《信息安全技術 數據安全能力成熟度模型》(GB/T 37988-2019)、簡稱DSMM(Data Security Maturity Model)于2019年正式成為國標并對外發布。
該標準旨在助力提升全社會、全行業的數據安全水位,其發布也填補了行業在數據安全能力成熟度評估標準方面的空白,為組織機構評估自身數據安全能力,提供了科學依據和參考。
此國標于2020年3月起正式實施,正式發布前,這項標準已在全國23個行業、40多家企業試點。
“數據安全是組織機構信息安全體系的重要環節,然而許多組織機構并不充分了解自身的數據安全能力,行業內缺乏一套評估組織機構數據安全能力的標準規范。”阿里巴巴集團數據安全總監徐駿稱,DSMM能夠幫助各行業、組織機構基于統一標準來評估其數據安全能力,發現數據安全能力短板,查漏補缺,最終提升互聯網行業的整體安全管理水平和產業競爭力,促進數字經濟發展。
阿里巴巴基于自身數據安全實踐,沉淀總結了數據安全能力成熟度模型,根據數據生命周期,從組織建設、制度流程、技術工具、人員能力四方面評估數據安全能力等級,助力提升行業整體數據安全水平。
該標準是基于阿里巴巴多年的數據安全實踐,形成行業共識后提煉總結。阿里巴巴標準化部總經理朱紅儒介紹,DSMM也充分參考了國際上相關標準和經驗,根據數據生命周期,從組織建設、制度流程、技術工具、人員能力四方面評估數據安全能力等級。
標準將數據安全能力分為“非正式執行”、“計劃跟蹤”、“充分定義”、“量化控制”和“持續優化”5個等級,第三等級是各個企業的基礎目標,等級越高,代表被測評的組織機構數據安全能力越強。
本標準基于大數據環境下電子化數據在組織機構業務場景中的數據生命周期,從組織建設、制度流程、技術工具以及人員能力四個方面構建了數據安全過程的規范性數據安全能力成熟度分級模型及其評估方法。本標準適用于組織機構數據安全能力的自身評估,也適用于第三方機構對組織機構的數據安全保障能力進行評估。本標準借鑒能力成熟度模型(CMM)的思想,以CMM的通用實踐來衡量能力成熟度等級,以《要求》中的安全要求為基礎,定義數據安全過程域和基本實踐,指導組織機構如何持續達到所對應的安全要求。
本標準主要根據《信息安全技術 大數據服務安全能力要求》(以下簡稱為《要求》)中的數據安全要求對組織機構?供的數據安全能力?出評估的模型框架及方法論。《要求》中定義了大數據服務?供者應具有的組織相關基礎安全能力和數據生命周期相關的數據服務安全能力,本標準針對《要求》中定義的每個安全要求定義基本實踐,并根據本標準定義的成熟度等級的通用實踐,對基本實踐進行等級評估。
本標準闡述了數據安全能力評估的成熟度模型及方法論,在過程域層面與《要求》完全一致,在基本實踐層面與《要求》進行映射,兩標準可以相互支撐調用。《要求》中定義了大數據服務?供者?供大數據服務所需要滿足的基線要求,本標準定義了組織機構持續實現安全過程、滿足安全要求的能力等級的評估方法,來指導組織機構?升自身的數據安全能力水平。
數據安全能力成熟度模型(DS-CMM)的模型架構由以下三方面構成(如圖1所示):
——數據生命周期安全:圍繞數據生命周期,?煉出大數據環境下,以數據為中心,針對數據生命周期各階段建立的相關數據安全過程域體系。
——安全能力維度:明確組織機構在各數據安全領域所需要具備的能力維度,明確為組織建設、制度流程、技術工具和人員能力四個關鍵能力的維度。
——能力成熟度等級:基于統一的分級標準,細化組織機構在各數據安全過程域的五個級別的能力成熟度分級要求。
數據生命周期安全
基于大數據環境下數據在組織機構業務中的流轉情況,定義數據生命周期的6個階段,具體各階段的定義如下:
——數據采集:指在組織機構內部系統中新生成數據,以及從外部收集數據的階段。
——數據傳輸:指數據在組織機構內部從一個實體通過網絡流動到另一個實體的階段。
——數據存儲:指數據以任何數字格式進行物理存儲或云存儲的階段。
——數據處理:指組織機構在內部針對數據進行計算、分析、可視化等操作的階段。
——數據交換:指數據由組織機構與外部組織機構及個人交互的階段。
——數據銷毀:指通過對數據及數據的存儲介質通過相應的操作手段,使數據徹底消除且無法通過任何手段恢復的過程。
組織機構的數據安全能力成熟度模型分為五個成熟度等級,一級是非正式執行級,二級是計劃跟蹤級,三級是充分定義級,四級是量化控制級,五級是持續改進級。能力級別從一級至五級逐級?高,標志著組織機構的數據安全保障能力的成熟度不斷?升。每個級別規定了對應的公共特征和通用實踐。
安全能力維度
通過對各項安全過程所需具備安全能力的量化,可供組織機構評估每項安全過程的實現能力。安全能力從組織建設、制度流程、技術工具及人員能力四個維度展開。
——組織建設:數據安全組織機構的架構建立、職責分配和溝通協作。
——制度流程:組織機構關鍵數據安全領域的制度規范和流程落地建設。
——技術工具:通過技術手段和產品工具固化安全要求或自動化實現安全工作。
——人員能力:執行數據安全工作的人員的意識及專業能力。
目前DSMM的評估機構除了數據安全認證(貴州)有限公司以外,賽寶、中國信通院也都獲取了評估資格,并可在國家認監委官網進行公示!
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
