OWASP 软件保证成熟度模型 2.0

了解处理数据敏感性的好处以及可快速实现的措施 活动 了解您的应用程序存储和处理的数据类型及其敏感性，并保持对处理后数据去向的关注（例如，备份、与外部合作伙伴共享）。在该成熟度水平上，收集的信息可能以各种形式和不同地点保存；假设不存在全组织范围的数据目录。根据适用于所存储和处理的最敏感数据的保护要求，保护和处理与特定应用程序相关的所有数据。实施基本控制，以防止未经清理的敏感数据从生产环境传播到低环境。通过确保未经清理的生产数据不会传播到较低的（非生产）环境，您可以将数据保护策略和活动集中于生产环境。好处是对不同类别的敏感数据进行标准化处理。活动 在这个成熟度水平上，数据保护活动专注于主动管理您对数据的管理职责。建立技术和管理控制措施，以保护敏感数据的机密性，以及您所管理的所有数据的完整性和可用性，从其最初的创建/接收直到保留期结束时备份的销毁。识别应用程序存储、处理和传输的数据，并在数据目录中记录有关其类型、敏感性（分类）级别和存储位置的信息。明确识别受特定法规约束的记录或数据元素。建立关于所处理数据的唯一真实来源，有助于对其保护措施进行更细粒度的选择。收集这些信息可以提高您对与数据相关的查询（例如来自审计员、事件响应团队或客户）的响应的准确性、时效性和效率，并支持威胁建模和合规活动。根据您的数据保护政策，建立在数据整个生命周期内保护和保存数据的流程和程序，无论是在静止状态、处理过程中还是传输中。特别注意在活跃处理系统之外处理和保护敏感数据，包括但不限于：备份的存储、保留和销毁；以及离线存储介质的标记、加密和物理保护。您的流程和程序涵盖了为遵守关于存储位置、人员访问和其他因素的法规、合同或其他限制而采取的所有控制措施的实施。好处 技术上强制执行您的数据保护政策 活动 在此成熟度水平的活动集中于自动化数据保护，减少您对人工评估和管理政策合规性的依赖。重视反馈机制和主动审查，以识别并采取措施改进流程。实施技术控制以确保遵守您的数据保护政策，并建立监控机制以检测尝试或实际的违规行为。您可以使用多种现有工具来进行数据丢失防护、访问控制和跟踪，或异常行为检测。定期审计已建立的管理控制的合规性，并密切监控自动化机制的性能和运行情况，包括备份和记录删除。监控工具可以快速检测和报告自动化中的故障，使您能够及时采取纠正措施。定期审查和更新数据目录，以保持其对数据环境的准确反映。定期审查和更新流程和程序，以确保其与您的政策和优先事项保持一致。标准：您了解每个应用程序处理和存储的数据元素 | 您了解每个已识别数据元素的类型和敏感级别 | 您拥有防止未净化敏感数据从生产环境传播到低级环境的控制措施

