本標準基于大數據環境下電子化數據在組織機構業務場景中的數據生命周期,從組織建設、制度流程、技術工具以及人員能力四個方面構建了數據安全過程的規范性數據安全能力成熟度分級模型及其評估方法。
本標準適用于組織機構數據安全能力的自身評估,也適用于第三方機構對組織機構的數據安全保障能力進行評估
本標準借鑒能力成熟度模型(CMM)的思想,以CMM的通用實踐來衡量能力成熟度等級,以《要求》中的安全要求為基礎,定義數據安全過程域和基本實踐,指導組織機構如何持續達到所對應的安全要求。
本標準主要根據《信息安全技術 大數據服務安全能力要求》(以下簡稱為《要求》)中的數據安全要求對組織機構?供的數據安全能力?出評估的模型框架及方法論?!兑蟆分卸x了大數據服務?供者應具有的組織相關基礎安全能力和數據生命周期相關的數據服務安全能力,本標準針對《要求》中定義的每個安全要求定義基本實踐,并根據本標準定義的成熟度等級的通用實踐,對基本實踐進行等級評估。
本標準闡述了數據安全能力評估的成熟度模型及方法論,在過程域層面與《要求》完全一致,在基本實踐層面與《要求》進行映射,兩標準可以相互支撐調用?!兑蟆分卸x了大數據服務?供者?供大數據服務所需要滿足的基線要求,本標準定義了組織機構持續實現安全過程、滿足安全要求的能力等級的評估方法,來指導組織機構?升自身的數據安全能力水平。