《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)、簡(jiǎn)稱DSMM(Data Security Maturity Model)于2019年正式成為國標(biāo)并對(duì)外發(fā)布。
該標(biāo)準(zhǔn)旨在助力提升全社會(huì)、全行業(yè)的數(shù)據(jù)安全水位,其發(fā)布也填補(bǔ)了行業(yè)在數(shù)據(jù)安全能力成熟度評(píng)估標(biāo)準(zhǔn)方面的空白,為組織機(jī)構(gòu)評(píng)估自身數(shù)據(jù)安全能力,提供了科學(xué)依據(jù)和參考。
此國標(biāo)于2020年3月起正式實(shí)施,正式發(fā)布前,這項(xiàng)標(biāo)準(zhǔn)已在全國23個(gè)行業(yè)、40多家企業(yè)試點(diǎn)。
“數(shù)據(jù)安全是組織機(jī)構(gòu)信息安全體系的重要環(huán)節(jié),然而許多組織機(jī)構(gòu)并不充分了解自身的數(shù)據(jù)安全能力,行業(yè)內(nèi)缺乏一套評(píng)估組織機(jī)構(gòu)數(shù)據(jù)安全能力的標(biāo)準(zhǔn)規(guī)范。”阿里巴巴集團(tuán)數(shù)據(jù)安全總監(jiān)徐駿稱,DSMM能夠幫助各行業(yè)、組織機(jī)構(gòu)基于統(tǒng)一標(biāo)準(zhǔn)來評(píng)估其數(shù)據(jù)安全能力,發(fā)現(xiàn)數(shù)據(jù)安全能力短板,查漏補(bǔ)缺,最終提升互聯(lián)網(wǎng)行業(yè)的整體安全管理水平和產(chǎn)業(yè)競(jìng)爭(zhēng)力,促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。
阿里巴巴基于自身數(shù)據(jù)安全實(shí)踐,沉淀總結(jié)了數(shù)據(jù)安全能力成熟度模型,根據(jù)數(shù)據(jù)生命周期,從組織建設(shè)、制度流程、技術(shù)工具、人員能力四方面評(píng)估數(shù)據(jù)安全能力等級(jí),助力提升行業(yè)整體數(shù)據(jù)安全水平。
該標(biāo)準(zhǔn)是基于阿里巴巴多年的數(shù)據(jù)安全實(shí)踐,形成行業(yè)共識(shí)后提煉總結(jié)。阿里巴巴標(biāo)準(zhǔn)化部總經(jīng)理朱紅儒介紹,DSMM也充分參考了國際上相關(guān)標(biāo)準(zhǔn)和經(jīng)驗(yàn),根據(jù)數(shù)據(jù)生命周期,從組織建設(shè)、制度流程、技術(shù)工具、人員能力四方面評(píng)估數(shù)據(jù)安全能力等級(jí)。
標(biāo)準(zhǔn)將數(shù)據(jù)安全能力分為“非正式執(zhí)行”、“計(jì)劃跟蹤”、“充分定義”、“量化控制”和“持續(xù)優(yōu)化”5個(gè)等級(jí),第三等級(jí)是各個(gè)企業(yè)的基礎(chǔ)目標(biāo),等級(jí)越高,代表被測(cè)評(píng)的組織機(jī)構(gòu)數(shù)據(jù)安全能力越強(qiáng)。
本標(biāo)準(zhǔn)基于大數(shù)據(jù)環(huán)境下電子化數(shù)據(jù)在組織機(jī)構(gòu)業(yè)務(wù)場(chǎng)景中的數(shù)據(jù)生命周期,從組織建設(shè)、制度流程、技術(shù)工具以及人員能力四個(gè)方面構(gòu)建了數(shù)據(jù)安全過程的規(guī)范性數(shù)據(jù)安全能力成熟度分級(jí)模型及其評(píng)估方法。本標(biāo)準(zhǔn)適用于組織機(jī)構(gòu)數(shù)據(jù)安全能力的自身評(píng)估,也適用于第三方機(jī)構(gòu)對(duì)組織機(jī)構(gòu)的數(shù)據(jù)安全保障能力進(jìn)行評(píng)估。本標(biāo)準(zhǔn)借鑒能力成熟度模型(CMM)的思想,以CMM的通用實(shí)踐來衡量能力成熟度等級(jí),以《要求》中的安全要求為基礎(chǔ),定義數(shù)據(jù)安全過程域和基本實(shí)踐,指導(dǎo)組織機(jī)構(gòu)如何持續(xù)達(dá)到所對(duì)應(yīng)的安全要求。
本標(biāo)準(zhǔn)主要根據(jù)《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》(以下簡(jiǎn)稱為《要求》)中的數(shù)據(jù)安全要求對(duì)組織機(jī)構(gòu)?供的數(shù)據(jù)安全能力?出評(píng)估的模型框架及方法論。《要求》中定義了大數(shù)據(jù)服務(wù)?供者應(yīng)具有的組織相關(guān)基礎(chǔ)安全能力和數(shù)據(jù)生命周期相關(guān)的數(shù)據(jù)服務(wù)安全能力,本標(biāo)準(zhǔn)針對(duì)《要求》中定義的每個(gè)安全要求定義基本實(shí)踐,并根據(jù)本標(biāo)準(zhǔn)定義的成熟度等級(jí)的通用實(shí)踐,對(duì)基本實(shí)踐進(jìn)行等級(jí)評(píng)估。
