最近在搞DSMM,問了很多人,也沒有具體的、系統的、完整的落地實施方案,也都是在摸石頭過河,所以根據自己的理解簡單總結下吧。如果哪位朋友在這方面做了一些工作或者對這個感興趣的,可以一起交流下。
DSMM(Data security capability maturity model)數據安全能力成熟度模型,由阿里巴巴作為主要起草單位編制的一份關于數據安全管理的標準,目前是報批稿狀態,即將成為國家標準。反觀現在大規模數據泄露事件不斷發生,對用戶個人和企業都造成了惡劣的影響,導致經濟損失,甚至有生命危險,DSMM必將成為各企業數據安全建設的依據指南。
DSMM借鑒能力成熟度模型(CMM)的思想,將數據按照其生命周期分階段采用不同的能力評估等級,分為數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全六個階段。DSMM從組織建設、制度流程、技術工具、人員能力四個安全能力維度的建設進行綜合考量。DSMM劃分成了1-5個等級,依次為非正式執行級、計劃跟蹤級、充分定義級、量化控制級、持續優化級,形成一個三維立體模型,全方面對數據安全進行能力建設。
下圖為引用的標準的模型圖:
組織建設:數據安全組織機構的架構建立、職責分配和溝通協作。(數據安全治理的領導決策機構)
制度流程:組織機構數據安全領域的制度規范和流程執行。(數據安全治理的指南)
技術工具:通過技術手段和產品工具落實安全要求或自動化實現安全工作。(數據安全治理的具體實現)
人員能力:執行數據安全工作的人員的安全意識及相關專業能力。(數據安全治理的相關人員)
下圖為引用的標準的等級描述:
數據生命周期各階段
數據采集階段:組織機構內部系統中新產生數據,以及從外部系統收集數據的階段。
數據傳輸階段:數據從一個實體通過網絡流動到另一個實體的階段。
數據存儲階段:數據以任何數字格式進行物理存儲或云存儲的階段。
數據處理階段:組織機構在內部針對數據進行計算、分析、可視化等操作的階段。
數據交換階段:組織機構與組織機構及個人進行數據交互的階段。
數據銷毀階段:通過對數據及數據存儲介質通過相應的操作手段,使數據徹底消除且無法通過任何手段恢復的過程。
注:各個企業在進行DSMM落地時可根據具體的業務場景決定需要經歷的生命周期階段,不一定都會完整經歷六個,也可以把其中的階段進行合并。
每個階段又細分了幾個過程域,再加上一些通用的過程域就構成了數據安全過程域體系,見下圖(引用)
在這里我想對標準的起草者提個意見,圖中把PA14數據導入導出安全歸到了數據處理安全階段,但是在下面的具體闡述中,又把PA14數據導入導出安全歸到了數據交換安全階段,希望起草者能看到并給個合理解釋。我個人理解應歸到數據交換安全,然后我們也是這么歸類的。
數據作為企業最具有核心價值的資產,一直以來是網絡安全工作的重點,所有的安全工作也都是圍繞數據安全開展的。DSMM是對數據全生命周期進行安全防護,提高數據安全保護能力,如果都能很好地落地,那么對企業數據安全能力將是極大地提升。
從DSMM的體系來看,在數據安全領域需要“組織-制度-工具-人”這四類能力結合才能更好地實現數據安全治理,當然其他安全這個一個層次架構應用到其他安全方面也是可行的。組織和領導重視安全是第一位,我在甲方安全建設規劃那篇文章的討論區中和很多人都討論了領導的作用,領導不重視,你就得不到應有的資源支持,所有的規劃和理想都只是泡影;再說制度和工具,有人說“三分技術,七分管理”,也有人說“三分管理,七分技術”,這大概是做管理和做技術人互相爭奪存在感的一個說辭吧,就好像在論壇中有人說“PHP是世界上最好的開發語言”,馬上就會有人站出來不服氣,認為Java、C、C++等等是最好的開發語言,我認為不應該厚此薄彼,應該五五開(瞬間想到某魚游戲主播),兩者同等重要,管理是技術的指導,技術是管理的實現,要想做的好,兩者皆不可少;最后談下人,這就涉及太多了,我還記得好像是2017年ISC大會的主題就是“人,是安全的尺度”,安全本質是人與人的對抗,同時人也是影響安全的重要因素,人員的能力決定了安全的高度,人員的意識決定了安全的水平。集齊這四種因素就可以召喚神龍了,就可以將DSMM做好了。
今天就是先簡單的聊下DSMM這么個東西,針對具體的生命周期階段中應該完成的工作內容放在后續的文章中吧。
也希望有DSMM具體落地的或感興趣的朋友來一起交流,共同提高!
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
