中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね
こんにちは、丸山満彦です。
中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね。。。
● 中国电子技术标准化研究院 China Electronics Standardization Institute ('CESI')
・2020.10.19 (工作动态) 数据安全能力成熟度评估工具正式发布(データセキュリティ能力成熟度評価ツールが正式にリリースされました)
このツールは無料で、GB∕T 37988-2019 信息安全技术 数据安全能力成熟度模型(データセキュリティ能力成熟度モデル)に基づいて、つまり、データの「収集」、「送信」、「保存」、「処理」、「交換」、および「破棄」のライフサイクル全体に焦点を当て、「組織構築」、「システムフロー」、「技術ツール」、「人材能力」の4つの能力次元で5つの成熟度レベルを評価するもののようですね。
● 数据安全能力成熟度评估工具(データセキュリティ能力成熟度評価ツール)
メールアドレスを登録してアカウントを発行してもらえれば使えるようです。ただし、中国語だけです。
なお、国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」は、情報セキュリティ標準化技術委員会(TC260)で提案、承認され、2019年8月30日に正式に公開され、2020年3月1日から実施されています。 この規格で提案されているデータセキュリティ能力成熟度モデル(DSMM)は、アリババと中国電子技術標準化研究所(CIST)が、30社以上の企業や機関と共同で、広範な実践と研究に基づいて共同開発したと説明されていますね。。。
・[PDF] 国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」 (downloaded)
構成を見ればわかるのですが、経済産業省で個人情報保護法のガイドラインの安全管理措置を作った時の構造と似ていますね。。。つまり、最初にデータのライフサイクルでコントロールを記述し、次に全体的なセキュリティ対策を記述(ただし、組織的、人的、物理的、技術的という分類でしたが)するという。。。真似たということではなく、データセキュリティについて考えると論理的な帰結として同じになったということだと思います。。。
目 次 | 目 次 |
前言 | 前文 |
1 范围 | 1 スコープ |
2 规范性引用文件 | 2 規範的な引用 |
3 术语和定义 | 3.用語と定義 |
4 缩略语 | 4 略語 |
5 DSMM 架构 | 5 DSMMアーキテクチャ |
5.1 成熟度模型架构 | 5.1 成熟度モデルのアーキテクチャ |
5.2 安全能力维度 | 5.2 セキュリティ能力の次元 |
5.3 能力成熟度等级维度 | 5.3 能力成熟度レベルの寸法 |
5.4 数据安全过程维度 | 5.4 データ・セキュリティ・プロセス・ディメンション |
6 数据采集安全 | 6 データ取得のセキュリティ |
6.1 PA01 数据分类分级 | 6.1 PA01 データ分類階層 |
6.2 PA02 数据采集安全管理 | 6.2 PA02 データ収集セキュリティ管理 |
6.3 PA03 数据源鉴别及记录 | 6.3 PA03 データソースの特定と記録 |
6.4 PA04 数据质量管理 | 6.4 PA04 データ品質管理 |
7 数据传输安全 | 7 データ伝送のセキュリティ |
7.1 PA05 数据传输加密 | 7.1 PA05 データ伝送の暗号化 |
7.2 PA06 网络可用性管理 | 7.2 PA06 ネットワーク可用性管理 |
8 数据存储安全 | 8 データストレージのセキュリティ |
8.1 PA07 存储媒体安全 | 8.1 PA07 ストレージメディアのセキュリティ |
8.2 PA08 逻辑存储安全 | 8.2 PA08 論理ストレージのセキュリティ |
8.3 PA09 数据备份和恢复 | 8.3 PA09 データバックアップとリカバリ |
9 数据处理安全 | 9 データ処理のセキュリティ |
9.1 PA10 数据脱敏 | 9.1 PA10 データの機微性の低減(?) |
9.2 PA11 数据分析安全 | 9.2 PA11 データ分析のセキュリティ |
9.3 PA12 数据正当使用 | 9.3 PA12 データの適切な使用 |
