从组织在数据安全制度流程的建设以及执行情况角度，根据以下方面进行能力等级区分： a）数据生存周期关键控制节点授权审批流程的明确性； b）相关流程制度的制定、发布、修订的规范性： c）制度流程实施的一致性和有效性。

从组织用于开展数据安全工作的安全技术、应用系统和工具出发，根据以下方面进行能力等 分： a） 数据安全技术在数据全生存周期过程中的利用情况，应对数据全生存周期安全风险的能力 b）利用技术工具对数据安全工作的自动化支持能力，对数据安全制度流程固化执行的实现能

从组织用于开展数据安全工作的安全技 区分： a）数据安全技术在数据全生存周期过程中的利用情况金融标准，应对数据全生存周期安全风险的能力； 居安全制度流程固化执行的实现能力

从组织承担数据安全工作的人员应其备的 数据安全人员所具备的数据安全技能是否能够满足实现安全目标的能力要求（对数据相关 务的理解程度以及数据安全专业能力）： b）数据安全人员的数据安全意识以及对关键数据安全岗位员工数据安全能力的培养

5.3能力成熟度等级维度

组织的数据安全能力成熟度等级共分为5级，见

GB/T379882019

表1数据安全能力成熟度等级共性特征

能力成熟度等级与PA、BP、安全能力的关系如下： a 将组织在每个数据安全PA的能力成熟度划分为五级，针对每个等级下组织应具备的能力要 求，从4个安全能力（组织建设、制度流程、技术工具及人员能力)提出具体的BP。 b）3级要求应包含全部4个安全能力，其他等级要求可不包含完整的4个数据安全关键能力，并 非每个安全PA的能力成熟度等级都包含完整的4个数据安全关键能力。 示例：某些PA的2级要求具备组织建设和制度流程两个关键能力，而4级和5级的能力要求仅涉及部分关键能力 如组织建设、技术工具的提升。 C 对于每个数据安全PA，高等级的能力要求应包括所有低等级能力要求。针对某一具体数据 安全PA，如果5级的能力要求中未涉及某一关键能力的内容，则默认应达到在4级的能力要 求中的该关键能力的内容；如果4级的能力要求中依旧未涉及该关键能力，则默认应达到在 3级的能力要求中该关键能力的内容，依此类推。 能力成熟度等级的描述与GP参见附录A。 能力成题度等级评估者片法，发附录上

熟度等级评估流程和模型使用方法，参见附录C

5.4数据安全过程维度

5.4.1数据生存周期

数据生存周期分为以下6个阶段： a） 数据采集：组织内部系统中新产生数据，以及从外部系统收集数据的阶段； 数据传输：数据从一个实体传输到另一个实体的阶段； 数据存储：数据以任何数字格式进行存储的阶段； d） 数据处理：组织在内部对数据进行计算、分析、可视化等操作的阶段； e 数据交换：组织与组织或个人进行数据交换的阶段； f) 数据销毁：对数据及数据存储媒体通过相应的操作手段，使数据彻底删除且无法通过任何手段 恢复的过程， 特定的数据所经历的生存周期由实际的业务所决定，可为完整的6个阶段或是其中的几个阶段

5.4.2数据安全PA体系

5.4.2.1PA体系

数据生存周期安全过程域

图2数据安全PA体系

数据生存周期安全过程域包括以下6个过程： 数据采集安全的PA（PA01～PA04)包括：数据分类分级、数据采集安全管理、数据源鉴别及记 录、数据质量管理4个PA； b 数据传输安全的PA（PA05～PA06)包括：数据传输加密、网络可用性管理2个PA： 数据存储安全的PA（PA07～PA09)包括：存储媒体安全、逻辑存储安全、数据备份和恢复3个 安全PA； d） 数据处理安全的PA(PA10～PA14)包括：数据脱敏、数据分析安全、数据正当使用、数据处理 环境安全、数据导入导出安全5个安全PA； e 数据交换安全的PA(PA15～PA17)包括：数据共享安全、数据发布安全、数据接口安全3个安 全PA； f 数据销毁安全的PA(PA18～PA19)包括：数据销毁处置、存储媒体销毁处置2个安全PA。 通用安全过程域（PA20PA30)包括：数据安全策略规划、组织和人员管理、合规管理、数据资产管

