J38uQ0T
DSMM是Data Security capability Maturity Model的縮寫,中文名為數據安全能力成熟度模型。是以2019-08-30
發布,2020-03-01 實施的GB/T
37988-2019《信息安全技術數據安全能力成熟度模型》為依據的數據安全保護體系。DSMM標準是以組織為評估對象,用來衡量一個組織的數據安全能力成熟度水平,聚焦數據全生命周期的防護,從四個安全能力維度提出分級要求,幫助組織打造與業務貼合緊密的數據安全架構,根據數據安全能力水平高低決定企業擁有數據的類型和范圍,最終提升全社會的數據安全水平和行業競爭力,確保大數據產業及數字經濟的發展。
本標準給出了組織數據安全能力的成熟度模型架構,規定了數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全的成熟度等級要求。
本標準適用于對組織數據安全能力進行評估,也可作為組織開展數據安全能力建設時的依據。
1、五個等級包括:
-L1非正式執行:執行非正式過程,隨機、無序、被動執行安全過程,依賴個人經驗,無法復制。-L2計劃跟蹤:在業務系統級別主動實現了安全過程的計劃與執行,但沒有形成體系化,可驗證過程執行與計劃一致,跟蹤、控制執行的進展。-L3充分定義:在組織級別實現了安全過程的規范執行,標準過程進行制度化,過程可重復執行,執行結果可核查。-L5持續優化:根據組織的整體目標,不斷改進和優化組織能力和安全過程有效性。
2、四大安全能力維度包括:
-組織建設:指數據安全組織的架構建立、職責分配和溝通協作。組織可分為決策層、管理層和執行層等三層結構。其中,決策層由參與業務發展決策的高管和數據安全官組成,制定數據安全的目標和愿景,在業務發展和數據安全之間做出良好的平衡;管理層是數據安全核心實體部門及業務部門管理層組成,負責制定數據安全策略和規劃,及具體管理規范;執行層由數據安全相關運營、技術和各業務部門接口人組成,負責保證數據安全工作推進落地。-制度流程:指數據安全具體管理制度體系的建設和執行,包括數據安全方針和總綱、數據安全管理規范、數據安全操作指南和作業指導,以及相關模板和表單等。-技術工具:指與制度流程相配套并保證有效執行的技術和工具,可以是獨立的系統平臺、工具、功能或算法技術等。需要綜合所有安全域進行整體規劃和實現,并且要和組織的業務系統和信息系統等進行銜接。包括適用于所有安全域的通用技術工具,和部分階段或安全域試用的技術工具。-人員能力:指為實現以上組織、制度和技術工具的建設和執行其人員應具備的能力。核心能力包括數據安全管理能力、數據安全運營能力、數據安全技術能力及數據安全合規能力。根據不同數據安全能力建設維度匹配不同人員能力要求。
- 數據安全過程包括數據生存周期安全過程和通用安全過程;
- 數據生存周期安全過程具體包括:數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全6個階段。
-數據采集:指在組織機構內部系統中新生成數據,以及從外部收集數據的階段。-數據傳輸:指數據在組織機構內部從一個實體通過網絡流動到另一個實體的階段。-數據存儲:指數據以任何數字格式進行物理存儲或云存儲的階段。-數據處理:指組織機構在內部針對數據進行計算、分析、可視化等操作的階段。-數據交換:指數據由組織機構與外部組織機構及個人交互的階段。-數據銷毀:指通過對數據及數據的存儲介質通過相應的操作手段,使數據徹底消除且無法通過任何手段恢復的過程。
DSMM標準的適用范圍非常廣泛,沒有行業的限制,對數據安全有需求、關注自身數據安全能力建設情況的組織均適合申請DSMM,包括但不限于數據運營組織、數據處理組織、數據服務提供組織等。
申請什么級別主要依據企業的實際情況來判斷,沒有硬性規定初次申請級別的限制。大部分組織適合申請DSMM2級,DSMM3級適合具有較高數據安全實踐水平的組織申請,DSMM4級適合在數據安全領域建設水平領先的組織申請,DSMM5級暫不開放申請。資產保護:企業通過數據安全認證可建立完善數據安全體系,制定全面合理的數據安全制度流程及管理措施,提高企業數據安全保護意識,保障企業數據資產安全。
風險防控:數據安全能力體系的建設,不僅擁有應對數據風險發生時的防護能力,更能從源頭對風險進行防控,降低數據安全事故發生的概率。合規要求:《數據安全法》《個人信息保護法》等相關法律法規相繼出臺,對企業數據安全建設提出了要求,數據安全認證可幫助企業滿足相關法律法規要求,落實責任義務。政策扶持:隨著相關法律法規完善,各地區政府鼓勵當地企業組織建立數據安全合規體系,并提供政策扶持。宣傳推廣:組織通過數據安全認證,結合數據安全體系建設的經驗,可形成行業最佳實踐,擴大行業知名度,帶動行業發展。核心競爭力:通過數據安全認證的企業,可作為高度受信的數據擁有方及數據服務提供方,提升自身核心競爭力,為企業客戶提供安全的數據服務。
DSMM評估方式主要包括人員訪談、文檔審核、配置檢查、工具測試、旁站式驗證等方式,具體情況如下:文檔審核:由被評價組織輸入與數據安全相關的文檔材料(如數據安全的方針政策、制度規范流程、培訓教育材料、以及與產品技術相關的設計實施方案、配置說明、運行記錄和其他配套表單)、審核小組審核相關的文檔材料是否已涵蓋完整數據生存周期的PA和控制項。配置檢查:根據被審核方提供的技術材料,登陸相關的系統工具平臺,檢査配置是否與材料保持一致,對文檔審核內容進行核實。工具測試:利用技術工具對系統工具進行測試,驗證是否符合數據安全成熟度模型特定等級的技術能力要求,也可采信第三方的測試報告。旁站式驗證:審核人員在現場通過實地觀察人員行為、技術設施和環境狀況判斷人員的安全意識、業務操作、管理程序等方面的安全情況。人員訪談:通過訪談的方式與被審核方進行交流、討論等活動,獲取相關證據,了解有關信息。
張敏
點擊圖片查看原圖