J38uQ0T
DSMM是Data Security capability Maturity Model的縮寫,中文名為數(shù)據(jù)安全能力成熟度模型。是以2019-08-30
發(fā)布,2020-03-01 實(shí)施的GB/T
37988-2019《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》為依據(jù)的數(shù)據(jù)安全保護(hù)體系。DSMM標(biāo)準(zhǔn)是以組織為評(píng)估對(duì)象,用來衡量一個(gè)組織的數(shù)據(jù)安全能力成熟度水平,聚焦數(shù)據(jù)全生命周期的防護(hù),從四個(gè)安全能力維度提出分級(jí)要求,幫助組織打造與業(yè)務(wù)貼合緊密的數(shù)據(jù)安全架構(gòu),根據(jù)數(shù)據(jù)安全能力水平高低決定企業(yè)擁有數(shù)據(jù)的類型和范圍,最終提升全社會(huì)的數(shù)據(jù)安全水平和行業(yè)競(jìng)爭(zhēng)力,確保大數(shù)據(jù)產(chǎn)業(yè)及數(shù)字經(jīng)濟(jì)的發(fā)展。
本標(biāo)準(zhǔn)給出了組織數(shù)據(jù)安全能力的成熟度模型架構(gòu),規(guī)定了數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全的成熟度等級(jí)要求。
本標(biāo)準(zhǔn)適用于對(duì)組織數(shù)據(jù)安全能力進(jìn)行評(píng)估,也可作為組織開展數(shù)據(jù)安全能力建設(shè)時(shí)的依據(jù)。
數(shù)據(jù)安全能力成熟度模型架構(gòu)1、五個(gè)等級(jí)包括:
-L1非正式執(zhí)行:執(zhí)行非正式過程,隨機(jī)、無序、被動(dòng)執(zhí)行安全過程,依賴個(gè)人經(jīng)驗(yàn),無法復(fù)制。-L2計(jì)劃跟蹤:在業(yè)務(wù)系統(tǒng)級(jí)別主動(dòng)實(shí)現(xiàn)了安全過程的計(jì)劃與執(zhí)行,但沒有形成體系化,可驗(yàn)證過程執(zhí)行與計(jì)劃一致,跟蹤、控制執(zhí)行的進(jìn)展。-L3充分定義:在組織級(jí)別實(shí)現(xiàn)了安全過程的規(guī)范執(zhí)行,標(biāo)準(zhǔn)過程進(jìn)行制度化,過程可重復(fù)執(zhí)行,執(zhí)行結(jié)果可核查。-L4量化控制:建立了量化目標(biāo),安全過程可度量。-L5持續(xù)優(yōu)化:根據(jù)組織的整體目標(biāo),不斷改進(jìn)和優(yōu)化組織能力和安全過程有效性。
2、四大安全能力維度包括:
-組織建設(shè):指數(shù)據(jù)安全組織的架構(gòu)建立、職責(zé)分配和溝通協(xié)作。組織可分為決策層、管理層和執(zhí)行層等三層結(jié)構(gòu)。其中,決策層由參與業(yè)務(wù)發(fā)展決策的高管和數(shù)據(jù)安全官組成,制定數(shù)據(jù)安全的目標(biāo)和愿景,在業(yè)務(wù)發(fā)展和數(shù)據(jù)安全之間做出良好的平衡;管理層是數(shù)據(jù)安全核心實(shí)體部門及業(yè)務(wù)部門管理層組成,負(fù)責(zé)制定數(shù)據(jù)安全策略和規(guī)劃,及具體管理規(guī)范;執(zhí)行層由數(shù)據(jù)安全相關(guān)運(yùn)營(yíng)、技術(shù)和各業(yè)務(wù)部門接口人組成,負(fù)責(zé)保證數(shù)據(jù)安全工作推進(jìn)落地。-制度流程:指數(shù)據(jù)安全具體管理制度體系的建設(shè)和執(zhí)行,包括數(shù)據(jù)安全方針和總綱、數(shù)據(jù)安全管理規(guī)范、數(shù)據(jù)安全操作指南和作業(yè)指導(dǎo),以及相關(guān)模板和表單等。-技術(shù)工具:指與制度流程相配套并保證有效執(zhí)行的技術(shù)和工具,可以是獨(dú)立的系統(tǒng)平臺(tái)、工具、功能或算法技術(shù)等。需要綜合所有安全域進(jìn)行整體規(guī)劃和實(shí)現(xiàn),并且要和組織的業(yè)務(wù)系統(tǒng)和信息系統(tǒng)等進(jìn)行銜接。包括適用于所有安全域的通用技術(shù)工具,和部分階段或安全域試用的技術(shù)工具。-人員能力:指為實(shí)現(xiàn)以上組織、制度和技術(shù)工具的建設(shè)和執(zhí)行其人員應(yīng)具備的能力。核心能力包括數(shù)據(jù)安全管理能力、數(shù)據(jù)安全運(yùn)營(yíng)能力、數(shù)據(jù)安全技術(shù)能力及數(shù)據(jù)安全合規(guī)能力。根據(jù)不同數(shù)據(jù)安全能力建設(shè)維度匹配不同人員能力要求。
數(shù)據(jù)安全過程維度則從兩個(gè)層面考量:- 數(shù)據(jù)安全過程包括數(shù)據(jù)生存周期安全過程和通用安全過程;
- 數(shù)據(jù)生存周期安全過程具體包括:數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全6個(gè)階段。
