IT資質(zhì)
qualifications
-
全國客戶(hù)服務(wù)熱線(xiàn)
138-2352-8464
DSMM數據安全能力成熟度模型
什么是DSMM?
數據安全能力成熟度模型(Data Security Capability Maturity Mode,簡(jiǎn)稱(chēng)DSMM)是阿里巴巴和中國電子技術(shù)標準化研究院在大量實(shí)踐和研究的基礎上,聯(lián)合三十多家企事業(yè)單位共同研究制定的。國家標準委于2019年8月30日正式發(fā)布了《信息安全技術(shù) 數據安全能力成熟度模型》(GB/T 37988-2019)。該標準能夠用來(lái)衡量一個(gè)組織的數據安全能力成熟度水平,可以幫助行業(yè)、企業(yè)和組織發(fā)現數據安全能力短板,相關(guān)主管部門(mén)也可以用于數據安全管理,根據數據安全能力水平高低決定企業(yè)擁有數據的類(lèi)型和范圍,最終提升全社會(huì )的數據安全水平和行業(yè)競爭力,確保大數據產(chǎn)業(yè)及數字經(jīng)濟的發(fā)展。
為什么開(kāi)展DSMM?
DSMM 標準可為組織在不同階段,開(kāi)展數據保護建設,提供分級別的實(shí)踐指南。通過(guò)實(shí)施DSMM評估,可以:
- 1、促進(jìn)組織機構了解并提升自身的數據安全水平,從數據生命周期的角度出發(fā),結合各類(lèi)數據業(yè)務(wù)發(fā)展所體現的安全需求開(kāi)展數據安全保障工作;
- 2、保障數據在組織機構之間安全地交換與共享,充分發(fā)揮數據的價(jià)值,打造更安全的大數據應用環(huán)境。
辦理DSMM認證的流程產(chǎn)品介紹
Step1:差距分析——Step2:能力建設——Step3:測量評估。
數據安全能力成熟度模型架構主要有三個(gè)方面:
1.五個(gè)等級包括:非正式執行級、計劃跟蹤級、充分定義級、量化控制級、持續優(yōu)化級,形成一個(gè)三維立體模型,全方面對數據安全進(jìn)行能力建設。
2.四大安全能力維度包括:組織建設、制度流程、技術(shù)工具、人員能力;
3.七大數據安全過(guò)程維度包括:數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷(xiāo)毀安全、通用安全);
基于大數據環(huán)境下數據在組織機構業(yè)務(wù)中的流轉情況,定義數據生命周期的6個(gè)階段,具體各階段的定義如下:
1.數據采集:指在組織機構內部系統中新生成數據,以及從外部收集數據的階段。
2.數據傳輸:指數據在組織機構內部從一個(gè)實(shí)體通過(guò)網(wǎng)絡(luò )流動(dòng)到另一個(gè)實(shí)體的階段。
3.數據存儲:指數據以任何數字格式進(jìn)行物理存儲或云存儲的階段。
4.數據處理:指組織機構在內部針對數據進(jìn)行計算、分析、可視化等操作的階段。
5.數據交換:指數據由組織機構與外部組織機構及個(gè)人交互的階段。
6.數據銷(xiāo)毀:指通過(guò)對數據及數據的存儲介質(zhì)通過(guò)相應的操作手段,使數據徹底消除且無(wú)法通過(guò)任何手段恢復的過(guò)程。
DSMM每個(gè)級別有什么區別
DSMM等級劃分與核心特點(diǎn)如下:
L1非正式執行:執行非正式過(guò)程,隨機、無(wú)序、被動(dòng)執行安全過(guò)程,依賴(lài)個(gè)人經(jīng)驗,無(wú)法復制。
L2計劃跟蹤:在業(yè)務(wù)系統級別主動(dòng)實(shí)現了安全過(guò)程的計劃與執行,但沒(méi)有形成體系化,可驗證過(guò)程執行與計劃一致,跟蹤、控制執行的進(jìn)展。
L3充分定義:在組織級別實(shí)現了安全過(guò)程的規范執行,標準過(guò)程進(jìn)行制度化,過(guò)程可重復執行,執行結果可核查。
L4量化控制:建立了量化目標,安全過(guò)程可度量。
L5持續優(yōu)化:根據組織的整體目標,不斷改進(jìn)和優(yōu)化組織能力和安全過(guò)程有效性。
初次申請DSMM可以申請幾級
申請什么級別主要依據企業(yè)的實(shí)際情況來(lái)判斷,沒(méi)有硬性規定初次申請級別的限制。大部分組織適合申請DSMM2級,DSMM3級適合具有較高數據安全實(shí)踐水平的組織申請,DSMM4級適合在數據安全領(lǐng)域建設水平領(lǐng)先的組織申請,DSMM5級暫不開(kāi)放申請。
DSMM評價(jià)方法
DSMM的評價(jià)方法主要是評分制,先對每個(gè)過(guò)程域(PA)的四個(gè)能力維度(BP)進(jìn)行打分,再通過(guò)計算平均分、修正分值的方式得到最終的PA分值,最終得到整體的綜合得分。
哪些企業(yè)適合申請DSMM
DSMM標準的適用范圍非常廣泛,沒(méi)有行業(yè)的限制,對數據安全有需求、關(guān)注自身數據安全能力建設情況的組織均適合申請DSMM,包括但不限于數據運營(yíng)組織、數據處理組織、數據服務(wù)提供組織等。
申請DSMM,企業(yè)需要哪些部門(mén)和角色的參與
涉及到的相關(guān)部門(mén)主要有數據安全管理部門(mén)、信息安全部門(mén)、信息科技部門(mén)、數據管理部門(mén)、業(yè)務(wù)條線(xiàn)部門(mén)(業(yè)務(wù)主管、業(yè)務(wù)處理)、風(fēng)險管理部門(mén)、法務(wù)部門(mén)、人力資源部門(mén)、內控合規部門(mén)、審計部門(mén)等。
證書(shū)