目录
个人资料
主要内容
DSMM评估流程
DSMM的评价方法
简介国家标准GB/T 37988-2019 《信息安全技术 数据安全能力成熟度模型》由全国信息安全标准化技术委员会(TC 260 )提交,于2019年8月30日正式发布,自2020年3月1日起实施。 该标准由阿里巴巴、中电子技术标准化研究院、华为、中国移动、天融信等30多个企事业单位共同研究制定。
基于此标准提出的数据安全能力成熟度模型(DSMM ),评估数据的整个生命周期,可以帮助组织发现数据管理中存在的问题,识别差距,制定相关战略,实现数据安全治理系统
主要内容的DSMM不仅是标准,也是方法论,借鉴能力成熟度模型(CMM )的思想,DSMM标准以数据为中心,以整个数据生命周期和数据共同安全为中心,从组织建设、制度流程、技术工具、人员能力四个方面对数据进行分级
图1:DSMM体系结构图
如图1所示,DSMM是由3个大块构成:
1、安全能力维度
明确了组织在数据安全领域应具备的能力。 指组织、制度、人员、工具四个核心要素,四个要素是递归关系。 首先,组织和制度是企业开展数据管理工作的前提,其次,人员和工具是执行数据管理工作的手段。
2、能力成熟度水平维度
分为五级,基于统一的等级标准,等级越高,数据安全能力要求越高,三级是各企业的基础目标。
3、数据安全流程维度
数据安全过程包括与数据安全生命周期过程通用的安全过程。 安全过程分为30个过程域(PA ),每个PA由一些基本实践(BP )组成,只有满足PA中的所有BP,该PA才能满足要求。
图2:DSMM标准系统
xmind链接: https://pan.Baidu.com/s/1o7ibozpejxhpplbdfc6y-g提取代码: 2skz
如图2所示:
1、PA体系为数据安全生存周期过程和通用安全过程3358 www.Sina.com/http://www.Sina.com/3358 www.Sina.com/http://ww.com
2、数据安全生存周期过程代表从数据生成到销毁的http://www.Sina.com/http://www.Sina.com /,分别是数据的收集、传输、存储、处理、交换、销毁,是组织特有的
3、各流程域(PA )分为http://www.Sina.com/http://www.Sina.com /,一级至五级分别为非正式执行级、计划跟踪级、充分定义级、量化控制级等级越高,要求越高。
4、各级从http://www.Sina.com/http://www.Sina.com /提出具体要求,分为组织建设、制度流程、技术工具、人员能力,除三级外,所有级别都不是全部
要求包含全部4个安全能力,比如PA01数据分级分类,其中1级只对企业制度流程有要求,仅3级对全部四个安全能力有要求。对于每个安全域PA,高等级的能力要求应包括所有低等级的能力要求,比如PA01数据分级分类4级仅对技术工具有要求,未涉及到其他能力要求,但默认应达到3级,2级,1级的除技术工具能力要求外的其他所有能力要求。同理,对于每个安全域PA 的每个级别,需要同时满足本级别和所有低于该级别的BP的要求,才能达到本级别的能力水平,依此类推。DSMM评估流程
在具体实践中,企业应根据自身情况灵活运用DSMM方法论进行评估,如果业务复杂,一般按照不同的业务部门,分别进行评估,确定评估范围,确定各部门的安全责任人,配合沟通实施,流程如下(如图3所示):
图3 DSMM使用步骤
1、明确目标成熟度等级
组织机构应首先明确其数据安全能力的目标成熟度等级。3级目标适用于所有具备数据安全保障需求的组织机构作为自己的短期目标/长期目标,具备了3级的数据安全能力则意味着组织机构能够针对数据安全的各方面风险进行有效的控制。对于大部分企业而言,其短期目标可先定位为2级,待达到2级的目标之后再进一步提升到3级的能力,层层递进。
2、选取适用的安全过程域
确定目标成熟度等级后,组织机构应根据自身情况选取适用于自己的数据域PA。比如有些企业数据在内部流通,无需向外发布数据,则可以剔除数据生命周期中 数据交换阶段 的PA16 数据发布安全,不列入评估范围内。
3、进行安全能力评估
基于对成熟度模型内容的理解,识别数据安全能力现状,这是最为关键的一步,需要与各部门沟通,对所选取安全域(PA)中的具体安全项(基本实践BP)进行符合性判定,并输出相关表格,比如《XX系统数据活动场景调研》、《XX系统数据场景建模》、《XX系统数据安全基本情况调研》、《XX安全能力调研表》、《XX系统PA评估表》等。DSMM评估方法见最后一节,其中,对4个安全能力的评估方法如下:
1) 组织建设:评估是否具有开展工作的专职/兼职岗位、团队或人员,其工作职责是否通过规范要求或其他手段得到确认和保障;
2) 制度流程:检查是否有关键数据安全领域的制度规范和流程及其在组织机构内的落地执行情况;
3) 技术工具:检查组织机构内的各项安全技术手段、通过产品工具固化安全要求或自动化的安全作业的实施运作情况;
4) 人员能力:执行数据安全工作的人员是否经过专业的技能和安全意识教育培训。
4、识别与目标等级的差距
识别出企业自身数据安全能力现状后,参照《PA评估表》(如图4),分析与目标能力等级之间的差异。
图4 PA评估表
5、制定改进计划
识别企业现况与目标等级的差异后,制定数据安全能力的整改提升计划。而伴随着组织机构业务的发展变化,组织机构也需要定期复核,明确自己的目标成熟度等级,然后开始新一轮目标达成的工作。
DSMM评估方法DSMM 的评估所采用的方式与基线风险评估的方式类似,可以包括但不限于以下几种手段:
1) 人员访谈:通过访谈的方式与被评估方进行交流、讨论等活动,获取相关证据,了解有关信息;
2) 文档审核:由被评估方输入与数据安全相关的文档材料(如数据安全的方针政策、制度规范流程、培训教育材料、以及与产品技术相关的设计实施方案、配置说明、运行记录和其他 配套表单),评估小组审核相关的文档材料是否已涵盖完整数据生存周期的PA和控制项;
3) 配置检查:根据被评估方提供的技术材料,登录相关的系统工具平台,检查配置是否与材料保持一致,对文档审核内容进行核实;
4) 工具测试:利用技术工具对系统工具进行测试,验证是否符合数据安全成熟度模型特定等级的技术能力要求;
5) 旁站式验证:评估人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全意识、业务操作、管理程序等方面的安全情况。
其中,某些技术文档工具能帮助我们记录每个安全域PA所包含的基本实践BP的符合程度,确定每个PA的成熟度等级,再采用“木桶原理”或“最多原则”或“加权平均”等方式,得出最终评估等级,可直观清晰的展示组织机构的数据安全能力状况,识别其中的差距,并提出相关改进建议。
但这种工具笔者还没有,网上看了一下,要钱,果然天下没有免费的饭。
不过没关系,今年10月份,中国电子技术标准化研究院上线了一款数据安全能力成熟度评估工具,为机构提供在线数据安全能力成熟度自评估服务,还挺热乎,关键还是免费。
(访问网址:https://dsmm.cesidsat.com)