賽鵬資訊 | DSMM數(shù)據(jù)安全能力成熟度模型【解讀】
發(fā)布人:超級管理員 發(fā)布時間:2022-04-09
一���、DSMM模型簡介
數(shù)據(jù)安全能力成熟度模型(DS-CMM,或DSMM)是由是阿里巴巴和中國電子技術(shù)標準化研究院在大量實踐和研究的基礎(chǔ)上�����,聯(lián)合三十多家企事業(yè)單位共同研究制定的。DSMM一份關(guān)于數(shù)據(jù)安全管理的標準���,目前是報批稿狀態(tài),即將成為國家標準��。
DSMM借鑒能力成熟度模型(CMM)的思想�,將數(shù)據(jù)按照其生命周期分階段采用不同的能力評估等級����,分為數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全�、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全��、數(shù)據(jù)交換安全�����、數(shù)據(jù)銷毀安全六個階段�。DSMM從組織建設(shè)���、制度流程���、技術(shù)工具�����、人員能力四個安全能力維度的建設(shè)進行綜合考量�����。DSMM將數(shù)據(jù)安全成熟度劃分成了1-5個等級�����,依次為非正式執(zhí)行級��、計劃跟蹤級�、充分定義級�、量化控制級、持續(xù)優(yōu)化級��,形成一個三維立體模型��,全方面對數(shù)據(jù)安全進行能力建設(shè)���。
主要特點:數(shù)據(jù)安全工作是隨機�、無序、被動執(zhí)行的���,依賴與個人�����,經(jīng)驗無法復(fù)制�����。組織在數(shù)據(jù)安全領(lǐng)域未執(zhí)行有效的相關(guān)工作�,僅在部分場景或項目的臨時需求執(zhí)行相關(guān)工作���,未形成成熟的機制����,來保障數(shù)據(jù)安全相關(guān)工作的持續(xù)開展����。主要特點:在項目級別主動實現(xiàn)了安全過程的計劃與執(zhí)行,沒有形成體系化����。規(guī)劃執(zhí)行,對數(shù)據(jù)安全過程進行規(guī)劃��,提前分配資源和責(zé)任��;規(guī)范化執(zhí)行�����,對安全過程進行控制�����,使用安全執(zhí)行計劃��,執(zhí)行相關(guān)標準和程序的過程���,對數(shù)據(jù)安全過程實施配置管理�;驗證執(zhí)行���,確認過程按照預(yù)定的方式執(zhí)行����,驗證執(zhí)行過程與可應(yīng)用的計劃是一致的,對數(shù)據(jù)安全過程進行審計���;跟蹤執(zhí)行��,控制數(shù)據(jù)安全項目的進展��,通過可測量的計劃跟蹤過程執(zhí)行����,當(dāng)過程實踐與計劃產(chǎn)生重大的偏離時采取修正行動���。主要特點:在組織級別實現(xiàn)了安全過程的規(guī)范定義和執(zhí)行����。定義標準過程��,組織對標準過程進行制度化���,形成標準化過程文檔�����,為滿足特定用途對標準過程進行裁剪�����;執(zhí)行已定義的過程����,充分定義的過程可重復(fù)執(zhí)行�,針對有缺陷的過程結(jié)果和安全實踐的核查,使用過程執(zhí)行的結(jié)果數(shù)據(jù)����;協(xié)調(diào)安全實踐,對業(yè)務(wù)系統(tǒng)和組織的協(xié)調(diào)����,確定業(yè)務(wù)系統(tǒng)內(nèi),各業(yè)務(wù)系統(tǒng)之間��、組織外部活動的協(xié)調(diào)機制���。主要特點:建立了量化目標��,安全過程可量化度量和預(yù)測�。建立可測的目標,為組織數(shù)據(jù)安全建立可測量的目標�����;客觀的管理執(zhí)行���,確定過程能力的量化測量來管理安全過程��,以量化測量作為修正行動的基礎(chǔ)��。主要特點:根據(jù)組織的整理戰(zhàn)略和目標��,不斷改進和優(yōu)化數(shù)據(jù)安全過程�����。改進組織能力���,在整個組織范圍內(nèi)的標準過程使用情況進行比較,尋找改進標準過程的機會���,分析對標準過程的可能變更��。改進過程有效性���,制定處于連續(xù)受控改進狀態(tài)下的標準過程,提出消除標準過程產(chǎn)生缺陷的原因和持續(xù)改進的標準過程�����。DSMM模型將數(shù)據(jù)生命周期分為了數(shù)據(jù)采集��、數(shù)據(jù)傳輸�����、數(shù)據(jù)存儲����、數(shù)據(jù)處理、數(shù)據(jù)交換和數(shù)據(jù)銷毀六大階段���,40個過程域(PA)���,其中包含16個通用安全過程域,和24個數(shù)據(jù)生命周期各階段安全過程域,如下圖所示:
