各相关单位和专家：

经标准编制单位的辛勤努力，现已形成国家标准《信息安全技术 数据安全能力成熟度模型》征求意见稿。为确保标准质量，信安标委秘书处面向社会广泛征求意见。

恳切希望您对该标准提出宝贵意见。并将意见于2017年10月9日前反馈给信安标委秘书处。

联系人：许玉娜   xuyuna@cesi.cn   010-64102731

全国信息安全标准化技术委员会秘书处

2017年8月25日

标准文件：信息安全技术数据安全能力成熟度模型

编制说明：

《信息安全技术 数据安全能力成熟度模型》(征求意见稿)编制说明

一、任务来源

《信息安全技术 数据安全能力成熟度模型》是国家标准化管理委员会下达的信息安全国家标准制定项目，国标计划号为XXX。本标准为自主制定标准，牵头单位为阿里巴巴（北京）软件服务有限公司，参与标准申请单位有中国电子技术标准化研究院、中国信息安全测评中心、国家信息中心、中国移动通信集团公司、四川大学、中国软件评测中心、浙江蚂蚁小微金融服务集团股份有限公司、公安部第三研究所、中国科学院软件研究所、国家信息技术安全研究中心、阿里云计算有限公司、深圳市腾讯计算机系统有限公司、腾讯云计算（北京）有限责任公司、北京京东叁佰陆拾度电子商务有限公司、陕西省信息化工程研究院、中国软件与技术服务股份有限公司、中国科学院计算机网络信息中心、中国科学院信息工程研究所、北京奇安信科技有限公司、北京数字认证股份有限公司、广州赛宝认证中心服务有限公司、南京中新赛克科技有限责任公司、深圳开源互联网安全技术有限公司、启明星辰信息技术集团股份有限公司、北京聚睿智能科技有限公司、远江盛邦（北京）网络安全科技股份有限公司、杭州华途软件有限公司、深信服科技股份有限公司、勤智数码科技股份有限公司、北京世纪互联宽带数据中心有限公司、北京天融信科技有限公司、成都亚信网络安全技术产业研究院有限公司等27家单位，归口单位为全国信息安全标准化技术委员会（简称信安标委）。

二、项目的目的与意义

数据安全能力成熟度模型是针对大数据的各参与组织（如：数据提供者、数据消费者、服务提供商等）的自身数据安全能力的评估模型，模型旨在提供一个结构化的数据安全管理实践框架，帮助大数据的参与组织建立一套关于如何管理数据安全能力的通用术语和共识，指导参与大数据的组织自身以及产业链上下游、合作方建立数据安全能力评估模型及其数据安全能力的提升方案，为第三方机构评估组织的数据安全成熟度水平提供了划分基准，有助于促进大数据行业的健康发展和公平竞争。

数据安全能力成熟度模型可以帮助大数据组织：

•  构建数据安全管理框架
•  评估组织的数据安全能力水准
•  衡量数据安全能力提升的进展
•  建立自己的数据安全能力提升路线
• 主要工作过程

（一）《大数据安全能力成熟度评估模型》国标研究项目：

1、2016年8月，研究课题下达。

2、2016年8月24日，召开第一次专题研讨会；

3、2016年10月19日，信安标委第二次会议周的讨论；

4、2016年12月7日，召开第二次专题研讨会；

5、2016年12月28日，召开第三次专题研讨会；

6、2017年1月17日，召开项目结题评审会，评审通过，输出研究报告和标准草案。

（二）《大数据安全能力成熟度模型》国家标准制定项目：

1、2017年4月，立项在大数据安全特别工作组获得通过；

2、2017年5月8日，标准编制组召开第一次专题研讨会，并对标准草案进行修改完善；

3、2017年6月7日，标准编制组召开第二次专题研讨会，并对标准草案进行修改完善；

4、2017年6月12日，标准编制组召开与《大数据服务安全能力要求》的联合研讨会；

5、2017年6月14日，标准编制组召开第三次专题研讨会，并对标准草案进行修改完善；

6、2017年6月21日，标准编制组召开第四次专题研讨会，并对标准草案进行修改完善；

7、2017年6月26日，召开专家评审会，收集到对标准草案的修改完善的意见；

8、2017年6月28日，召开大数据安全特别工作组会议，同意根据会议意见，对标准文稿修改后，作为征求意见稿提交；

9、2017年7月12日，标准编制组召开第五次专题研讨会，并对标准草案进行修改完善；

10、2017年7月27日，标准编制组召开第六次专题研讨会，并对标准草案进行修改完善，形成了《信息安全技术 数据安全能力成熟度模型》的征求意见稿。

三、标准的主要内容

本标准定义了数据安全能力成熟度模型。本模型基于大数据环境下电子化数据在组织机构业务场景中的数据生命周期，定义了数据安全过程域体系。在本体系下从组织建设、制度流程、技术工具以及人员能力四个方面构建了规范性的数据安全能力成熟度分级评估方法。

本标准适用于组织机构评估自身的数据安全能力，也适用于第三方机构对组织机构的数据安全能力进行评估。

本标准涉及的主要内容包括：

1、数据安全能力成熟度模型架构

具体包括模型架构、数据生命周期安全、数据安全过程域体系、安全能力维度、成熟等级定义等。

安全能力维度包括：组织建设、制度流程、技术工具和人员能力四个方面。

2、各成熟度等级下的安全能力通用实践

具体包括对各能力级别的安全能力通用实践的描述，五个能力等级分别为：能力等级1—非正式执行、能力级别2—计划跟踪、能力级别3 — 充分定义、能力级别4 — 量化控制、能力级别5 — 持续优化。

3、数据生命周期通用的安全基本实践

数据生命周期通用的安全过程域具体包括：策略与规程、数据与系统资产、组织和人员管理、业务规划与管理、数据供应链管理、合规性管理等。

本标准定义了这些过程域的安全基本实践。

4、数据生命周期各阶段的安全基本实践

数据生命周期各阶段的安全过程域具体包括：数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全等。

本标准定义了这些过程域的安全基本实践。

5、数据安全能力成熟度等级的评定方法。

6、数据安全能力成熟度模型额使用方法。

五、产业化情况、推广应用论证和预期达到的经济效果

《数据安全能力成熟度模型》的标准草案，已经实现在全国各行各业30多家企业的试点落地，很好地帮助这些企业提升自身的数据安全保护能力，促进了数据的交易与共享，有效促进了大数据产业的安全健康发展。

六、采用国际标准和国外先进标准情况

本标准为自主制定。

七、与相关法律法规及国家有关规定、国内相关标准的关系

本标准与现行法律、法规以及国家标准没有冲突与矛盾的地方。

本标准与全国信息安全标准化技术委员会制定的《大数据服务安全能力要求》相配套，将《大数据服务安全能力要求》中的安全要求作为安全基本实践的基础，来实现数据安全能力成熟度的等级评定。

八、有关问题的说明

项目组在标准编制过程中，经历了内部讨论与论证、技术研讨会等过程，项目组在工作过程中遵循GB/T1.1—2009编制原则，对国内外现状做了大量调研，完成了标准草案的编写工作。在整个过程中未遇到重大意见分歧，但对专家提出的意见和建议，我们做了应答和处理，更好地完善了我们的标准编制工作。

九、有关专利的说明

本标准不涉及专利。

标准编制组

2017年8月