J38uQ0T
DSMM是Data Security capability Maturity Model的缩写,中文名为数据安全能力成熟度模型。是以2019-08-30
发布,2020-03-01 实施的GB/T
37988-2019《信息安全技术数据安全能力成熟度模型》为依据的数据安全保护体系。DSMM标准是以组织为评估对象,用来衡量一个组织的数据安全能力成熟度水平,聚焦数据全生命周期的防护,从四个安全能力维度提出分级要求,帮助组织打造与业务贴合紧密的数据安全架构,根据数据安全能力水平高低决定企业拥有数据的类型和范围,最终提升全社会的数据安全水平和行业竞争力,确保大数据产业及数字经济的发展。
本标准给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。
本标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。
1、五个等级包括:
-L1非正式执行:执行非正式过程,随机、无序、被动执行安全过程,依赖个人经验,无法复制。-L2计划跟踪:在业务系统级别主动实现了安全过程的计划与执行,但没有形成体系化,可验证过程执行与计划一致,跟踪、控制执行的进展。-L3充分定义:在组织级别实现了安全过程的规范执行,标准过程进行制度化,过程可重复执行,执行结果可核查。-L5持续优化:根据组织的整体目标,不断改进和优化组织能力和安全过程有效性。
2、四大安全能力维度包括:
-组织建设:指数据安全组织的架构建立、职责分配和沟通协作。组织可分为决策层、管理层和执行层等三层结构。其中,决策层由参与业务发展决策的高管和数据安全官组成,制定数据安全的目标和愿景,在业务发展和数据安全之间做出良好的平衡;管理层是数据安全核心实体部门及业务部门管理层组成,负责制定数据安全策略和规划,及具体管理规范;执行层由数据安全相关运营、技术和各业务部门接口人组成,负责保证数据安全工作推进落地。-制度流程:指数据安全具体管理制度体系的建设和执行,包括数据安全方针和总纲、数据安全管理规范、数据安全操作指南和作业指导,以及相关模板和表单等。-技术工具:指与制度流程相配套并保证有效执行的技术和工具,可以是独立的系统平台、工具、功能或算法技术等。需要综合所有安全域进行整体规划和实现,并且要和组织的业务系统和信息系统等进行衔接。包括适用于所有安全域的通用技术工具,和部分阶段或安全域试用的技术工具。-人员能力:指为实现以上组织、制度和技术工具的建设和执行其人员应具备的能力。核心能力包括数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力。根据不同数据安全能力建设维度匹配不同人员能力要求。
- 数据安全过程包括数据生存周期安全过程和通用安全过程;
- 数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。
-数据采集:指在组织机构内部系统中新生成数据,以及从外部收集数据的阶段。-数据传输:指数据在组织机构内部从一个实体通过网络流动到另一个实体的阶段。-数据存储:指数据以任何数字格式进行物理存储或云存储的阶段。-数据处理:指组织机构在内部针对数据进行计算、分析、可视化等操作的阶段。-数据交换:指数据由组织机构与外部组织机构及个人交互的阶段。-数据销毁:指通过对数据及数据的存储介质通过相应的操作手段,使数据彻底消除且无法通过任何手段恢复的过程。
DSMM标准的适用范围非常广泛,没有行业的限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM,包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。
申请什么级别主要依据企业的实际情况来判断,没有硬性规定初次申请级别的限制。大部分组织适合申请DSMM2级,DSMM3级适合具有较高数据安全实践水平的组织申请,DSMM4级适合在数据安全领域建设水平领先的组织申请,DSMM5级暂不开放申请。资产保护:企业通过数据安全认证可建立完善数据安全体系,制定全面合理的数据安全制度流程及管理措施,提高企业数据安全保护意识,保障企业数据资产安全。
风险防控:数据安全能力体系的建设,不仅拥有应对数据风险发生时的防护能力,更能从源头对风险进行防控,降低数据安全事故发生的概率。合规要求:《数据安全法》《个人信息保护法》等相关法律法规相继出台,对企业数据安全建设提出了要求,数据安全认证可帮助企业满足相关法律法规要求,落实责任义务。政策扶持:随着相关法律法规完善,各地区政府鼓励当地企业组织建立数据安全合规体系,并提供政策扶持。宣传推广:组织通过数据安全认证,结合数据安全体系建设的经验,可形成行业最佳实践,扩大行业知名度,带动行业发展。核心竞争力:通过数据安全认证的企业,可作为高度受信的数据拥有方及数据服务提供方,提升自身核心竞争力,为企业客户提供安全的数据服务。
DSMM评估方式主要包括人员访谈、文档审核、配置检查、工具测试、旁站式验证等方式,具体情况如下:文档审核:由被评价组织输入与数据安全相关的文档材料(如数据安全的方针政策、制度规范流程、培训教育材料、以及与产品技术相关的设计实施方案、配置说明、运行记录和其他配套表单)、审核小组审核相关的文档材料是否已涵盖完整数据生存周期的PA和控制项。配置检查:根据被审核方提供的技术材料,登陆相关的系统工具平台,检査配置是否与材料保持一致,对文档审核内容进行核实。工具测试:利用技术工具对系统工具进行测试,验证是否符合数据安全成熟度模型特定等级的技术能力要求,也可采信第三方的测试报告。旁站式验证:审核人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全意识、业务操作、管理程序等方面的安全情况。人员访谈:通过访谈的方式与被审核方进行交流、讨论等活动,获取相关证据,了解有关信息。
张敏
点击图片查看原图