9.4 PA13 数据处理环境安全 | 9.4 PA13 データ処理環境のセキュリティ |
9.5 PA14 数据导入导出安全 | 9.5 PA14 データのインポートとエクスポートのセキュリティ |
10 数据交换安全 | 10 データ交換のセキュリティ |
10.1 PA15 数据共享安全 | 10.1 PA15 データ共有のセキュリティ |
10.2 PA16 数据发布安全 | 10.2 PA16 データリリースセキュリティ |
10.3 PA17 数据接口安全 | 10.3 PA17 データインタフェースのセキュリティ |
11 数据销毁安全 | 11 データ破壊のセキュリティ |
11.1 PA18 数据销毁处置 | 11.1 PA18データ破壊処分 |
11.2 PA19 存储媒体销毁处置 | 11.2 PA19 記憶媒体破壊処理 |
12 通用安全 | 12 一般的なセキュリティ |
12.1 PA20 数据安全策略规划 | 12.1 PA20 データセキュリティ戦略計画 |
12.2 PA21 组织和人员管理 | 12.2 PA21 組織と人のマネジメント |
12.3 PA22 合规管理 | 12.3 PA22 コンプライアンス管理 |
12.4 PA23 数据资产管理 | 12.4 PA23 データ資産管理 |
12.5 PA24 数据供应链安全 | 12.5 PA24 データサプライチェーンのセキュリティ |
12.6 PA25 元数据管理 | 12.6 PA25 メタデータ管理 |
12.7 PA26 终端数据安全 | 12.7 PA26 エンドポイントデータセキュリティ |
12.8 PA27 监控与审计 | 12.8 PA27 モニタリングと監査 |
12.9 PA28 鉴别与访问控制 | 12.9 PA28 認証とアクセス制御 |
12.10 PA29 需求分析 | 12.10 PA29 ニーズ分析 |
12.11 PA30 安全事件应急 | 12.11 PA30 セキュリティインシデント対応 |
附录 A (资料性附录) 能力成熟度等级描述与 GP | 付録A(参考資料) 能力成熟度レベルの記述とGP |
A.1 概述 | A.1 概要 |
A.2 能力成熟度等级1———非正式执行 | A.2 キャパシティ成熟度レベル1-インフォーマルな実施 |
A.3 能力成熟度等级2———计划跟踪 | A.3 能力成熟度レベル2-計画トラッキング |
A.4 能力成熟度等级3———充分定义 | A.4 能力成熟度レベル3-完全定義 |
A.5 能力成熟度等级4———量化控制 | A.5 能力成熟度レベル4 - 定量的コントロール |
A.6 能力成熟度等级5———持续优化 | A.6 能力成熟度レベル5 - 継続的最適化 |
附录 B (资料性附录) 能力成熟度等级评估参考方法 | 付録B(参考資料) 習熟度評価のための参考方法 |
附录 C (资料性附录) 能力成熟度等级评估流程和模型使用方法 | 付録C(参考資料) 能力成熟度レベルとモデルの利用に関する評価プロセス |
C.1 能力成熟度等级评估流程 | C.1 キャパシティ成熟度評価プロセス |
C.2 能力成熟度模型使用方法 | C.2 能力成熟度モデルの利用方法 |
参考文献 | 参考文献 |
■ 参考
● まるちゃんの情報セキュリティ気まぐれ日記
<中国のセキュリティ標準関係>
・2020.02.22 中国サイバーセキュリティ関連組織・・・
・2020.02.04 中国が情報セキュリティに関連の国家標準のパブコメを18件出していました・・・
<米国のCMMC関係>
・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています
・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・
・2020.04.19 COVID-19によりDODのサイバーセキュリティ認証(CMMC)の開始が遅れる?
・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)
・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0
« ドイツのITセキュリティの状況 2020 - Die Lage der IT-Sicherheit in Deutschland 2020 by BSI | Main | ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。 »
Comments