目录
简介
国家标准GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》由全国信息安全标准化技术委员会(TC 260)提出并归口,2019年8月30日正式发布,2020年3月1日开始实施。该标准由阿里巴巴、中电子技术标准化研究院、华为、中国移动、天融信等三十多家企事业单位共同研究制定。
依据该标准提出的数据安全能力成熟度模型(DSMM),对数据的整个生命周期进行评估,能够帮助组织发现自身数据管理存在的问题,识别差距并制定相关策略,建立数据安全治理体系,最终提升数据安全水平和行业竞争力。
主要内容
DSMM不仅是一套标准,也是一套方法论,借鉴能力成熟度模型(CMM)的思想,DSMM标准以数据为中心,围绕数据的整个生命周期及数据通用安全,从组织建设、制度流程、技术工具、人员能力4个方面对数据进行定级评估,从而提高自身数据安全水平,总的来说,DSMM标准涵盖4维度、5级别、6阶段、30过程域和576能力实践。
图1:DSMM架构图
如图1所示,DSMM由三大块组成:
1、安全能力维度
明确了组织在数据安全领域应具备的能力。指的是组织、制度、人员和工具四个核心要素,四个要素是递进关系。首先,组织和制度是企业开展数据治理工作的前提,其次,人员和工具是落实数据管理工作的手段。
2、能力成熟度等级维度
划分为五级,基于统一的分级标准,级别越高,数据安全能力要求越高,第3级是各个企业的基础目标。
3、数据安全过程维度
数据安全过程包括数据安全生存周期过程与通用安全过程。安全过程可分为30个过程域(PA),每一个PA由一些基本实践(BP)组成,只有满足PA中所有的BP,该PA才算符合要求。
图2:DSMM标准体系
xmind链接:https://pan.baidu.com/s/1o7IbOzPejXHpPlBdFC6y-g 提取码:2skz
如图2所示:
1、PA体系分为数据安全生存周期过程与通用安全过程2部分,共包含30个过程域(PA),576个基本实践(BP)。
2、数据安全生存周期过程代表着数据从产生到销毁的6个阶段,分别是数据采集、传输、存储、处理、交换、销毁,组织特定的生命周期由实际业务决定,无需经历完整的6个阶段。
3、每个过程域(PA)都划分为5个级别,1到5级分别是非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级。等级越高,要求越高。
4、每级从4个安全能力维度提出具体要求,分为是组织建设、制度流程、技术工具、人员能力,除了3级,并非每个级别都要求包含全部4个安全能力,比如PA01数据分级分类,其中1级只对企业制度流程有要求,仅3级对全部四个安全能力有要求。对于每个安全域PA,高等级的能力要求应包括所有低等级的能力要求,比如PA01数据分级分类4级仅对技术工具有要求,未涉及到其他能力要求,但默认应达到3级,2级,1级的除技术工具能力要求外的其他所有能力要求。同理,对于每个安全域PA 的每个级别,需要同时满足本级别和所有低于该级别的BP的要求,才能达到本级别的能力水平,依此类推。
DSMM评估流程
在具体实践中,企业应根据自身情况灵活运用DSMM方法论进行评估,如果业务复杂,一般按照不同的业务部门,分别进行评估,确定评估范围,确定各部门的安全责任人,配合沟通实施,流程如下(如图3所示):
图3 DSMM使用步骤
1、明确目标成熟度等级
组织机构应首先明确其数据安全能力的目标成熟度等级。3级目标适用于所有具备数据安全保障需求的组织机构作为自己的短期目标/长期目标,具备了3级的数据安全能力则意味着组织机构能够针对数据安全的各方面风险进行有效的控制。对于大部分企业而言,其短期目标可先定位为2级,待达到2级的目标之后再进一步提升到3级的能力,层层递进。
2、选取适用的安全过程域
确定目标成熟度等级后,组织机构应根据自身情况选取适用于自己的数据域PA。比如有些企业数据在内部流通,无需向外发布数据,则可以剔除数据生命周期中 数据交换阶段 的PA16 数据发布安全,不列入评估范围内。
3、进行安全能力评估
基于对成熟度模型内容的理解,识别数据安全能力现状,这是最为关键的一步,需要与各部门沟通,对所选取安全域(PA)中的具体安全项(基本实践BP)进行符合性判定,并输出相关表格,比如《XX系统数据活动场景调研》、《XX系统数据场景建模》、《XX系统数据安全基本情况调研》、《XX安全能力调研表》、《XX系统PA评估表》等。DSMM评估方法见最后一节,其中,对4个安全能力的评估方法如下:
1) 组织建设:评估是否具有开展工作的专职/兼职岗位、团队或人员,其工作职责是否通过规范要求或其他手段得到确认和保障;
2) 制度流程:检查是否有关键数据安全领域的制度规范和流程及其在组织机构内的落地执行情况;
3) 技术工具:检查组织机构内的各项安全技术手段、通过产品工具固化安全要求或自动化的安全作业的实施运作情况;
4) 人员能力:执行数据安全工作的人员是否经过专业的技能和安全意识教育培训。
4、识别与目标等级的差距
识别出企业自身数据安全能力现状后,参照《PA评估表》(如图4),分析与目标能力等级之间的差异。
图4 PA评估表
5、制定改进计划
识别企业现况与目标等级的差异后,制定数据安全能力的整改提升计划。而伴随着组织机构业务的发展变化,组织机构也需要定期复核,明确自己的目标成熟度等级,然后开始新一轮目标达成的工作。
DSMM评估方法
DSMM 的评估所采用的方式与基线风险评估的方式类似,可以包括但不限于以下几种手段:
1) 人员访谈:通过访谈的方式与被评估方进行交流、讨论等活动,获取相关证据,了解有关信息;
2) 文档审核:由被评估方输入与数据安全相关的文档材料(如数据安全的方针政策、制度规范流程、培训教育材料、以及与产品技术相关的设计实施方案、配置说明、运行记录和其他 配套表单),评估小组审核相关的文档材料是否已涵盖完整数据生存周期的PA和控制项;
3) 配置检查:根据被评估方提供的技术材料,登录相关的系统工具平台,检查配置是否与材料保持一致,对文档审核内容进行核实;
4) 工具测试:利用技术工具对系统工具进行测试,验证是否符合数据安全成熟度模型特定等级的技术能力要求;
5) 旁站式验证:评估人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全意识、业务操作、管理程序等方面的安全情况。
其中,某些技术文档工具能帮助我们记录每个安全域PA所包含的基本实践BP的符合程度,确定每个PA的成熟度等级,再采用“木桶原理”或“最多原则”或“加权平均”等方式,得出最终评估等级,可直观清晰的展示组织机构的数据安全能力状况,识别其中的差距,并提出相关改进建议。
但这种工具笔者还没有,网上看了一下,要钱,果然天下没有免费的饭。
不过没关系,今年10月份,中国电子技术标准化研究院上线了一款数据安全能力成熟度评估工具,为机构提供在线数据安全能力成熟度自评估服务,还挺热乎,关键还是免费。
(访问网址:https://dsmm.cesidsat.com)
1170
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
