DSMM 数据安全能力成熟度模型
DSMM 简介
DSMM(Data Security Capability Maturity Mode, 数据安全能力成熟度模型)是阿里巴巴和中国电子技术标准化研究院在大量实践和研究的基础上, 联合三十多家企事业单位共同研究制定的。国家标准委于2019年8月30日正式发布了《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)。
该标准能够用来衡量一个组织的数据安全能力成熟度水平,可以帮助行业、企业和组织发现数据安全能力短板,相关主管部门也可以用于数据安全管理,根据数据安全能力水平高低决定企业拥有数据的类型和范围,最终提升全社会的数据安全水平和行业竞争力, 确保大数据产业及数字经济的发展。一句话总结:本标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。
DSMM 架构
DSMM 的架构由以下三个维度构成:
安全能力维度
安全能力维度明确了组织在数据安全领域应具备的能力。包括组织建设、制度流程、技术工具和人员能力。
能力成熟度等级维度
组织的数据安全能力成熟度等级划分为五级,具体包括:1级(非正式执行级),2级(计划跟踪级),3 级(充分定义级),4级(量化控制级),5级(持续优化级),具体如下表:
数据安全过程维度
- 数据安全过程包括数据生存周期安全过程和通用安全过程;
- 数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。
四大安全能力
组织建设:指数据安全组织的架构建立、职责分配和沟通协作。组织可分为决策层、管理层和执行 层等三层结构。其中,决策层由参与业务发展决策的高管和数据安全官组成,制定数据安全的目标和愿景,在业务发展和数据安全之间做出良好的平衡;管理层是数据安全核心实体部门及业务部门管理层组成,负责制定数据安全策略和规划,及具体管理规范;执行层由数据安全相关运营、技术和各业务部门接口人组成,负责保证数据安全工作推进落地。
制度流程:指数据安全具体管理制度体系的建设和执行,包括数据安全方针和总纲、数据安全管理规范、数据安全操作指南和作业指导,以及相关模板和表单等。
技术工具:指与制度流程相配套并保证有效执行的技术和工具,可以是独立的系统平台、工具、功能或算法技术等。需要综合所有安全域进行整体规划和实现,且要和组织的业务系统和信息系统等进行衔接。包括适用于所有安全域的通用技术工具,和部分阶段或安全域试用的技术工具。
人员能力:指为实现以上组织、制度和技术工具的建设和执行其人员应具备的能力。核心能力包括数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力。根据不同数据安全能力 建设维度匹配不同人员能力要求。
能力成熟度等级维度
L1非正式执行:执行非正式过程,随机、无序、被动执行安全过程,依赖个人经验,无法复制。
L2计划跟踪:在业务系统级别主动实现了安全过程的计划与执行,但没有形成体系化,可验证过程执行与计划一致,跟踪、控制执行的进展。
L3充分定义:在组织级别实现了安全过程的规范执行,标准过程进行制度化,过程可重复执行,执行结果可核查。
L4量化控制:建立了量化目标,安全过程可度量。
L5持续优化:根据组织的整体目标,不断改进和优化组织能力和安全过程有效性。
| 数据安全能力成熟度等级 | 共性特征 | 说明 |
|---|---|---|
| 等级1: 非正式执行 | 执行BP: 组织在数据安全过程中不能有效地执行相关工作,仅在部分业务执行过程中根据临时的需求执行了相关工作,未形成成熟的机制保证相关工作的持续有效进行,执行相关工作的人员未达到相应能力。所执行的过程称为“非正式过程” | 随机、无序、被动地执行安全过程,依赖于个人经验,无法复制 |
| 等级2:计划跟踪 | 1.规划执行:对安全过程进行规划,提前分配资源和责任。 2.规范执行:对安全过程进行控制,使用执行计划、执行基于标准和程序的过程.对数据安全过程实施配置管理。 3.验证执行:确认过程按预定的方式执行,验证过程的执行与计划是一致的。 4.跟踪执行:控制数据安全过程执行的进展,通过可测量的计划跟踪过程的执行,当过程实践与计划产生重大偏离时采取修正行动 |
在此务系统级别主动 地实现了安全过程的 计划与执行.但没有形 成体系化 |
| 等级3:充分定义 | 1.定义标准过程:组织对标准过程进行制度化,为组织定义标准化的过程文档,为满足特定用途对标准过程进行裁剪。 2.执行已定义的过程:充分定义的过程是可重复执行的,并使用过程执行的结果数据,对有缺陷的过程结果和安全实践进行核查。 3.协调安全实践:确定业务系统内、各业务系统之间、组织外部活动的协调机制 |
在组织级别实现了安 全过程的规范执行 |
| 等级4:量化控制 | 1.建立可测的安全目标:为组织的数据安全建立可测量目标。 2.客观地管理执行:确定过程能力的量化测量,使用量化测量管理安全过程,并以量化测量作为修正行动的基础 |
建立了量化冃标,安全 过程可度量 |
| 等级5:持续优化 | 1.改进组织能力:在整个组织范围内对规程的使用进行比较,寻找改进规程的机会,并进行改进。 2.改进过程有效性:制定处于持续改进状态下的规程,对规程的缺陷进行消除,并对规程进行持续改进 |
根据组织的整体目标, 不断改进和优化安全过程 |
七大数据安全过程维度
数据安全过程维度则从两个层面考量:
数据安全过程包括数据生存周期安全过程和通用安全过程;
数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。
数据采集:指在组织机构内部系统中新生成数据,以及从外部收集数据的阶段。
数据传输:指数据在组织机构内部从一个实体通过网络流动到另一个实体的阶段。
数据存储:指数据以任何数字格式进行物理存储或云存储的阶段。
数据处理:指组织机构在内部针对数据进行计算、分析、可视化等操作的阶段。
数据交换:指数据由组织机构与外部组织机构及个人交互的阶段。
数据销毁:指通过对数据及数据的存储介质通过相应的操作手段,使数据彻底消除且无法通过任何手段恢复的过程。
DCMM 和 DSMM
DCMM(数据管理能力成熟度评估模型)
DCMM 《数据管理能力成熟度评估模型》,是我国在数据管理领域首个正式发布的国家标准。DCMM标准以组织为评估对象,DCMM数据管理能力成熟度评估模型定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期八个核心能力域及28个能力项,并以组织、制度、流程和技术作为八个核心域评价维度。帮助企业利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。
DSMM(数据安全能力成熟度模型)
DSMM 是 Data Security capability MaturityModel 的缩写,中文名为数据安全能力成熟度模型。是以2019-08-30 发布,2020-03-01 实施的GB/T 37988-2019 《信息安全技术数据安全能力成熟度模型》为依据的数据安全保护体系。DSMM标准是以组织为评估对象,用来衡量一个组织的数据安全能力成熟度水平,聚焦数据全生命周期的防护,从四个安全能力维度提出分级要求,帮助组织打造与业务贴合紧密的数据安全架构,根据数据安全能力水平高低决定企业拥有数据的类型和范围,最终提升全社会的数据安全水平和行业竞争力, 确保大数据产业及数字经济的发展。
能力成熟度等级评估流程
数据安全能力成熟度等级的评估从组织建设、制度流程、技术工具和人员能力 4 个关键能力展开。通过对各项安全过程所需具备安全能力的评估,可评估组织在每项安全过程的实现能力属于哪一等级。
对能力成熟度等级的详细评估流程如下∶
