DSMM数据安全能力成熟度

DSMM数据安全能力成熟度
DSMM数据安全能力成熟度

DSMM数据安全能力成熟度

DSMM是Data Security capability MaturityModel的缩写,中文名为数据安全能力成熟度模型。是以2019-08-30 发布,2020-03-01 实施的GB/T 37988-2019 《信息安全技术数据安全能力成熟度模型》为依据的数据安全保护体系。
数据安全能力成熟度认证(DSMM)依据国标《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)的相关内容,围绕数据生存周期过程中经历的多个阶段及数据通用安全,从组织建设、制度流程、技术工具、人员能力共四个维度对企业数据安全能力进行评估。该标准可作为一套方法理论,为企业在建设数据安全体系过程中提供指南,帮助组织发现自身数据安全存在的问题,识别差距并制定相关策略,建立完善数据安全体系,最终提升行业竞争力,满足国家法规责任落实要求。标准涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践,目前该标准已在金融、医疗、公共通信和信息服务等多个领域落地使用。

DSMM的架构由四个安全能力维度、七个安全过程维度、五个安全能力等级构成。
四个安全能力维度:组织建设、制度流程、技术工具、人员能力;
七个安全过程维度:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全,共计30个过程域;
五个安全能力等级:从低到高依次1至5级。
DSMM标准的适用范围非常广泛,没有行业的限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM,包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。

申报意义

发展要求
随着信息技术的发展,人类社会已经进入数字时代,数据的指数级增长已经成为常态。数据具有极大的价值变现特点,世界各国都强烈意识到数据的重要性。然而,数据的价值变现、有效利用的前提是数据是安全的,所以,数据安全的保护能力,是数据有效利用的基础。
法规要求
中共中央、国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,数据首次被作为要素写入《意见》,加强数据资源整合和安全保护,探索建立统一规范的数据管理制度。从国家层面,制定了相关法律法规,明确要求要合规、合法、有效的做好数据安全的保护。
管理要求
促进组织机构了解并提升自身的数据安全水平,从数据生命周期的角度出发,结合各类数据业务发展所体现的安全需求开展数据安全保障工作,企业在高速发展的过程中,需要提高自身数据安全管理能力,匹配相应的管理资源,让组织的数据资源得到有效、合理、合规的保护。
技术要求
保障数据在组织机构之间安全地交换与共享,充分发挥数据的价值,打造更安全的大数据应用环境。数据作为企业最具有核心价值的资产,一直以来是网络安全工作的重点,所有的安全工作也都是围绕数据安全开展的。DSMM是对数据全生命周期进行安全防护,提高数据安全保护能力。

申报流程

  • 2022050702204210
    差距分析阶段
    企业数据安全管理水平调研,并依据标准做差距分析,为能力建设做准备。
  • 2022050702204927
    咨询辅导贯标
    标准讲解、审核要点难点讲解分析、审核前企业需准备材料,进行标准宣贯。
  • 2022050702205890
    能力建设阶段
    辅导企业进行数据安全能力建设,指导企业运行数据安全管理能力成熟度模型。
  • 2022050702210680
    机构现场审核
    DSMM数据安全管理能力成熟度授权审核机构审核员对申报企业进行审核。
  • 2022050702211183
    认证证书发放
    数据安全管理能力成熟度审核机构对通过现场审核的企业颁发相应等级证书。

等级划分

  • L1非正式执行
    主要特点:数据安全工作是随机、无序、被动执行的,依赖与个人,经验无法复制。
    组织在数据安全领域未执行有效的相关工作,仅在部分场景或项目的临时需求执行相关工作,未形成成熟的机制,来保障数据安全相关工作的持续开展。
  • L2计划跟踪
    主要特点:在项目级别主动实现了安全过程的计划与执行,没有形成体系化。
    规划执行,对数据安全过程进行规划,提前分配资源和责任;
    规范化执行,对安全过程进行控制,使用安全执行计划,执行相关标准和程序的过程,对数据安全过程实施配置管理;
    验证执行,确认过程按照预定的方式执行,验证执行过程与可应用的计划是一致的,对数据安全过程进行审计;
    跟踪执行,控制数据安全项目的进展,通过可测量的计划跟踪过程执行,当过程实践与计划产生重大的偏离时采取修正行动。
  • L3充分定义
    主要特点:在组织级别实现了安全过程的规范定义和执行。
    定义标准过程,组织对标准过程进行制度化,形成标准化过程文档,为满足特定用途对标准过程进行裁剪;
    执行已定义的过程,充分定义的过程可重复执行,针对有缺陷的过程结果和安全实践的核查,使用过程执行的结果数据;
    协调安全实践,对业务系统和组织的协调,确定业务系统内,各业务系统之间、组织外部活动的协调机制。
  • L4量化控制
    主要特点:建立了量化目标,安全过程可量化度量和预测。
    建立可测的目标,为组织数据安全建立可测量的目标;
    客观的管理执行,确定过程能力的量化测量来管理安全过程,以量化测量作为修正行动的基础。
  • L5持续优化
    主要特点:根据组织的整理战略和目标,不断改进和优化数据安全过程。
    改进组织能力,在整个组织范围内的标准过程使用情况进行比较,寻找改进标准过程的机会,分析对标准过程的可能变更。
    改进过程有效性,制定处于连续受控改进状态下的标准过程,提出消除标准过程产生缺陷的原因和持续改进的标准过程。

评级要点

DSMM模型将数据生命周期分为了数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁六大阶段,40个过程域(PA),其中包含16个通用安全过程域,和24个数据生命周期各阶段安全过程域,如下图所示:
DSMM的评价方法主要是评分制,先对每个过程域(PA)的四个能力维度(BP)进行打分,再通过计算平均分、修正分值的方式得到最终的PA分值,最终得到整体的综合得分。
其中重要关注以下几点:
1、组织建设
—— 数据安全组织架构对组织业务的适应性;
—— 数据安全组织架构承担的工作职责的明确性;
—— 数据安全组织架构运作、协调、沟通的有效性;
2、制度流程
—— 数据生命周期的关键控制节点授权审批流程的明确性;
—— 相关流程、制度的制定、发布、修订的规范性;
—— 安全要求及落地执行的一致性和有效性。
3、技术与工具
—— 数据安全技术在数据全生命周期过程中的使用情况,针对数据安全风险的检测及相应能力;
—— 利用技术工具对数据安全工作的自动化和持续支持能力,对数据安全制度流程的固化执行能力。
4、人员能力
—— 数据安全人员所具备的安全技能是否能满足复合型能力要求;
—— 数据安全人员的数据安全意识以及关键数据安全岗位员工的数据安全能力培养。