数据生存周期安全过程域包括以下6个过程： 数据采集安全的PA（PA01～PA04)包括：数据分类分级、数据采集安全管理、数据源鉴别及记 录、数据质量管理4个PA； b 数据传输安全的PA（PA05～PA06)包括：数据传输加密、网络可用性管理2个PA： c） 数据存储安全的PA（PA07～PA09)包括：存储媒体安全、逻辑存储安全、数据备份和恢复3个 安全PA； d） 数据处理安全的PA(PA10～PA14)包括：数据脱敏、数据分析安全、数据正当使用、数据处理 环境安全、数据导入导出安全5个安全PA； e） 数据交换安全的PA(PA15～PA17)包括：数据共享安全、数据发布安全、数据接口安全3个安 全PA； f 数据销毁安全的PA(PA18～PA19)包括：数据销毁处置、存储媒体销毁处置2个安全PA。 通用安全过程域（PA20～PA30)包括：数据安全策略规划、组织和人员管理、合规管理、数据资产管

GB/T379882019

理、数据供应链安全、元数据管理、终端数据安全、监控与审计、鉴别与访问控制、需求分析、安全事件应 急11个PA

5.4.2.2编码规则

数据安全PA编码规则如下： a）每个PA有对应的编号，分别采用递增的数值01、02，.，表示。 示例1：PA01，代表PA“数据分类分级”。 b 每个PA由一些BP组成。BP用BP.XX.XX来进行编号，第一组编码表示所在PA的序号 第二组编码表示具体BP的序号，具体BP的序号采用递增的数值01、02，.，表示。 示例2:BP.01.01表示，过程域PA01“数据分类分级”中的第一个BP c）对于每个PA的每个级别，需要同时满足本级别和所有低于该级别的BP的要求，才能达到本 级别的能力水平，依此类推

a）每个PA有对应的编号，分别采用递增的数值01、02，...，表示。 示例1：PA01，代表PA“数据分类分级”。 b）每个PA由一些BP组成。BP用BP.XX.XX来进行编号，第一组缩码表示所在PA的序号， 第二组编码表示具体BP的序号，具体BP的序号采用递增的数值01、02，.，表示。 示例2：BP.01.01表示，过程域PA01“数据分类分级”中的第一个BP。 c）对于每个PA的每个级别，需要同时满足本级别和所有低于该级别的BP的要求，才能达到本 级别的能力水平，依此类推

6.1PA01数据分类分级

6.1.1 PA 描述

基于法律法规以及业务需求确定组织内部的数据分类分级方法，对生成或收集的数据进行分类 标识。

5.1.2.1等级1.非正式执行

该等级的数据安全能力描述如下： 制度流程：组织未在任何业务建立成熟稳定的数据分类分级，仅根据临时需求或基于个人经验 分数据进行了分类或分级（BP.01.01）

6.1.2.2等级2.计划跟踪

该等级的数据安全能力要求描述如下： a）组织建设：应由业务团队相关人员负责相关业务的数据分类分级（BP.01.02）； b 制度流程：应根据业务特性和外部合规要求，对核心业务的关键数据进行分类分级管理 (BP.01.03)

该等级的数据安全能力要求描述如下： 组织建设：应由业务团队相关人员负责相关业务的数据分类分级（BP.01.02）； 制度流程：应根据业务特性和外部合规要求，对核心业务的关键数据进行分类分级管 (BP.01.03)

6.1.2.3等级3.充分定义

该等级的数据安全能力要求描述如下： a 组织建设：组织应设立负责数据安全分类分级工作的管理岗位和人员，主要负责定义组织整体 的数据分类分级的安全原则（BP.01.04）。 b） 制度流程： 1）应明确数据分类分级原则、方法和操作指南（BP.01.05)； 应对组织的数据进行分类分级标识和管理（BP.01.06）； 3） 应对不同类别和级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控 制措施（BP.01.07)：

4）应明确数据分类分级变更审批流程和机制，通过该流程保证对数据分类分级的变更操作 及其结果符合组织的要求（BP.01.08）。 c） 技术工具：应建立数据分类分级打标或数据资产管理工具，实现对数据的分类分级自动标识、 标识结果发布、审核等功能（BP.01.09）。 d 人员能力：负责该项工作的人员应了解数据分类分级的合规要求，能够识别哪些数据属于敏感 数据(BP.01.10)。

