DSMM数据安全能力成熟度模型总结与交流

*本文作者：LJ_Monica，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。

最近在搞DSMM，问了很多人，也没有具体的、系统的、完整的落地实施方案，也都是在摸石头过河，所以根据自己的理解简单总结下吧。如果哪位朋友在这方面做了一些工作或者对这个感兴趣的，可以一起交流下。

DSMM（Data security capability maturity model）数据安全能力成熟度模型，由阿里巴巴作为主要起草单位编制的一份关于数据安全管理的标准，目前是报批稿状态，即将成为国家标准。反观现在大规模数据泄露事件不断发生，对用户个人和企业都造成了恶劣的影响，导致经济损失，甚至有生命危险，DSMM必将成为各企业数据安全建设的依据指南。

DSMM借鉴能力成熟度模型（CMM）的思想，将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术 工具 、人员能力四个安全能力维度的建设进行综合考量。DSMM划分成了1-5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。

下图为引用的标准的模型图：

组织建设：数据安全组织机构的架构建立、职责分配和沟通协作。（数据安全治理的领导决策机构）

制度流程：组织机构数据安全领域的制度规范和流程执行。（数据安全治理的指南）

技术工具：通过技术手段和产品工具落实安全要求或自动化实现安全工作。（数据安全治理的具体实现）

人员能力：执行数据安全工作的人员的安全意识及相关专业能力。（数据安全治理的相关人员）

下图为引用的标准的等级描述：

数据生命周期各阶段

数据采集阶段：组织机构内部系统中新产生数据，以及从外部系统收集数据的阶段。

数据传输阶段：数据从一个实体通过网络流动到另一个实体的阶段。

数据存储阶段：数据以任何数字格式进行物理存储或云存储的阶段。

数据处理阶段：组织机构在内部针对数据进行计算、分析、可视化等操作的阶段。

数据交换阶段：组织机构与组织机构及个人进行数据交互的阶段。

数据销毁阶段：通过对数据及数据存储介质通过相应的操作手段，使数据彻底消除且无法通过任何手段恢复的过程。

注：各个企业在进行DSMM落地时可根据具体的业务场景决定需要经历的生命周期阶段，不一定都会完整经历六个，也可以把其中的阶段进行合并。

每个阶段又细分了几个过程域，再加上一些通用的过程域就构成了数据安全过程域体系，见下图（引用）

在这里我想对标准的起草者提个意见，图中把PA14数据导入导出安全归到了数据处理安全阶段，但是在下面的具体阐述中，又把PA14数据导入导出安全归到了数据交换安全阶段，希望起草者能看到并给个合理解释。我个人理解应归到数据交换安全，然后我们也是这么归类的。

数据作为企业最具有核心价值的资产，一直以来是网络安全工作的重点，所有的安全工作也都是围绕数据安全开展的。DSMM是对数据全生命周期进行安全防护，提高数据安全保护能力，如果都能很好地落地，那么对企业数据安全能力将是极大地提升。

从DSMM的体系来看，在数据安全领域需要“组织-制度-工具-人”这四类能力结合才能更好地实现数据安全治理，当然其他安全这个一个层次架构应用到其他安全方面也是可行的。组织和领导重视安全是第一位，我在甲方安全建设规划那篇文章的讨论区中和很多人都讨论了领导的作用，领导不重视，你就得不到应有的资源支持，所有的规划和理想都只是泡影；再说制度和工具，有人说“三分技术，七分管理”，也有人说“三分管理，七分技术”，这大概是做管理和做技术人互相争夺存在感的一个说辞吧，就好像在论坛中有人说“PHP是世界上最好的开发语言”，马上就会有人站出来不服气，认为 Java 、C、C++等等是最好的开发语言，我认为不应该厚此薄彼，应该五五开（瞬间想到某鱼游戏主播），两者同等重要，管理是技术的指导，技术是管理的实现，要想做的好，两者皆不可少；最后谈下人，这就涉及太多了，我还记得好像是2017年ISC大会的主题就是“人，是安全的尺度”，安全本质是人与人的对抗，同时人也是影响安全的重要因素，人员的能力决定了安全的高度，人员的意识决定了安全的水平。集齐这四种因素就可以召唤神龙了，就可以将DSMM做好了。

今天就是先简单的聊下DSMM这么个东西，针对具体的生命周期阶段中应该完成的工作内容放在后续的文章中吧。

也希望有DSMM具体落地的或感兴趣的朋友来一起交流，共同提高！

*本文作者：LJ_Monica，本文属 FreeBuf 原创奖励计划，未经许可禁止转载。