ICS35.240CCSL80 T/GDIS003—Informationsecuritytechnology—Internetapplicationsystemsecuritycapabilitymaturitymodel 廣東省互聯(lián)網(wǎng)協(xié)會發(fā)布T/GDIST/GDIS003—T/GDIST/GDIS003—目前 范 互聯(lián)網(wǎng)應(yīng)用系統(tǒng)Internetapplication 互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力Internetapplicationsystemsecurity 成熟度 成熟度模型maturity 安全過程域securityprocess 基本實踐base 通用實踐generic 核心保護對象coreprotected PA體 學(xué)兔兔標準下載 附錄 能力成熟度等級1：基礎(chǔ)建 GP1.1機構(gòu)建 GP1.2制度流 GP1.3技術(shù)工 學(xué)兔兔標準下載GP1.4人員能 能力成熟度等級2：規(guī)范防 GP2.1機構(gòu)建 GP2.2制度流 GP2.3技術(shù)工 GP2.4人員能 能力成熟度等級3：集成管 GP3.1機構(gòu)建 GP3.2制度流 GP3.3技術(shù)工 GP3.4人員能 能力成熟度等級4：綜合協(xié) GP4.1機構(gòu)建 GP4.2制度流 GP4.3技術(shù)工 GP4.4人員能 能力成熟度等級5：智能優(yōu) GP5.1機構(gòu)建 GP5.2制度流 GP5.3技術(shù)工 GP5.4人員能 附錄B(資料性附錄）能力成熟度模型使用方 附錄C（資料性附錄）成熟度等級的評估方 前本標準依據(jù)GB/T1.1—20201T/GDIST/GDIS003—T/GDIST/GDIS003—信息安全技術(shù)GB/T25069—2022GB/T22239—2019信息安全技術(shù)信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T37988—2019信息安全技術(shù)信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型GB/T41400—2022信息安全技術(shù)工業(yè)控制系統(tǒng)信息安全防護能力成熟度模型GB-T41391—2022信息安全技術(shù)移動互聯(lián)網(wǎng)應(yīng)用程序（App）GB/T35273—2017互聯(lián)網(wǎng)應(yīng)用系統(tǒng)Internetapplication互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力Internetapplicationsystemsecurity成熟度成熟度模型maturitysecurityprocessbasegeneric核心保護對象coreprotectedCMM：能力成熟度模型（CapabilityMaturityIASS-CMM：互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全能力成熟度模型（InternetapplicationsystemsecurityCapabilityMaturityModel）BP：基本實踐（BasePractice）GP：通用實踐（GenericPractice）PA：過程域（ProcessArea）CF：公共特征（CommonFeature）554321能力成熟度等級15互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全人員所具備的安全技能是否能夠滿足復(fù)合型能力要求(對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)相關(guān)業(yè)2CF3PA5PABPBPBP.XX.XXPABPBP01,02,…,表示；PABP，才能達到該級別的能力水BP；PAGB/T32919—2016GP，A。B。C。123組織對互聯(lián)網(wǎng)應(yīng)用系統(tǒng)核心網(wǎng)絡(luò)設(shè)備和關(guān)鍵安全設(shè)備應(yīng)采用雙機熱備方式進行冗余部署454BP123TLS451234512343BP51234512TelnetRlogin3VPN4512345123451234512技術(shù)工具：組織應(yīng)設(shè)定終端接入方式或網(wǎng)絡(luò)地址范圍對通過網(wǎng)絡(luò)進行管理的管理終端進行限制3SQL注入攻擊等),避免影響系統(tǒng)的正常使用和安全性(BP.10.08)。