6.1.2.4等级4.量化控

该等级的数据安全能力要求描述如下： 技术工具： 应记录自动分类分级结果与人工审核后的分类分级结果之间的差异，定期分析改进分类分级 标识工具，提升工具处理的准确度（BP.01.11）； 应对数据分类分级的操作、变更过程进行日志记录和分析，定期通过日志分析等技术手段进行 变更操作审计，数据分类分级可追溯（BP.01.12）

该等级的数据安全能力要求描述如下： 技术工具： a）应记录自动分类分级结果与人工审核后的分类分级结果之间的差异，定期分析改进分类分级 标识工具，提升工具处理的准确度（BP.01.11）； 应对数据分类分级的操作、变更过程进行日志记录和分析，定期通过日志分析等技术手段进行 变更操作审计，数据分类分级可追溯（BP.01.12）

6.1.2.5等级5.持续优化

该等级的数据安全能力要求描述如下： a 制度流程：应定期评审数据分类分级的规范和细则，考虑其内容是否完全覆盖了当前的业务， 并执行持续的改进优化工作（BP.01.13）； b）技术工具： 1）应跟踪数据分类分级标识效果，持续改进数据分类分级的技术工具（BP.01.14）； 2）应参与国际、国家或行业相关标准制定。在业界分享最佳实践.成为行业标杆（BP.01.15）

6.2PA02数据采集安全管理

在采集外部客户、合作伙伴等相关方数据的过程中，组织应明确采集数据的目的和用途，确保满足 数据源的真实性、有效性和最少够用等原则要求，并明确数据采集渠道、规范数据格式以及相关的流程 和方式，从而保证数据采集的合规性、正当性、一致性

6.2.2.1等级1.非正式执行

该等级的数据安全能力描述如下： 制度流程：未在任何业务建立成熟稳定的数据采集安全管理，仅根据临时需求或基于个人经验对个 利数据采集进行安全管理（BP.02.01）

6.2.2.2等级 2:计划跟踪

a） 组织建设：应由业务团队相关人员负责数据采集安全管理（BP.02.02）。 制度流程： 1）应明确核心业务数据采集原则，保证该业务数据采集的合法、正当（BP.02.03）； 2）核心业务应明示个人信息采集的目的、方式和范围，并经被收集者同意（BP.02.04）

6.2.2.3等级3.充分定

GB/T379882019

该等级的数据安全能力要求描述如下： 组织建设：组织应设立数据采集安全管理的岗位和人员，负责制定相关的数据采集安全管理的制 度，推动相关要求、流程的落地，并对具体业务或项目的风险评估提供咨询和支持（BP.02.05）。 b 制度流程： 1）应明确组织的数据采集原则，定义业务的数据采集流程和方法（BP.02.06）； 2 应明确数据采集的渠道及外部数据源，并对外部数据源的合法性进行确认（BP.02.07）； 3） 应明确数据采集范围、数量和频度，确保不收集与提供服务无关的个人信息和重要数据 (BP.02.08); 4 应明确组织数据采集的风险评估流程，针对采集的数据源、频度、渠道、方式、数据范围和 类型进行风险评估（BP.02.09）； 5） 应明确数据采集过程中个人信息和重要数据的知悉范围和需要采取的控制措施，确保采 集过程中的个人信息和重要数据不被泄漏（BP.02.10）； 6） 应明确自动化采集数据的范围（BP.02.11）。 技术工具： 1）应依据统一的数据采集流程建设数据采集相关的工具，以保证组织数据采集流程实现的 一致性，同时相关系统应具备详细的日志记录功能，确保数据采集授权过程的完整记录 (BP.02.12); 2）应采取技术手段保证数据采集过程中个人信息和重要数据不被泄漏（BP.02.13）。 d）人员能力：负责该项工作的人员应能够充分理解数据采集的法律要求、安全和业务需求，并能 够根据组织的业务提出针对性的解决方案（BP.02.14）

