データセキュリティ成熟度の評価と分析の基礎の紹介

1. 背景を評価する

       デジタル経済の発展により、データの集約、融合、フロー、アプリケーションなどのシナリオが大幅に増加し、データ アプリケーション テクノロジの複雑さ、大規模なデータ集約のリスク、ディープ データ マイニングのプライバシーとセキュリティのすべてが問題となっています。ネットワーク データ セキュリティ保護に対する新たな課題。セキュリティと情報化を統合する両翼の両輪という基本的な考え方に基づく構築が徐々に必要となり、常態化しています。近年、ほとんどの組織は、データを中心にビジネスを構築し、業務を推進するためのデータを確保し、出発点としてテクノロジーを使用し、実行するための基本原則として短期目標の問題 (外部コンプライアンス要件、内部セキュリティ要件) を解決することに重点を置いています。データ セキュリティの構築は非常に効果的で、組織の特定のデータ セキュリティ問題を解決し、組織全体の保護能力を向上させました。しかし、その過程で、セキュリティ構築が持続可能ではないこと、セキュリティ計画が的を絞っていないことが徐々に明らかになりました。 、全体的な能力は定量化できなかった、などの質問がありました。

       データセキュリティ構築のプロセスにおける継続性、妥当性、定量化といった課題を効果的に解決するには、組織は経営とテクノロジーの2つの側面から成熟度評価・分析を実施し、組織の既存のセキュリティ状況とリスクの可視化を実現し、また、成熟度評価ベースラインを使用して、社内のセキュリティ能力を定量化し、組織のセキュリティ構築計画の内容と目的を明確にし、セキュリティ構築全体の持続可能性を確保します。

2. 評価の根拠

       情報セキュリティリスク評価の基礎としては、「情報セキュリティ技術情報セキュリティリスク評価仕様書」および「情報セキュリティ技術情報システムセキュリティ管理評価要件」を参照してください。
       個人情報および機密情報の識別および格付けの基礎として、「情報セキュリティ技術個人情報セキュリティ仕様書」および「電気通信およびインターネット サービス ユーザーの個人情報保護の定義と分類」を参照してください。
       個人情報の匿名化の基礎については、「情報セキュリティ技術個人情報匿名化ガイド」をご参照ください。
       「電子商取引サービスにおける電気通信・インターネットサービス利用者の個人情報保護に関する技術基準」、「モバイルアプリストアにおける電気通信・インターネットサービス利用者の個人情報保護に関する技術基準」、「モバイルアプリストアにおける個人情報保護に関する技術基準」を参照してください。 「電気通信およびインターネット サービス ユーザーの個人情報インスタント メッセージング サービス」は、ビジネス サービス、モバイル アプリケーション ストア、およびインスタント メッセージング サービスのユーザーの個人情報を保護するための電子技術要件として規定されています。
       緊急時対応および災害時バックアップ評価の基礎として、「情報セキュリティ技術情報セキュリティ緊急時対応計画仕様書」、「情報セキュリティ技術災害復旧サービス要件」、「情報セキュリティ技術記憶媒体データ復旧サービス要件」を参照してください。
       セキュリティ能力認定の根拠としては、「情報セキュリティ技術ビッグデータサービスのセキュリティ能力要件」および「情報セキュリティ技術災害復旧サービス能力評価基準」を参照してください。
       スマート端末の評価基準は、「モバイルスマート端末の個人情報保護に関する情報セキュリティ技術基準」および「モバイルスマート端末の個人情報保護に関する技術基準」を参照してください。
       データセキュリティ能力の構築を評価するための基礎として、「情報セキュリティ技術データセキュリティ能力成熟度モデル」を参照してください。

3. 評価の考え方

「チェック、比較、分割、構築」       という考え方を使用して、組織の内部データ セキュリティの成熟度の全体的な評価を実施します。
       「調査」では、評価ベースラインを使用して組織の内部管理の構築、技術、および一般的な側面を調査し、組織の現状を包括的かつ深く明らかにするという目的を達成するために、さまざまな次元で具体的な内容を検討します。
       「Split」は、現状に応じて、異なるデータライフサイクルにおけるセキュリティリスクを深く分析し、リスクを可視化し、次の構築計画に備えます。
       「比較」では、能力ベースラインと比較することでセキュリティ能力を定量化し、現在の構築レベルを把握し、次のステップでのデータセキュリティ構築の方向性を明確にします。
       「構築」では、外部要件、内部リスク、組織開発戦略などを総合的に考慮し、データセキュリティシステムを計画・構築し、組織のデータ保証能力を向上させます。
       組織の成熟度の評価・分析を通じて、内部データセキュリティ構築の現状可視化、リスク可視化、能力可視化を実現し、評価・分析に基づいてセキュリティ構築計画を実施し、これにより、全体的なセキュリティ戦略と実装がより持続可能で的を絞ったものになります。
       施工状況の見える化。組織が各次元および各リンクのセキュリティ状況を完全に理解できるように、経営、技術、人材の多面から本来の不透明で目に見えないセキュリティ状況を提示します。
       リスクの可視化。現状のセキュリティ状況を分析し、外部要件を組み合わせてセキュリティリスクを明確にし、具体的な脅威とセキュリティ構築の緊急性を可視化します。
       視覚化する能力。現在のセキュリティ機能を測定し、現在のセキュリティ保護機能のレベルを理解し、組織の次のデータ セキュリティ開発に対する明確な方向性を提供します。