本標(biāo)準(zhǔn)闡述了數(shù)據(jù)安全能力評(píng)估的成熟度模型及方法論,在過程域?qū)用媾c《要求》完全一致,在基本實(shí)踐層面與《要求》進(jìn)行映射,兩標(biāo)準(zhǔn)可以相互支撐調(diào)用。《要求》中定義了大數(shù)據(jù)服務(wù)?供者?供大數(shù)據(jù)服務(wù)所需要滿足的基線要求,本標(biāo)準(zhǔn)定義了組織機(jī)構(gòu)持續(xù)實(shí)現(xiàn)安全過程、滿足安全要求的能力等級(jí)的評(píng)估方法,來指導(dǎo)組織機(jī)構(gòu)?升自身的數(shù)據(jù)安全能力水平。
數(shù)據(jù)安全能力成熟度模型(DS-CMM)的模型架構(gòu)由以下三方面構(gòu)成(如圖1所示):
——數(shù)據(jù)生命周期安全:圍繞數(shù)據(jù)生命周期,?煉出大數(shù)據(jù)環(huán)境下,以數(shù)據(jù)為中心,針對(duì)數(shù)據(jù)生命周期各階段建立的相關(guān)數(shù)據(jù)安全過程域體系。
——安全能力維度:明確組織機(jī)構(gòu)在各數(shù)據(jù)安全領(lǐng)域所需要具備的能力維度,明確為組織建設(shè)、制度流程、技術(shù)工具和人員能力四個(gè)關(guān)鍵能力的維度。
——能力成熟度等級(jí):基于統(tǒng)一的分級(jí)標(biāo)準(zhǔn),細(xì)化組織機(jī)構(gòu)在各數(shù)據(jù)安全過程域的五個(gè)級(jí)別的能力成熟度分級(jí)要求。
數(shù)據(jù)生命周期安全
基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織機(jī)構(gòu)業(yè)務(wù)中的流轉(zhuǎn)情況,定義數(shù)據(jù)生命周期的6個(gè)階段,具體各階段的定義如下:
——數(shù)據(jù)采集:指在組織機(jī)構(gòu)內(nèi)部系統(tǒng)中新生成數(shù)據(jù),以及從外部收集數(shù)據(jù)的階段。
——數(shù)據(jù)傳輸:指數(shù)據(jù)在組織機(jī)構(gòu)內(nèi)部從一個(gè)實(shí)體通過網(wǎng)絡(luò)流動(dòng)到另一個(gè)實(shí)體的階段。
——數(shù)據(jù)存儲(chǔ):指數(shù)據(jù)以任何數(shù)字格式進(jìn)行物理存儲(chǔ)或云存儲(chǔ)的階段。
——數(shù)據(jù)處理:指組織機(jī)構(gòu)在內(nèi)部針對(duì)數(shù)據(jù)進(jìn)行計(jì)算、分析、可視化等操作的階段。
——數(shù)據(jù)交換:指數(shù)據(jù)由組織機(jī)構(gòu)與外部組織機(jī)構(gòu)及個(gè)人交互的階段。
——數(shù)據(jù)銷毀:指通過對(duì)數(shù)據(jù)及數(shù)據(jù)的存儲(chǔ)介質(zhì)通過相應(yīng)的操作手段,使數(shù)據(jù)徹底消除且無法通過任何手段恢復(fù)的過程。
組織機(jī)構(gòu)的數(shù)據(jù)安全能力成熟度模型分為五個(gè)成熟度等級(jí),一級(jí)是非正式執(zhí)行級(jí),二級(jí)是計(jì)劃跟蹤級(jí),三級(jí)是充分定義級(jí),四級(jí)是量化控制級(jí),五級(jí)是持續(xù)改進(jìn)級(jí)。能力級(jí)別從一級(jí)至五級(jí)逐級(jí)?高,標(biāo)志著組織機(jī)構(gòu)的數(shù)據(jù)安全保障能力的成熟度不斷?升。每個(gè)級(jí)別規(guī)定了對(duì)應(yīng)的公共特征和通用實(shí)踐。
安全能力維度
通過對(duì)各項(xiàng)安全過程所需具備安全能力的量化,可供組織機(jī)構(gòu)評(píng)估每項(xiàng)安全過程的實(shí)現(xiàn)能力。安全能力從組織建設(shè)、制度流程、技術(shù)工具及人員能力四個(gè)維度展開。
——組織建設(shè):數(shù)據(jù)安全組織機(jī)構(gòu)的架構(gòu)建立、職責(zé)分配和溝通協(xié)作。
——制度流程:組織機(jī)構(gòu)關(guān)鍵數(shù)據(jù)安全領(lǐng)域的制度規(guī)范和流程落地建設(shè)。
——技術(shù)工具:通過技術(shù)手段和產(chǎn)品工具固化安全要求或自動(dòng)化實(shí)現(xiàn)安全工作。
——人員能力:執(zhí)行數(shù)據(jù)安全工作的人員的意識(shí)及專業(yè)能力。
目前DSMM的評(píng)估機(jī)構(gòu)除了數(shù)據(jù)安全認(rèn)證(貴州)有限公司以外,賽寶、中國信通院也都獲取了評(píng)估資格,并可在國家認(rèn)監(jiān)委官網(wǎng)進(jìn)行公示!
中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊,包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識(shí)。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)跟我們聯(lián)系刪除并致歉!
