命周期相关的数据服务安全能力,本标准针对《要求》中定义的每个安全要求定义基本实践,并根据本标准定义的成熟度等级的通用实践,对基本实践进行等级评估。
本标准阐述了数据安全能力评估的成熟度模型及方法论,在过程域层面与《要求》完全一致,在基本实践层面与《要求》进行映射,两标准可以相互支撑调用。《要求》中定义了大数据服务ᨀ供者ᨀ供大数据服务所需要满足的基线要求,本标准定义了组织机构持续实现安全过程、满足安全要求的能力等级的评估方法,来指导组织机构ᨀ升自身的数据安全能力水平。