筆者所在公司有幸作為首批十家試點單位之一,受邀參加國家標準《DSMM 數據安全能力成熟度模型》(報批稿)(以下簡稱 DSMM)的試點自評估項目,并作為試點企業代表參加了信安標委召開的試點工作總結會;下面分享下我們對 DSMM 標準的一些理解和試點體會。
一、什么是 DSMM
DSMM 標準以數據為中心,重點圍繞數據生命周期,從組織建設、制度流程、技術工具和人員能力四個方面進行安全保障。
DSMM 標準關注企業自身業務產生的數據和與外部第三方組織交互的數據,以衡量組織機構的數據安全能力,促進組織機構了解并提升自身的數據安全水平。
DSMM 標準原文數據安全能力成熟度模型架構如圖 1 如示:
圖 1:數據安全能力成熟度模型架構圖
PS:本文對 DSMM 標準的介紹如無特別說明,均依據 2018.11.09 報批稿版本。
如圖 1 所示,DSMM 標準包括:
4 大安全能力維度(組織建設、制度流程、技術工具、人員能力);
7 大數據安全過程維度(數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全);
5級(從低到高依次 1-5 級),DSMM 標準對不同等級進行了定義和描述,3 級標準共計 282 個評估項。
7大過程維度又可細分為共 30 個過程域,7 大過程維度與 30 個過程域對應關系如圖 2 所示:
圖 2:數據安全過程域體系(點擊查看大圖)
如圖 2 所示,每個過程域均劃分為 5 級,每級從 4 個安全能力維度(組織建設、制度流程、技術工具、人員能力)提出具體的能力要求;
并非每級均包含完整的 4 個維度的能力要求,如圖 2 所示,在 6.1 PA01 PA01 數據分類分級這一過程域中,僅 3 級要求包含完整的 4 個維度的要求;
對于每個數據安全過程域,高等級的能力要求包括所有低等級能力要求,針對某一具體數據安全過程域,如果 5 級的能力要求中未涉及某一關鍵能力的內容,則默認需達成在 4 級的能力要求中的該關鍵能力的內容,依此內推。
DSMM 標準和 ISO27000 標準、等保標準有何相同,又有何不同?
等保標準以備案系統為主要評估對象,偏向傳統基礎安全管理,側重于物理安全、網絡安全、安全建設管理等方面的安全保護。
ISO27000 側重于信息安全管理體系的建設,作為體系化的指導文件幫助企業建立、實施和文件化信息安全管理體系(ISMS)的要求。
DSMM 強調數據保護,以數據為中心,在數據備份、數據銷毀等方面與等保和 ISO27000 有重合,但是 DSMM 關注的數據采集、溯源、分析等視角,等保和 ISO27000 均未涉及,DSMM 對制度流程的要求均建立在具體的數據保護過程之上,DSMM 還強調對人員能力的評估。
DSMM 標準與等保一樣有分級的概念,但關注的是數據整個生命周期的安全控制,與業務貼合更緊密。
DSMM 可以給企業帶來什么好處
DSMM 標準可為組織機構在不同階段,開展數據保護建設,提供分級別的基本實踐。
二、如何開展 DSMM 評估
DSMM 評估的是整個組織機構的數據成熟能力,不局限于某一系統,如果公司業務復雜,數據規模較大,建議按照業務部門進行拆分,逐個擊破。我們在 DSMM 標準評估過程中評估流程如下。
在具體實踐中,我們按照不同的業務部門,分別進行評估。首先敲定各業務部門的負責人,由該負責人輔助評估過程中的資源協調工作。然后我們與各部門負責人一起梳理基本業務流程,結合 DSMM 的過程域,按照線上生產數據和線下離線數據兩條線,確定各過程域的訪談部門和訪談人員,隨著評估工作的開展,具體訪談人員會持續增加。
DSMM 實際訪談對象主要為開發和 IT 人員,包括開發、DBA、桌面等公共團隊,也涉及到對產品、運營、HR、業務等崗位人員的訪談評估。
因為評估項較多,評估人員需仔細研讀 DSMM 的評估項,提前對評估項進行總結歸納,信安標委后續提供的在線自評估工具也可作為評估輔助工具。
為了工作更高效開展,在開展 DSMM 評估之前,我們編制了 DSMM 評估工具檢查表,如圖 3 所示:
圖 3:DSMM Assessment Tool 截圖(點擊查看大圖)
三、DSMM 評估過程中可能遇到的問題
DSMM 評估結果,與評估人員對標準的理解有很大關系,如何更好的理解 DSMM 的要求并很好的傳達給被評估人員?
建議:評估人員對標準進行歸納提煉,參考 DSMM 評估指南進行理解消化,與被評估人員進行交流時進行發散引導,不宜直接照本宣讀 DSMM 的評估項。
DSMM 評估結果,受限于評估覆蓋的范圍和深度,以及被評估人員的配合情況
建議:評估人員應提前做好相關準備,提前了解業務基本情況和基本工具,做到心中有數,訪談范圍盡量全面;選擇被訪談對象時盡量選擇熟悉業務場景的資深人員,對訪談者反饋的情況需進行基本驗證,如現場查看、文檔查閱等。
總體來說,DSMM 標準為企業的數據生命周期的安全提供了比較好的實踐要求,但是目前 DSMM 標準報批稿也存在著一些小問題,如部分評估項晦澀難懂或者冗長或者描述不清晰,企業的數據成熟能力需要達到什么級別,該級別對企業又意味著什么,目前的評估指南與 DSMM 評估標準也存在差距。相信在信安標委正式發布該標準時,以上問題會得到有效解決,會有更清晰詳細的評估指南和工具指導企業進行落地評估。
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
