DSMM数据安全能力成熟度模型试点评估实践体会

栏目: 编程工具 · 发布时间: 5年前

内容简介:前言:笔者所在公司有幸作为首批十家试点单位之一,受邀参加国家标准《DSMM 数据安全能力成熟度模型》(报批稿)(以下简称 DSMM)的试点自评估项目,并作为试点企业代表参加了信安标委召开的试点工作总结会;下面分享下我们对 DSMM 标准的一些理解和试点体会。DSMM 标准以数据为中心,重点围绕数据生命周期,从组织建设、制度流程、技术工具和人员能力四个方面进行安全保障。DSMM 标准关注企业自身业务产生的数据和与外部第三方组织交互的数据,以衡量组织机构的数据安全能力,促进组织机构了解并提升自身的数据安全水平。

前言:笔者所在公司有幸作为首批十家试点单位之一,受邀参加国家标准《DSMM 数据安全能力成熟度模型》(报批稿)(以下简称 DSMM)的试点自评估项目,并作为试点企业代表参加了信安标委召开的试点工作总结会;下面分享下我们对 DSMM 标准的一些理解和试点体会。

一、什么是 DSMM

DSMM 标准以数据为中心,重点围绕数据生命周期,从组织建设、制度流程、技术 工具 和人员能力四个方面进行安全保障。

DSMM 标准关注企业自身业务产生的数据和与外部第三方组织交互的数据,以衡量组织机构的数据安全能力,促进组织机构了解并提升自身的数据安全水平。

DSMM 标准原文数据安全能力成熟度模型架构如图 1 如示:

DSMM数据安全能力成熟度模型试点评估实践体会

图 1:数据安全能力成熟度模型架构图

PS:本文对 DSMM 标准的介绍如无特别说明,均依据 2018.11.09 报批稿版本。

如图 1 所示,DSMM 标准包括:

4 大安全能力维度(组织建设、制度流程、技术工具、人员能力);

7 大数据安全过程维度(数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全);

5级(从低到高依次 1-5 级),DSMM 标准对不同等级进行了定义和描述,3 级标准共计 282 个评估项。

7大过程维度又可细分为共 30 个过程域,7 大过程维度与 30 个过程域对应关系如图 2 所示:

DSMM数据安全能力成熟度模型试点评估实践体会

图 2:数据安全过程域体系(点击查看大图)

如图 2 所示,每个过程域均划分为 5 级,每级从 4 个安全能力维度(组织建设、制度流程、技术工具、人员能力)提出具体的能力要求;

并非每级均包含完整的 4 个维度的能力要求,如图 2 所示,在 6.1 PA01 PA01 数据分类分级这一过程域中,仅 3 级要求包含完整的 4 个维度的要求;

对于每个数据安全过程域,高等级的能力要求包括所有低等级能力要求,针对某一具体数据安全过程域,如果 5 级的能力要求中未涉及某一关键能力的内容,则默认需达成在 4 级的能力要求中的该关键能力的内容,依此内推。

DSMM 标准和 ISO27000 标准、等保标准有何相同,又有何不同?

等保标准以备案系统为主要评估对象,偏向传统基础安全管理,侧重于物理安全、网络安全、安全建设管理等方面的安全保护。

ISO27000 侧重于信息安全管理体系的建设,作为体系化的指导文件帮助企业建立、实施和文件化信息安全管理体系(ISMS)的要求。

DSMM 强调数据保护,以数据为中心,在数据备份、数据销毁等方面与等保和 ISO27000 有重合,但是 DSMM 关注的数据采集、溯源、分析等视角,等保和 ISO27000 均未涉及,DSMM 对制度流程的要求均建立在具体的数据保护过程之上,DSMM 还强调对人员能力的评估。

DSMM 标准与等保一样有分级的概念,但关注的是数据整个生命周期的安全控制,与业务贴合更紧密。

DSMM 可以给企业带来什么好处

DSMM 标准可为组织机构在不同阶段,开展数据保护建设,提供分级别的基本实践。

二、如何开展 DSMM 评估

DSMM 评估的是整个组织机构的数据成熟能力,不局限于某一系统,如果公司业务复杂,数据规模较大,建议按照业务部门进行拆分,逐个击破。我们在 DSMM 标准评估过程中评估流程如下。

DSMM数据安全能力成熟度模型试点评估实践体会

在具体实践中,我们按照不同的业务部门,分别进行评估。首先敲定各业务部门的负责人,由该负责人辅助评估过程中的资源协调工作。然后我们与各部门负责人一起梳理基本业务流程,结合 DSMM 的过程域,按照线上生产数据和线下离线数据两条线,确定各过程域的访谈部门和访谈人员,随着评估工作的开展,具体访谈人员会持续增加。

DSMM 实际访谈对象主要为开发和 IT 人员,包括开发、DBA、桌面等公共团队,也涉及到对产品、运营、HR、业务等岗位人员的访谈评估。

因为评估项较多,评估人员需仔细研读 DSMM 的评估项,提前对评估项进行总结归纳,信安标委后续提供的在线自评估工具也可作为评估辅助工具。

为了工作更高效开展,在开展 DSMM 评估之前,我们编制了 DSMM 评估工具检查表,如图 3 所示:

DSMM数据安全能力成熟度模型试点评估实践体会

图 3:DSMM Assessment Tool 截图(点击查看大图)

三、DSMM 评估过程中可能遇到的问题

DSMM 评估结果,与评估人员对标准的理解有很大关系,如何更好的理解 DSMM 的要求并很好的传达给被评估人员?

建议:评估人员对标准进行归纳提炼,参考 DSMM 评估指南进行理解消化,与被评估人员进行交流时进行发散引导,不宜直接照本宣读 DSMM 的评估项。

DSMM 评估结果,受限于评估覆盖的范围和深度,以及被评估人员的配合情况

建议:评估人员应提前做好相关准备,提前了解业务基本情况和基本工具,做到心中有数,访谈范围尽量全面;选择被访谈对象时尽量选择熟悉业务场景的资深人员,对访谈者反馈的情况需进行基本验证,如现场查看、文档查阅等。

总体来说,DSMM 标准为企业的数据生命周期的安全提供了比较好的实践要求,但是目前 DSMM 标准报批稿也存在着一些小问题,如部分评估项晦涩难懂或者冗长或者描述不清晰,企业的数据成熟能力需要达到什么级别,该级别对企业又意味着什么,目前的评估指南与 DSMM 评估标准也存在差距。相信在信安标委正式发布该标准时,以上问题会得到有效解决,会有更清晰详细的评估指南和工具指导企业进行落地评估。

*本文原创作者:Rainbow2019,本文属FreeBuf原创奖励计划,未经许可禁止转载


以上所述就是小编给大家介绍的《DSMM数据安全能力成熟度模型试点评估实践体会》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

轻公司

轻公司

李黎、杜晨 / 中信出版社 / 2009-7 / 39.00元

《轻公司》解读了在互联网和IT技术越来越充裕的环境里,传统的商业法则是如何被打破,而新的商业法则如何建立起来的过程。大量生动翔实的采访,为我们构筑了互联网和IT技术影响下的未来商业趋势。李黎和杜晨在《IT经理世界》上发表了一篇封面报道《轻公司》后,迅速在传统行业及互联网行业产生极大反响,无论是老牌的传统企业、创业公司、风险投资商,都视这篇文章为新商业宝典,甚至有业界人士评价,这篇文章拯救了中国的电......一起来看看 《轻公司》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

URL 编码/解码
URL 编码/解码

URL 编码/解码

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具