6.2.2.4等级4.量化控制

该等级的数据安全能力要求描述如下： 制度流程：应明确数据采集安全管理效果的评估方式，如数据采集安全管理在业务的覆盖率 制度流程执行效果、数据采集授权率等（BP.02.15）。 b） 技术工具： 1）应采取必要的技术手段对采集的数据进行校验（BP.02.16）； 2）应跟踪和记录数据采集和获取过程，支持对数据采集和获取操作过程的可追溯（BP.02.17）

6.2.2.5等级5.持续优化

该等级的数据安全能力要求描述如下： 制度流程：数据采集安全管理应持续优化，持续跟踪数据采集安全管理执行效果、新业务产生 的需求、行业新技术和最佳实践、合规新要求新变化等（BP.02.18）。 b）技术工具： 1）应根据制度流程的更新，不断升级优化数据采集工具（BP.02.19）； 2）应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆（BP.02.20)

6.3PA03数据源鉴别及记

对产生数据的数据源进行身份鉴别和记录，防止数据仿冒和数据伪造

6.3.2.1等级1:非正式执行

该等级的数据安全能力描述如下： 组织建设：未对任何业务的采集数据源进行有效管理，仅根据临时需求或基于个人经验对采集的数 据源进行临时记录（BP.03.01）

6.3.2.2等级2.计划跟踪

该等级的数据安全能力要求描述如下： a） 组织建设：应由业务团队相关人员负责数据源鉴别和记录（BP.03.02）； b 制度流程：核心业务系统的在线数据采集和外部第三方采集，均应建立了相应机制执行数据源 的鉴别和记录（BP.03.03）； 技术工具：核心业务应具有技术工具支持对数据源的鉴别和记录（BP.03.04）

的数据安全能力要求描述如下： 组织建设：应由业务团队相关人员负责数据源鉴别和记录（BP.03.02）； 制度流程：核心业务系统的在线数据采集和外部第三方采集，均应建立了相应机制执行数据源 的鉴别和记录（BP.03.03）； 技术工具：核心业务应具有技术工具支持对数据源的鉴别和记录（BP.03.04）

6.3.2.3等级3.充分定义

该等级的数据安全能力要求描述如下： a） 组织建设：应由业务团队相关人员负责对数据源进行鉴别和记录（BP.03.05）。 制度流程：应明确数据源管理的制度，对组织采集的数据源进行鉴别和记录（BP.03.06）。 C 技术工具： 1）组织应采取技术手段对外部收集的数据和数据源进行识别和记录（BP.03.07)； 2）应对关键追溯数据进行备份，并采取技术手段对追溯数据进行安全保护（BP.03.08）。 d）人员能力：负责该项工作的人员应理解数据源鉴别标准和组织内部数据采集的业务，能够结合 实际情况执行（BP.03.09）

6.3.2.4等级4.量化控制

该等级的数据安全能力要求描述如下： a）制度流程： 1 组织应定义了数据追溯策略要求、追溯数据格式、追溯数据安全存储与使用的管理制度 等。根据组织内的业务梳理数据源的类型，并明确在关键的数据管理系统（如数据库管理 系统、元数据管理系统）上对数据源类型标记的要求（BP.03.10）； 2） 应明确基于追溯数据的数据业务与法律法规合规性审核的机制，并依据审核结果增强或 改进与数据服务相关的访问控制与合规性保障机制和策略（BP.03.11）。 b 技术工具：组织关键的数据管理系统中应提供了标记数据的数据源类型的功能，从而实现对组 织内部各类数据源的统计和分析（BP.03.12）

6.3.2.5等级5.持续优化

该等级的数据安全能力要求描述如下： a 制度流程：应对数据源鉴别方式和分类方法进行持续的改进，基于业务的发展变化以及行业最 佳实践，提升数据源管理的成效（BP.03.13）。 b） 技术工具： 1）应面向制度流程的更新，持续改进工具在数据鉴别、记录和追溯等方面的服务能力(BP.03.14) 2）应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆（BP.03.15）

