内容简介:前言:笔者所在公司有幸作为首批十家试点单位之一,受邀参加国家标准《DSMM 数据安全能力成熟度模型》(报批稿)(以下简称 DSMM)的试点自评估项目,并作为试点企业代表参加了信安标委召开的试点工作总结会;下面分享下我们对 DSMM 标准的一些理解和试点体会。DSMM 标准以数据为中心,重点围绕数据生命周期,从组织建设、制度流程、技术工具和人员能力四个方面进行安全保障。DSMM 标准关注企业自身业务产生的数据和与外部第三方组织交互的数据,以衡量组织机构的数据安全能力,促进组织机构了解并提升自身的数据安全水平。
前言:笔者所在公司有幸作为首批十家试点单位之一,受邀参加国家标准《DSMM 数据安全能力成熟度模型》(报批稿)(以下简称 DSMM)的试点自评估项目,并作为试点企业代表参加了信安标委召开的试点工作总结会;下面分享下我们对 DSMM 标准的一些理解和试点体会。
一、什么是 DSMM
DSMM 标准以数据为中心,重点围绕数据生命周期,从组织建设、制度流程、技术 工具 和人员能力四个方面进行安全保障。
DSMM 标准关注企业自身业务产生的数据和与外部第三方组织交互的数据,以衡量组织机构的数据安全能力,促进组织机构了解并提升自身的数据安全水平。
DSMM 标准原文数据安全能力成熟度模型架构如图 1 如示:
图 1:数据安全能力成熟度模型架构图
PS:本文对 DSMM 标准的介绍如无特别说明,均依据 2018.11.09 报批稿版本。
如图 1 所示,DSMM 标准包括:
4 大安全能力维度(组织建设、制度流程、技术工具、人员能力);
7 大数据安全过程维度(数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全);
5级(从低到高依次 1-5 级),DSMM 标准对不同等级进行了定义和描述,3 级标准共计 282 个评估项。
7大过程维度又可细分为共 30 个过程域,7 大过程维度与 30 个过程域对应关系如图 2 所示:
图 2:数据安全过程域体系(点击查看大图)
如图 2 所示,每个过程域均划分为 5 级,每级从 4 个安全能力维度(组织建设、制度流程、技术工具、人员能力)提出具体的能力要求;
并非每级均包含完整的 4 个维度的能力要求,如图 2 所示,在 6.1 PA01 PA01 数据分类分级这一过程域中,仅 3 级要求包含完整的 4 个维度的要求;
对于每个数据安全过程域,高等级的能力要求包括所有低等级能力要求,针对某一具体数据安全过程域,如果 5 级的能力要求中未涉及某一关键能力的内容,则默认需达成在 4 级的能力要求中的该关键能力的内容,依此内推。
DSMM 标准和 ISO27000 标准、等保标准有何相同,又有何不同?
等保标准以备案系统为主要评估对象,偏向传统基础安全管理,侧重于物理安全、网络安全、安全建设管理等方面的安全保护。
ISO27000 侧重于信息安全管理体系的建设,作为体系化的指导文件帮助企业建立、实施和文件化信息安全管理体系(ISMS)的要求。
DSMM 强调数据保护,以数据为中心,在数据备份、数据销毁等方面与等保和 ISO27000 有重合,但是 DSMM 关注的数据采集、溯源、分析等视角,等保和 ISO27000 均未涉及,DSMM 对制度流程的要求均建立在具体的数据保护过程之上,DSMM 还强调对人员能力的评估。
DSMM 标准与等保一样有分级的概念,但关注的是数据整个生命周期的安全控制,与业务贴合更紧密。
DSMM 可以给企业带来什么好处
DSMM 标准可为组织机构在不同阶段,开展数据保护建设,提供分级别的基本实践。
二、如何开展 DSMM 评估
DSMM 评估的是整个组织机构的数据成熟能力,不局限于某一系统,如果公司业务复杂,数据规模较大,建议按照业务部门进行拆分,逐个击破。我们在 DSMM 标准评估过程中评估流程如下。
在具体实践中,我们按照不同的业务部门,分别进行评估。首先敲定各业务部门的负责人,由该负责人辅助评估过程中的资源协调工作。然后我们与各部门负责人一起梳理基本业务流程,结合 DSMM 的过程域,按照线上生产数据和线下离线数据两条线,确定各过程域的访谈部门和访谈人员,随着评估工作的开展,具体访谈人员会持续增加。
DSMM 实际访谈对象主要为开发和 IT 人员,包括开发、DBA、桌面等公共团队,也涉及到对产品、运营、HR、业务等岗位人员的访谈评估。
因为评估项较多,评估人员需仔细研读 DSMM 的评估项,提前对评估项进行总结归纳,信安标委后续提供的在线自评估工具也可作为评估辅助工具。
为了工作更高效开展,在开展 DSMM 评估之前,我们编制了 DSMM 评估工具检查表,如图 3 所示:
图 3:DSMM Assessment Tool 截图(点击查看大图)
三、DSMM 评估过程中可能遇到的问题
DSMM 评估结果,与评估人员对标准的理解有很大关系,如何更好的理解 DSMM 的要求并很好的传达给被评估人员?
建议:评估人员对标准进行归纳提炼,参考 DSMM 评估指南进行理解消化,与被评估人员进行交流时进行发散引导,不宜直接照本宣读 DSMM 的评估项。
DSMM 评估结果,受限于评估覆盖的范围和深度,以及被评估人员的配合情况
建议:评估人员应提前做好相关准备,提前了解业务基本情况和基本工具,做到心中有数,访谈范围尽量全面;选择被访谈对象时尽量选择熟悉业务场景的资深人员,对访谈者反馈的情况需进行基本验证,如现场查看、文档查阅等。
总体来说,DSMM 标准为企业的数据生命周期的安全提供了比较好的实践要求,但是目前 DSMM 标准报批稿也存在着一些小问题,如部分评估项晦涩难懂或者冗长或者描述不清晰,企业的数据成熟能力需要达到什么级别,该级别对企业又意味着什么,目前的评估指南与 DSMM 评估标准也存在差距。相信在信安标委正式发布该标准时,以上问题会得到有效解决,会有更清晰详细的评估指南和工具指导企业进行落地评估。
*本文原创作者:Rainbow2019,本文属FreeBuf原创奖励计划,未经许可禁止转载
以上所述就是小编给大家介绍的《DSMM数据安全能力成熟度模型试点评估实践体会》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!
猜你喜欢:
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
The Nature of Code
Daniel Shiffman / The Nature of Code / 2012-12-13 / GBP 19.95
How can we capture the unpredictable evolutionary and emergent properties of nature in software? How can understanding the mathematical principles behind our physical world help us to create digital w......一起来看看 《The Nature of Code》 这本书的介绍吧!