四���、數(shù)據(jù)安全能力構(gòu)成—— 數(shù)據(jù)安全組織架構(gòu)對組織業(yè)務(wù)的適應(yīng)性��;—— 數(shù)據(jù)安全組織架構(gòu)承擔(dān)的工作職責(zé)的明確性�����;—— 數(shù)據(jù)安全組織架構(gòu)運作�����、協(xié)調(diào)���、溝通的有效性�;—— 數(shù)據(jù)生命周期的關(guān)鍵控制節(jié)點授權(quán)審批流程的明確性;—— 相關(guān)流程�、制度的制定、發(fā)布����、修訂的規(guī)范性�;—— 安全要求及落地執(zhí)行的一致性和有效性�。—— 數(shù)據(jù)安全技術(shù)在數(shù)據(jù)全生命周期過程中的使用情況�,針對數(shù)據(jù)安全風(fēng)險的檢測及相應(yīng)能力;—— 利用技術(shù)工具對數(shù)據(jù)安全工作的自動化和持續(xù)支持能力�,對數(shù)據(jù)安全制度流程的固化執(zhí)行能力�����。—— 數(shù)據(jù)安全人員所具備的安全技能是否能滿足復(fù)合型能力要求;—— 數(shù)據(jù)安全人員的數(shù)據(jù)安全意識以及關(guān)鍵數(shù)據(jù)安全崗位員工的數(shù)據(jù)安全能力培養(yǎng)���。作為企業(yè)數(shù)據(jù)治理的一部分,數(shù)據(jù)安全管理重點建設(shè)內(nèi)容也分為“組織建設(shè)--制度流程--技術(shù)工具--人員能力”四個方面��,這點DSMM模型給了準確的描述�。DSMM模型從數(shù)據(jù)安全能力維度��、數(shù)據(jù)安全等級�、數(shù)據(jù)全生命周期安全形成了一個三位一體模型��,并且給出了非常詳細的評估內(nèi)容和評估項��。對于DSMM模型���,筆者給出以下幾點不成熟建議:1�、DSMM模型中將數(shù)據(jù)的生命分為周期劃分了六個階段���,分別是數(shù)據(jù)采集�、數(shù)據(jù)傳輸����、數(shù)據(jù)存儲、數(shù)據(jù)處理����、數(shù)據(jù)交換和數(shù)據(jù)銷毀。這里�,筆者不清楚DSMM模型作者是出于什么原因考慮的,在筆者看來數(shù)據(jù)的生命周期應(yīng)該從數(shù)據(jù)規(guī)劃算起����,分為數(shù)據(jù)規(guī)劃�����、數(shù)據(jù)設(shè)計�����、數(shù)據(jù)運營��、數(shù)據(jù)退役四大階段���,而數(shù)據(jù)的采集安全��、數(shù)據(jù)存儲安全�、數(shù)據(jù)傳輸安全、數(shù)據(jù)處理安全和數(shù)據(jù)銷毀安全是數(shù)據(jù)生命周期中的六個重要的數(shù)據(jù)安全控制點�����。結(jié)合數(shù)據(jù)生命周期和數(shù)據(jù)安全控制點����,形成數(shù)據(jù)全生命周期安全控制圖���,如下圖所示:
2、數(shù)據(jù)安全應(yīng)從源頭抓起��,在做數(shù)據(jù)規(guī)劃設(shè)計的時候��,需要將數(shù)據(jù)安全設(shè)計作為系統(tǒng)設(shè)計的一個重要部分��,描述出每項數(shù)據(jù)的結(jié)構(gòu)�����、數(shù)據(jù)來源���、敏感字段���、以及對應(yīng)的管理部門、維護人員�,做好數(shù)據(jù)安全認責(zé)。做好敏感數(shù)據(jù)的識別和分類�����、分級管理����,從數(shù)據(jù)的源頭抓起����,理清楚敏感數(shù)據(jù)的使用路徑��,從數(shù)據(jù)源到數(shù)據(jù)目的的全鏈路的控制和跟蹤����。3、針對DSMM模型�,作為一項信息安全的技術(shù)標準,目前還在研制階段����,還未正式發(fā)布�����。目前的DSMM評估指南�����,還存在一些瑕疵���,例如:評估項晦澀難懂����,描述不清晰等問題。希望在正式版本發(fā)出后���,這些問題能夠解決或改進�����。數(shù)據(jù)安全能力成熟度模型�����,關(guān)注于組織開展數(shù)據(jù)安全工作時應(yīng)具備的數(shù)據(jù)安全能力�����,定義數(shù)據(jù)安全保障的模型框架和方法論�,提出對組織的數(shù)據(jù)安全能力成熟度的分級評估方法����,來衡量自主的數(shù)據(jù)安全能力��,促進組織了解并提升自身的數(shù)據(jù)安全水平���,促進數(shù)據(jù)在組織機構(gòu)之間的交換與共享,發(fā)揮數(shù)據(jù)的價值����。DSMM模型借鑒了CMM思想將數(shù)據(jù)安全管理劃分了40個過程域(PA),160個評估項��,每個PA都從組織建設(shè)���、制度流程��、技術(shù)與工具�、人員能力四個維度進行能力成熟度的評估�����。國家信息安全標準技術(shù)委員會提供了數(shù)據(jù)安全的評估指南�����,可供企業(yè)進行數(shù)據(jù)安全能力評估時進行參考����。按照CMM的思想,企業(yè)在做數(shù)據(jù)安全能力成熟度評估時��,應(yīng)根據(jù)企業(yè)的自身的行業(yè)特點和安全需求對40個PA和相關(guān)評估項進行適當(dāng)裁剪�,以適應(yīng)企業(yè)自身的需求。在評估之前�,可以將評估過程域(PA)、成熟度等級和評估項結(jié)合起來�����,形成一個二維的《評估工具檢查表》�����。在具體的實踐中���,如果企業(yè)規(guī)模較大����、業(yè)務(wù)復(fù)雜�,可以根據(jù)按照不同的業(yè)務(wù)域進行拆分,逐個評估。企業(yè)進行數(shù)據(jù)安全能力的評估����,應(yīng)充分做好相關(guān)業(yè)務(wù)部門核心骨干的宣貫,讓參與評估的人員充分理解數(shù)據(jù)安全評估的價值�,并給予積極的配合,這樣才能取得一個相對準確的評估結(jié)果�。
上一篇:2022年3月ITSS認證三級名單
下一篇:中國電子信息行業(yè)聯(lián)合會 2022年第五批 擬授予信息系統(tǒng)建設(shè)和服務(wù)能力貫標企業(yè)名單公示