6.4PA04数据质量管理

6.4.1 PA 描迷

GB/T379882019

建立组织的数据质量管理体系，保证对数据采集过程中收集/产生的数据的准确性、一致性和完 整性。

6.4.2.1等级1.非正式执行

该等级的数据安全能力描述如下： 组织建设：未在任何业务建立成熟稳定的数据质量管理或监控，仅根据临时需求或基于个人经验考 虑数据质量管理（BP.04.01）。

6.4.2.2等级2.计划跟踪

该等级的数据安全能力要求描述如下： a）组织建设：应由业务团队相关人员根据业务需求进行数据质量管理（BP.04.02）。 b）制度流程：在核心业务中应将数据质量管理或监控作为必要的环节（BP.04.03)

4.2.3等级3.充分定义

该等级的数据安全能力要求描述如下： a 组织建设：组织应设立数据质量管理岗位和人员，负责制定统一的数据质量管理要求，明确对 数据质量进行管理和监控的责任部门或人员（BP.04.04）。 b 制度流程： 1）应明确数据质量管理相关的要求，包含数据格式要求、数据完整性要求、数据源质量评价 标准等（BP.04.05）； 2 应明确数据采集过程中质量监控规则，明确数据质量监控范围及监控方式（BP.04.06）： 3 应明确组织的数据清洗、转换和加载操作相关的安全管理规范，明确执行的规则和方法、 相关人员权限、完整性和一致性要求等（BP.04.07）。 c） 技术工具：应利用技术工具实现对关键数据进行数据质量管理和监控，实现异常数据及时告警 或更正（BP.04.08） 人员能力：负责该项工作的人员应了解数据采集阶段的数据质量控制要素，能够基于组织的业 务特点开展数据质量评估工作（BP.04.09）

该等级的数据安全能力要求描述如下： a 组织建设：组织应设立数据质量管理岗位和人员，负责制定统一的数据质量管理要求，明确对 数据质量进行管理和监控的责任部门或人员（BP.04.04）。 b 制度流程： 1）应明确数据质量管理相关的要求，包含数据格式要求、数据完整性要求、数据源质量评价 标准等（BP.04.05）； 应明确数据采集过程中质量监控规则，明确数据质量监控范围及监控方式（BP.04.06）； 3 应明确组织的数据清洗、转换和加载操作相关的安全管理规范，明确执行的规则和方法， 相关人员权限、完整性和一致性要求等（BP.04.07）。 C 技术工具：应利用技术工具实现对关键数据进行数据质量管理和监控，实现异常数据及时告警 或更正（BP.04.08） 人员能力：负责该项工作的人员应了解数据采集阶段的数据质量控制要素，能够基于组织的业 务特点开展数据质量评估工作（BP.04.09）

4.2.4等级4.量化控制

该等级的数据安全能力要求描述如下： 制度流程： a）应明确数据质量分级标准，明确不同级别和类型的数据采集、清洗、转换等数据采集处理流程 质量要求（BP.04.10）； b） 应定期对数据质量进行分析、预判和盘点，明确数据质量问题定位和修复时间要求（BP.04.11)

6.4.2.5等级5.持续优化

该等级的数据安全能力要求描述如下： a）组织建设：应在组织层面实现数据质量管理的可持续优化，建立数据质量管理过程的有效性

效率目标，建立数据质量管理岗位人员与各业务团队的数据管理人员之间的有效沟通、反馈机 制，能够持续、及时地针对数据质量管理工作进行改进（BP.04.12）。 b）技术工具： 1）应建立数据质量的技术指标，并通过相关管理系统评估数据质量管理的水平（BP.04.13）； 2）应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆（BP.04.14)

7.1PA05数据传输加密

根据组织内部和外部的数据传输要求，采用适当的加密保护措施，保证传输通道、传输节点和传 据的安全，防止传输过程中的数据泄漏

7.1.2.1等级1.非正式执行

该等级的数据安全能力描述如下： 组织建设：未在任何业务中建立成熟稳定的数据传输安全和密钥管理机制，仅根据个别业务需求、 合规要求，对传输通道、传输节点或数据采用了临时的加密保护措施（BP.05.01）

7.1.2.2等级2.计划跟

该等级的数据安全能力要求描述如下： a） 组织建设：应由业务团队相关人员负责对传输通道进行加密处理（BP.05.02）。 b） 制度流程：应根据合规要求和业务性能的需求，核心业务明确业务中需要加密传输的数据范围 和加密算法（BP.05.03）。 C 技术工具： 1）应有对传输通道两端进行主体身份鉴别和认证的技术方案和工具（BP.05.04）； 2 应有对传输数据加密的技术方案和工具，包括针对关键的数据传输通道的加密方案（如采 用TLS/SSL方式），及对传输数据内容进行加密（BP.05.05）