了解处理数据敏感性的好处以及可快速实现的措施。活动：了解您的应用程序存储和处理的数据类型及其敏感性，并保持对处理后数据去向的关注（例如，备份、与外部合作伙伴共享）。在该成熟度水平上，收集的信息可能以各种形式存在并存储在不同的地方；假设不存在全组织范围的数据目录。根据适用于存储和处理的最敏感数据的保护要求，保护和处理与特定应用程序相关的所有数据。实施基本控制，以防止未清理的敏感数据从生产环境传播到低级环境。通过确保未经清理的生产数据不会传播到较低（非生产）环境，您可以将数据保护策略和活动集中在生产环境上。好处是对不同类别的敏感数据进行标准化处理。活动 在这个成熟度水平上，数据保护活动专注于主动管理您对数据的管理职责。建立技术和管理控制措施，以保护敏感数据的机密性，以及您所管理的所有数据的完整性和可用性，从其最初的创建/接收直到保留期结束时备份的销毁。识别应用程序存储、处理和传输的数据，并在数据目录中记录其类型、敏感性（分类）级别及存储位置。清楚标明受特定法规约束的记录或数据元素。建立关于您所处理数据的唯一真实来源，有助于对其保护措施进行更细粒度的选择。收集这些信息可以提高您对与数据相关的查询（例如来自审计员、事件响应团队或客户）的响应的准确性、时效性和效率，并支持威胁建模和合规活动。根据您的数据保护政策，建立在数据整个生命周期内保护和保存数据的流程和程序，无论是在静止状态、处理过程中还是传输中。特别注意在活跃处理系统之外处理和保护敏感数据，包括但不限于：备份的存储、保留和销毁；以及离线存储介质的标记、加密和物理保护。您的流程和程序涵盖了为遵守关于存储位置、人员访问和其他因素的法规、合同或其他限制而采取的所有控制措施的实施。好处 技术上强制执行您的数据保护政策 活动 在此成熟度水平的活动集中于自动化数据保护，减少您对人工评估和管理政策合规性的依赖。重视反馈机制和主动审查，以识别并采取措施改进流程的机会。实施技术控制以确保遵守您的数据保护政策，并建立监控机制以检测尝试或实际的违规行为。您可以使用多种现有工具来进行数据丢失防护、访问控制和跟踪，或异常行为检测。定期审计对已建立的管理控制措施的遵循情况，并密切监控自动化机制的性能和运作，包括备份和记录删除。监控工具能快速检测并报告自动化中的故障，允许您及时采取纠正措施。定期审查和更新数据目录，以保持其对数据环境的准确反映。定期审查和更新流程和程序可以确保其与您的政策和优先事项保持一致。标准：数据目录存储在可访问的位置 | 您知道哪些数据元素受特定法规约束 | 您拥有在数据整个生命周期中保护和保存数据的控制措施 | 您对数据有保留要求，并在相关保留期结束后及时销毁备份

了解处理数据敏感性的好处以及可快速实现的措施。活动：了解您的应用程序存储和处理的数据类型及其敏感性，并保持对处理后数据去向的关注（例如，备份、与外部合作伙伴共享）。在该成熟度水平上，收集的信息可能以各种形式和不同地点保存；假设不存在全组织范围的数据目录。根据适用于所存储和处理的最敏感数据的保护要求，保护和处理与特定应用程序相关的所有数据。实施基本控制，以防止未经清理的敏感数据从生产环境传播到低级环境。通过确保未经清理的生产数据不会传播到较低（非生产）环境，您可以将数据保护策略和活动集中在生产环境上。好处是对不同类别的敏感数据进行标准化处理。活动 在这个成熟度水平上，数据保护活动专注于主动管理您对数据的管理职责。建立技术和管理控制措施，以保护敏感数据的机密性，以及您所管理的所有数据的完整性和可用性，从其最初的创建/接收直到保留期结束时备份的销毁。识别应用程序存储、处理和传输的数据，并在数据目录中记录其类型、敏感性（分类）级别和存储位置。清楚标明受特定法规约束的记录或数据元素。建立关于您所处理数据的唯一真实来源，有助于对其保护措施进行更细粒度的选择。收集这些信息可以提高您对与数据相关的查询（例如来自审计员、事件响应团队或客户）的响应的准确性、时效性和效率，并支持威胁建模和合规活动。根据您的数据保护政策，建立在数据整个生命周期内保护和保存数据的流程和程序，无论是在静止状态、处理过程中还是传输中。特别注意在活跃处理系统之外处理和保护敏感数据，包括但不限于：备份的存储、保留和销毁；以及离线存储介质的标记、加密和物理保护。您的流程和程序涵盖了为遵守关于存储位置、人员访问和其他因素的法规、合同或其他限制而采取的所有控制措施的实施。好处 技术上强制执行您的数据保护政策 活动 在此成熟度水平的活动集中于自动化数据保护，减少您对人工评估和管理政策合规性的依赖。重视反馈机制和主动审查，以识别并采取措施改进流程的机会。实施技术控制以确保遵守您的数据保护政策，并建立监控机制以检测尝试或实际的违规行为。您可以使用多种现有工具来进行数据丢失防护、访问控制和跟踪，或异常行为检测。定期审计对已建立的管理控制措施的遵循情况，并密切监控自动化机制的性能和运作，包括备份和记录删除。监控工具能快速检测并报告自动化中的故障，允许您及时采取纠正措施。定期审查和更新数据目录，以保持其对数据环境的准确反映。定期审查和更新流程和程序可以确保其与您的政策和优先事项保持一致。标准：您拥有自动监控以检测《数据保护政策》的尝试性或实际违规行为 | 您拥有数据丢失防护、访问控制和跟踪或异常行为检测工具 | 您定期审计自动化机制的运行情况，包括备份和记录删除