45123組織應(yīng)明確數(shù)據(jù)采集范圍、數(shù)量和頻度，確保不收集與提供服務(wù)無關(guān)的個人信息和重要數(shù)據(jù)4512組織應(yīng)對傳輸數(shù)據(jù)加密的技術(shù)方案和工具，包括針對關(guān)鍵的數(shù)據(jù)傳輸通道的加密方案（3組織負責(zé)該項工作的人員應(yīng)熟悉數(shù)據(jù)加密的算法，并能夠基于業(yè)務(wù)選擇合適的加密技術(shù)451234組織應(yīng)建立管理數(shù)據(jù)存儲系統(tǒng)安全配置的技術(shù)工具，實現(xiàn)對安全配置情況的統(tǒng)一管理和控制a)5123風(fēng)險，如差分隱私保護、KBP.14.11)；組織應(yīng)記錄并保存數(shù)據(jù)處理與分析過程中對個人信息、重要數(shù)據(jù)等敏感數(shù)據(jù)的操作行為組織應(yīng)提供組織統(tǒng)一的數(shù)據(jù)處理和分析系統(tǒng)，并能夠呈現(xiàn)數(shù)據(jù)處理前后數(shù)據(jù)間的映射關(guān)系45技術(shù)工具：組織應(yīng)基于機器學(xué)習(xí)的敏感數(shù)據(jù)自動識別、數(shù)據(jù)分析算法安全涉及等數(shù)據(jù)分析安全能力1234組織應(yīng)具備數(shù)據(jù)接口訪問的審計能力，并能為數(shù)據(jù)安全審計提供可配置的數(shù)據(jù)服務(wù)接口512345123組織應(yīng)采用相關(guān)技術(shù)手段方式個人信息泄露，存在中高危安全漏洞導(dǎo)致個人信息泄露風(fēng)險451234512345123組織對個人主體權(quán)利功能進行功能校驗，特別是注銷、刪除等操作，結(jié)合后臺數(shù)據(jù)進行校驗45123454BP12345123T/GDIST/GDIS003—.44T/GDIST/GDIS003—3BP.554BP123 4 5對源代碼進行管控，規(guī)范組件使用，私有組件入庫審批，制品根據(jù)不同類型進行入庫管理 123T/GDIST/GDIS003—.44T/GDIST/GDIS003—.554BP12345123組織將互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)設(shè)備放置在只能由授權(quán)人員訪問的符合環(huán)境要求的安全區(qū)域中45T/GDIST/GDIS003—T/GDIST/GDIS003—12345123使用滅火設(shè)備或系統(tǒng)，該設(shè)備或系統(tǒng)為組織和緊急事件處理人員提供任何激活操作的自動通知451234512應(yīng)用系統(tǒng)網(wǎng)絡(luò)中的資產(chǎn)，覆蓋組織關(guān)鍵資產(chǎn)，采集互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全運行狀態(tài)，生成資產(chǎn)清單34512在重要互聯(lián)網(wǎng)應(yīng)用系統(tǒng)網(wǎng)絡(luò)中部署具備應(yīng)用協(xié)議深度包檢測功能的監(jiān)測設(shè)備，審計違法操作345123454BP123制定應(yīng)急預(yù)案培訓(xùn)計劃，并向具有相應(yīng)角色和職責(zé)的互聯(lián)網(wǎng)應(yīng)用系統(tǒng)用戶提供應(yīng)急培訓(xùn)(BP.34.064512345123451234互聯(lián)網(wǎng)應(yīng)用系統(tǒng)及設(shè)備供應(yīng)，停止應(yīng)用系統(tǒng)授權(quán)、升級或技術(shù)支持服務(wù)的情況(BP.37.06)；54BP12運行說明、與管理功能有關(guān)的配置和使用方面的注意事項、對用戶安全責(zé)任和注意事項的說明等345建立產(chǎn)品全供應(yīng)鏈跟蹤機制，使用資產(chǎn)跟蹤（如RFID等）、GPS定位、APP簽收等措施來保障在生12組織與供應(yīng)商簽訂產(chǎn)品和服務(wù)采購協(xié)議，并體現(xiàn)產(chǎn)品和服務(wù)安全保障、保密和驗收準則等內(nèi)容343BP54BP12制度流程：組織制定相關(guān)管理制度，明確規(guī)定在部署運行應(yīng)用程序前，對其源代碼進行安全性測試3但不限于SQL（上傳/寫入/讀取/刪除）、文件包含、命令執(zhí)行、XSS、Cookie45123454BP附錄了劃分互聯(lián)網(wǎng)應(yīng)用系統(tǒng)安全PA和BP等級的原則和方法論，用于形成第6、7章中各PA的等級要求。GP1.1GP1.2GP1.3GP1.4GP2.1GP2.2GP2.3GP2.4GP3.1GP3.2GP3.3GP3.4安全防護體系。與等級3“集成管控”的主要區(qū)別在于執(zhí)行過程的綜合決策和協(xié)調(diào)防護。GP4.1GP4.2GP4.3GP4.4系。與等級4“綜合協(xié)同”的主要區(qū)別在于執(zhí)行過程的智能優(yōu)化和演進。GP5.1GP5.2GP5.3GP5.4附錄BB.1示例：例如組織A附錄 C.1PA；（M1+M2+…+M10）/（N1+N2+…+N10）>Mi/Ni0.4(0<i<11T/GDIS003—GB/T19024—2008GB/T19004—2015質(zhì)量管理體系GB/T19001—20