该等级的数据安全能力要求描述如下： a） 组织建设：应由业务团队相关人员负责对传输通道进行加密处理（BP.05.02）。 b） 制度流程：应根据合规要求和业务性能的需求，核心业务明确业务中需要加密传输的数据范围 和加密算法（BP.05.03）。 C 技术工具： 1）应有对传输通道两端进行主体身份鉴别和认证的技术方案和工具（BP.05.04）； 2）应有对传输数据加密的技术方案和工具，包括针对关键的数据传输通道的加密方案（如采 用TLS/SSL方式），及对传输数据内容进行加密（BP.05.05）

7.1.2.3等级3.充分定义

该等级的数据安全能力要求描述如下： 组织建设：组织应设立了管理数据加密、密钥管理的人员，负责整体的加密原则和技术工作，由 各业务的技术团队负责实现具体场景下的数据传输加密（BP.05.06）。 b） 制度流程： 1）应明确数据传输安全管理规范，明确数据传输安全要求（如传输通道加密、数据内容加密、签 名验签、身份鉴别、数据传输接口安全等），确定需要对数据传输加密的场景（BP.05.07)； 2）应明确对数据传输安全策略的变更进行审核的技术方案（BP.05.08）。 C 技术工具： 1）应有对传输数据的完整性进行检测，并具备数据容错或恢复的技术手段（BP.05.09）； 2） 应部署对通道安全配置、密码算法配置、密钥管理等保护措施进行审核及监控的技术工具 (BP.05.10)。 d)人员能力：

该等级的数据安全能力要求描述如下： 组织建设：组织应设立了管理数据加密、密钥管理的人员，负责整体的加密原则和技术工作，由 各业务的技术团队负责实现具体场景下的数据传输加密（BP.05.06）。 b） 制度流程： 1）应明确数据传输安全管理规范，明确数据传输安全要求（如传输通道加密、数据内容加密、签 名验签、身份鉴别、数据传输接口安全等），确定需要对数据传输加密的场景（BP.05.07)； 2）应明确对数据传输安全策略的变更进行审核的技术方案（BP.05.08）。 c）技术工具： 1）应有对传输数据的完整性进行检测，并具备数据容错或恢复的技术手段（BP.05.09）； 2 应部署对通道安全配置、密码算法配置、密钥管理等保护措施进行审核及监控的技术工具 (BP.05.10)。 d)人员能力

GB/T379882019

1）应了解常用的安全通道方案、身份鉴别和认证技术、主管部门推荐的数据加密算法，基于 具体的业务选择合适的数据传输安全管理方式（BP.05.11）； 2 负责该项工作的人员应熟悉数据加密的算法，并能够基于具体的业务选择合适的加密技 术(BP.05.12)

应了解常用的安全通道方案、身份鉴别和认证技术、主管部门推荐的数据加密算法，基于 具体的业务选择合适的数据传输安全管理方式（BP.05.11）； 负责该项工作的人员应熟悉数据加密的算法，并能够基于具体的业务选择合适的加密技 术(BP.05.12)

7.1.2.4等级4.量化控制

该等级的数据安全能力要求描述如下： a） 制度流程：应在数据分类分级定义的基础上，明确提出对不同类型、级别的数据的加密传输要 求，包含对数据加密算法的要求和密钥的管理要求（BP.05.13）。 b）技术工具： 1）每个传输链路上的节点都应部署了独立密钥对和数字证书，以保证各节点有效的身份鉴 别(BP.05.14); 2） 应综合量化敏感数据加密和数据传输通道加密的实现效果和成本，定期审核并调整数据 加密的实现方案（BP.05.15）； 3） 组织应提供统一的数据加密模块供开发传输功能的人员调用，根据不同数据类型和级别 进行数据加密处理，保证组织内数据加密功能的统一性（BP.05.16）