-數(shù)據(jù)采集:指在組織機(jī)構(gòu)內(nèi)部系統(tǒng)中新生成數(shù)據(jù),以及從外部收集數(shù)據(jù)的階段。-數(shù)據(jù)傳輸:指數(shù)據(jù)在組織機(jī)構(gòu)內(nèi)部從一個(gè)實(shí)體通過網(wǎng)絡(luò)流動(dòng)到另一個(gè)實(shí)體的階段。-數(shù)據(jù)存儲(chǔ):指數(shù)據(jù)以任何數(shù)字格式進(jìn)行物理存儲(chǔ)或云存儲(chǔ)的階段。-數(shù)據(jù)處理:指組織機(jī)構(gòu)在內(nèi)部針對(duì)數(shù)據(jù)進(jìn)行計(jì)算、分析、可視化等操作的階段。-數(shù)據(jù)交換:指數(shù)據(jù)由組織機(jī)構(gòu)與外部組織機(jī)構(gòu)及個(gè)人交互的階段。-數(shù)據(jù)銷毀:指通過對(duì)數(shù)據(jù)及數(shù)據(jù)的存儲(chǔ)介質(zhì)通過相應(yīng)的操作手段,使數(shù)據(jù)徹底消除且無法通過任何手段恢復(fù)的過程。
DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛,沒有行業(yè)的限制,對(duì)數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請(qǐng)DSMM,包括但不限于數(shù)據(jù)運(yùn)營(yíng)組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務(wù)提供組織等。
申請(qǐng)什么級(jí)別主要依據(jù)企業(yè)的實(shí)際情況來判斷,沒有硬性規(guī)定初次申請(qǐng)級(jí)別的限制。大部分組織適合申請(qǐng)DSMM2級(jí),DSMM3級(jí)適合具有較高數(shù)據(jù)安全實(shí)踐水平的組織申請(qǐng),DSMM4級(jí)適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的組織申請(qǐng),DSMM5級(jí)暫不開放申請(qǐng)。數(shù)據(jù)安全能力成熟度模型的優(yōu)勢(shì)資產(chǎn)保護(hù):企業(yè)通過數(shù)據(jù)安全認(rèn)證可建立完善數(shù)據(jù)安全體系,制定全面合理的數(shù)據(jù)安全制度流程及管理措施,提高企業(yè)數(shù)據(jù)安全保護(hù)意識(shí),保障企業(yè)數(shù)據(jù)資產(chǎn)安全。
風(fēng)險(xiǎn)防控:數(shù)據(jù)安全能力體系的建設(shè),不僅擁有應(yīng)對(duì)數(shù)據(jù)風(fēng)險(xiǎn)發(fā)生時(shí)的防護(hù)能力,更能從源頭對(duì)風(fēng)險(xiǎn)進(jìn)行防控,降低數(shù)據(jù)安全事故發(fā)生的概率。合規(guī)要求:《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》等相關(guān)法律法規(guī)相繼出臺(tái),對(duì)企業(yè)數(shù)據(jù)安全建設(shè)提出了要求,數(shù)據(jù)安全認(rèn)證可幫助企業(yè)滿足相關(guān)法律法規(guī)要求,落實(shí)責(zé)任義務(wù)。政策扶持:隨著相關(guān)法律法規(guī)完善,各地區(qū)政府鼓勵(lì)當(dāng)?shù)仄髽I(yè)組織建立數(shù)據(jù)安全合規(guī)體系,并提供政策扶持。宣傳推廣:組織通過數(shù)據(jù)安全認(rèn)證,結(jié)合數(shù)據(jù)安全體系建設(shè)的經(jīng)驗(yàn),可形成行業(yè)最佳實(shí)踐,擴(kuò)大行業(yè)知名度,帶動(dòng)行業(yè)發(fā)展。核心競(jìng)爭(zhēng)力:通過數(shù)據(jù)安全認(rèn)證的企業(yè),可作為高度受信的數(shù)據(jù)擁有方及數(shù)據(jù)服務(wù)提供方,提升自身核心競(jìng)爭(zhēng)力,為企業(yè)客戶提供安全的數(shù)據(jù)服務(wù)。
數(shù)據(jù)安全能力成熟度模型評(píng)估方式DSMM評(píng)估方式主要包括人員訪談、文檔審核、配置檢查、工具測(cè)試、旁站式驗(yàn)證等方式,具體情況如下:文檔審核:由被評(píng)價(jià)組織輸入與數(shù)據(jù)安全相關(guān)的文檔材料(如數(shù)據(jù)安全的方針政策、制度規(guī)范流程、培訓(xùn)教育材料、以及與產(chǎn)品技術(shù)相關(guān)的設(shè)計(jì)實(shí)施方案、配置說明、運(yùn)行記錄和其他配套表單)、審核小組審核相關(guān)的文檔材料是否已涵蓋完整數(shù)據(jù)生存周期的PA和控制項(xiàng)。配置檢查:根據(jù)被審核方提供的技術(shù)材料,登陸相關(guān)的系統(tǒng)工具平臺(tái),檢査配置是否與材料保持一致,對(duì)文檔審核內(nèi)容進(jìn)行核實(shí)。工具測(cè)試:利用技術(shù)工具對(duì)系統(tǒng)工具進(jìn)行測(cè)試,驗(yàn)證是否符合數(shù)據(jù)安全成熟度模型特定等級(jí)的技術(shù)能力要求,也可采信第三方的測(cè)試報(bào)告。旁站式驗(yàn)證:審核人員在現(xiàn)場(chǎng)通過實(shí)地觀察人員行為、技術(shù)設(shè)施和環(huán)境狀況判斷人員的安全意識(shí)、業(yè)務(wù)操作、管理程序等方面的安全情況。人員訪談:通過訪談的方式與被審核方進(jìn)行交流、討論等活動(dòng),獲取相關(guān)證據(jù),了解有關(guān)信息。