1.2.5等级5.持续优化

该等级的数据安全能力要求描述如下： 技术工具： a）应跟进传输通道加密保护的技术发展，评估新技术对安全方案的影响，适当引人新技术以应对 最新的安全风险（BP.05.17）； b）应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆（BP.05.18）

该等级的数据安全能力要求描述如下： 技术工具： a 应跟进传输通道加密保护的技术发展，评估新技术对安全方案的影响，适当引人新技术以应对 最新的安全风险（BP.05.17）； b）应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆（BP.05.18）

7.2PA06网络可用性管理

通过网络基础设施及网络层数据防泄漏设备的备份建设，实现网络的高可用性，从而保证 过程的稳定性。

7.2.2.1等级1.非正式执行

该等级的数据安全能力描述如下： 组织建设：未在任何业务建立网络可用性管理，仅根据临时需求或基于个人经验对网络穴余建设进 行规划（BP.06.01)

该等级的数据安全能力描述如下： 组织建设：未在任何业务建立网络可用性管理，仅根据临时需求或基于个人经验对网络穴余建设 规划(BP.06.01)

7.2.2.2等级2.计划跟踪

该等级的数据安全能力要求描述如下： a）组织建设：应有负责网络的可用性管理的人员（BP.06.02）； b） 制度流程：应在网络安全管理的制度中明确关键网络链路、网络（安全)设备的可用性管理要 求，关键业务的网络架构应考虑网络的可用性建设需求（BP.06.03）

该等级的数据安全能力要求描述如下： 组织建设：应有负责网络的可用性管理的人员（BP.06.02）； 制度流程：应在网络安全管理的制度中明确关键网络链路、网络（安全)设备的可用性管理 求，关键业务的网络架构应考虑网络的可用性建设需求（BP.06.03）

7.2.2.3等级3.充分定义

该等级的数据安全能力要求描述如下： a 组织建设：组织应设立负责网络可用性管理的人员或团队（BP.06.04）。 b 制度流程：应制定组织的网络可用性管理指标，包括可用性的概率数值、故障时间/频率/统计 业务单元等；基于可用性管理指标，建立网络服务配置方案和宕机替代方案等（BP.06.05）。 C 技术工具： 1）应对关键的网络传输链路、网络设备节点实行穴余建设（BP.06.06）； 2 应部署相关设备对网络可用性及数据泄漏风险进行防范，如负载均衡、防入侵攻击、数据 防泄漏检测与防护等设备（BP.06.07）。 d）人员能力：负责该项工作的人员应具有网络安全管理的能力，了解网络安全中对可用性的安全 需求，能够根据不同业务对网络性能需求制定有效的可用性安全防护方案（BP.06.08）。

该等级的数据安全能力要求描述如下： a）组织建设：组织应设立负责网络可用性管理的人员或团队（BP.06.04）。 b）制度流程：应制定组织的网络可用性管理指标，包括可用性的概率数值、故障时间/频率/统计 业务单元等；基于可用性管理指标，建立网络服务配置方案和宕机替代方案等（BP.06.05）。 技术工具： 1）应对关键的网络传输链路、网络设备节点实行穴余建设（BP.06.06）； 2）应部署相关设备对网络可用性及数据泄漏风险进行防范，如负载均衡、防入侵攻击、数据 防泄漏检测与防护等设备（BP.06.07）。 d）人员能力：负责该项工作的人员应具有网络安全管理的能力，了解网络安全中对可用性的安全 需求，能够根据不同业务对网络性能需求制定有效的可用性安全防护方案（BP.06.08）

2.2.4等级4.量化控制

该等级的数据安全能力要求描述如下： 技术工具：应通过相关指标定量分析网络可用性及数据防泄漏服务现状，并有针对性地解决问 升网络可用性（BP.06.09）

7.2.2.5等级5.持续优化

该等级的数据安全能力要求描述如下： 技术工具： a）应实现网络安全设备的健康状态检查及自动化切换（BP.06.10）； b）应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆（BP.06.11）。

该等级的数据安全能力要求描述如下： 技术工具： a）应实现网络安全设备的健康状态检查及自动化切换（BP.06.10）； b）应参与国际、国家或行业相关标准制定。在业界分享最佳实践，成为行业标杆（BP.06.11)。

8.1PA07存储媒体安全

针对组织内需要对委 有效的技术和管理手段，防止对媒体 的不当使用而可能引发的数

8.1.2.1等级1非正式执行

该等级的数据安全能力描述如下 组织建设：未建立成熟稳定的存储媒体安全管理，仅根据临时需求或基于个人经验处理了存储媒 全需求（BP.07.01)。

8.1.2.2等级2:计划跟踪

该等级的数据安全能力要求描述如下： a）组织建设：应由业务团队相关人员根据实际业务需求负责执行存储媒体安全管理工作（BP.07.02）

GB/T379882019

b）制度流程：业务团队应明确存储媒体使用、购买、标记的安全制度（BP.07.03）。 人员能力：业务团队中负责相关工作的人员，应熟悉存储媒体安全管理的相关制度要求 (BP.07.04)

8.1.2.3等级3.充分定义

该等级的数据安全能力要求描述如下： a）组织建设：组织应设立统一负责存储媒体安全管理的岗位和人员（BP.07.05）。 b）制度流程： 1） 应明确存储媒体访问和使用的安全管理规范，建立存储媒体使用的审批和记录流程 (BP.07.06); 2 应明确购买或获取存储媒体的流程，要求通过可信渠道购买或获取存储媒体，并针对各类 存储媒体建立格式化规程（BP.07.07）； 3 应建立存储媒体资产标识，明确存储媒体存储的数据（BP.07.08）； 4） 应对存储媒体进行常规和随机检查，确保存储媒体的使用符合机构公布的关于存储媒体 使用的制度（BP.07.09）。 c）技术工具： 1 组织应便用技术工其对存储媒体性能进行监控，包括存储媒体的使用历史、性能指标、错 误或损坏情况，对超过安全阅值的存储媒体进行预警（BP.07.10）； 2 应对存储媒体访问和使用行为进行记录和审计（BP.07.11）。 d）人员能力：负责该项工作的人员应熟悉存储媒体安全管理的相关合规要求，熟悉不同存储媒体 访问和使用的差异性（BP.07.12）

该等级的数据安全能力要求描述如下： a）组织建设：组织应设立统一负责存储媒体安全管理的岗位和人员（BP.07.05）。 制度流程： 1） 应明确存储媒体访问和使用的安全管理规范，建立存储媒体使用的审批和记录流程 (BP.07.06); 2 应明确购买或获取存储媒体的流程，要求通过可信渠道购买或获取存储媒体，并针对各类 存储媒体建立格式化规程（BP.07.07）； 3 应建立存储媒体资产标识，明确存储媒体存储的数据（BP.07.08)； 4） 应对存储媒体进行常规和随机检查，确保存储媒体的使用符合机构公布的关于存储媒体 使用的制度（BP.07.09）。 c）技术工具： 1 组织应使用技术工具对存储媒体性能进行监控，包括存储媒体的使用历史、性能指标、错 误或损坏情况，对超过安全阅值的存储媒体进行预警（BP.07.10）； 2） 应对存储媒体访问和使用行为进行记录和审计（BP.07.11）。 d）人员能力：负责该项工作的人员应熟悉存储媒体安全管理的相关合规要求，熟悉不同存储媒体 访问和使用的差异性（BP.07.12）。

8.1.2.4等级4.量化控制

该等级的数据安全能力要求描述如下 技术工具：应建立存储媒体管理系统设计图纸，确保存储媒体的使用和传递过程得到严密跟踪（BP.07.13）

8.1.2.5等级5.持续优化

该等级的数据安全能力要求描述如下： 技术工具： a）应持续更新优化组织的存储媒体管理系统和净化工具，以保证存储媒体的安全使用（BP.07.14)； b）应参与国际、国家或行业相关标准制定 享最佳实践，成为行业标杆（BP.07.15）

8.2PA08逻辑存储安全

基于组织内部的业务特性和数据存储安全要求，建立针对数据逻辑存储、存储容器等的有效安全 控制

GB／标准规范范本8.2.2.1等级1.非正式执行

该等级的数据安全能力描述如下 组织建设：未在任何业务中建立数据逻辑存储环境安全管理，仅根据临时需求或基于个人经验考 个别数据逻辑存储系统的安全管理（BP.08.01）