在數(shù)字經(jīng)濟(jì)時(shí)代,數(shù)據(jù)已成為關(guān)鍵生產(chǎn)要素,數(shù)據(jù)安全也成為關(guān)乎企業(yè)生存發(fā)展的重要議題。加強(qiáng)數(shù)據(jù)安全管理,提升數(shù)據(jù)安全能力,成為企業(yè)面臨的共同挑戰(zhàn)。數(shù)據(jù)安全能力成熟度模型(DSMM)應(yīng)運(yùn)而生,為企業(yè)數(shù)據(jù)安全建設(shè)提供了科學(xué)指引和評估依據(jù)。
一、DSMM數(shù)據(jù)安全能力成熟度模型概述
《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)(以下簡稱“DSMM”)是由阿里巴巴聯(lián)合中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家信息安全工程技術(shù)研究中心、中國信息安全測評中心等業(yè)內(nèi)權(quán)威機(jī)構(gòu)聯(lián)合編寫的國家標(biāo)準(zhǔn),于2019年8月30日發(fā)布,2020年3月1日正式實(shí)施。
DSMM借鑒了國際上成熟度模型的理論和實(shí)踐,結(jié)合我國數(shù)據(jù)安全現(xiàn)狀和需求,構(gòu)建了一套科學(xué)、系統(tǒng)、可操作的數(shù)據(jù)安全能力評估體系。
DSMM將組織的數(shù)據(jù)安全能力劃分為5個(gè)等級,1級低,5級高,目前5級還沒開放,一般企業(yè)初次申請是從2級開始,如果企業(yè)條件不錯(cuò),比如已經(jīng)通過ISO/IED27001也可以申請3級。有效期3年,每年監(jiān)督審核。
DSMM認(rèn)證以數(shù)據(jù)為核心,圍繞數(shù)據(jù)的全生命周期,從組織建設(shè)、制度流程、技術(shù)工具、人員能力等多個(gè)維度,全面評估企業(yè)的數(shù)據(jù)安全能力,并幫助企業(yè)識(shí)別數(shù)據(jù)安全短板,制定針對性的改進(jìn)計(jì)劃。幫助企業(yè)識(shí)別數(shù)據(jù)安全短板,明確改進(jìn)方向,持續(xù)提升數(shù)據(jù)安全防護(hù)水平。
圖片來源:GBT 37988-2019 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型
二、DSMM誰能做?——誰需要這把數(shù)據(jù)安全的“金鑰匙”?
DSMM適用于所有涉及數(shù)據(jù)處理活動(dòng)的組織,包括但不限于:
DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛,沒有行業(yè)的限制,對數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請DSMM,申請條件如下:
這些條件確保了申請組織在數(shù)據(jù)安全方面具有一定的基本能力和管理體系,滿足上述條件,即可申請DSMM認(rèn)證。
看到這些條件,可能還有疑問不知道做哪個(gè)級別?簡單點(diǎn)說,2級沒什么要求,基本都能申請。3級企業(yè)有80個(gè)左右的社保人員,也可以申請3級。
三、DSMM怎么做?——從評估到認(rèn)證,步步為營構(gòu)建數(shù)據(jù)安全防線
DSMM評估以組織為單位,以數(shù)據(jù)為中心,圍繞數(shù)據(jù)的生命周期,對組織建設(shè)、制度流程、技術(shù)工具以及人員能力4個(gè)能力維度進(jìn)行評估,涵蓋5個(gè)成熟度級別、30個(gè)數(shù)據(jù)安全能力過程域和576個(gè)基本實(shí)踐(BP)。
DSMM評估認(rèn)證流程通常分為三個(gè)階段,分為前期咨詢,內(nèi)部評估,現(xiàn)場評估認(rèn)證。
(1) 前期咨詢:明確目標(biāo),制定方案
需求調(diào)研:評估機(jī)構(gòu)深入了解企業(yè)業(yè)務(wù)特點(diǎn)、數(shù)據(jù)安全現(xiàn)狀和評估目標(biāo)。
方案制定:根據(jù)調(diào)研結(jié)果,制定個(gè)性化的DSMM評估認(rèn)證方案,明確評估范圍、時(shí)間計(jì)劃、資源配置等。
標(biāo)準(zhǔn)宣貫:對企業(yè)相關(guān)人員進(jìn)行DSMM標(biāo)準(zhǔn)培訓(xùn),提升對標(biāo)準(zhǔn)的理解和應(yīng)用能力。
(2) 內(nèi)部評估:自查自糾,夯實(shí)基礎(chǔ)
差距分析:企業(yè)根據(jù)DSMM標(biāo)準(zhǔn)進(jìn)行自評估,識(shí)別數(shù)據(jù)安全管理現(xiàn)狀與目標(biāo)等級的差距。
能力建設(shè):針對差距分析結(jié)果,制定并實(shí)施整改計(jì)劃,完善數(shù)據(jù)安全管理體系,提升數(shù)據(jù)安全能力。
文檔準(zhǔn)備:整理完善數(shù)據(jù)安全管理制度、流程、記錄等文檔,為正式評估做好準(zhǔn)備。
(3) 評估認(rèn)證:專家把脈,權(quán)威認(rèn)證
現(xiàn)場評估:評估機(jī)構(gòu)專家團(tuán)隊(duì)進(jìn)駐企業(yè),通過訪談、查閱文檔、系統(tǒng)測試等方式進(jìn)行現(xiàn)場評估。
評估報(bào)告:根據(jù)現(xiàn)場評估結(jié)果,形成評估報(bào)告,明確企業(yè)數(shù)據(jù)安全能力等級和改進(jìn)建議。
認(rèn)證決定:評估機(jī)構(gòu)根據(jù)評估報(bào)告做出認(rèn)證決定,并頒發(fā)DSMM認(rèn)證證書。
現(xiàn)場DSMM評估方式和ISO其他管理體系類似,主要包括人員訪談、文檔審 核、配置檢查、工具測試、旁站式驗(yàn)證等方式,具體情況如下:
(1)文檔審核:由被評價(jià)組織輸入與數(shù)據(jù)安全相關(guān)的文檔材料(如數(shù)據(jù) 安全的方針政策、制度規(guī)范流程、培訓(xùn)教育材料、以及 與產(chǎn)品技術(shù)相關(guān)的設(shè)計(jì)實(shí)施方案、配置說明、運(yùn)行記錄 和其他配套表單)、審核小組審核相關(guān)的文檔材料是否 已涵蓋完整數(shù)據(jù)生存周期的PA和控制項(xiàng)。
(2)配置檢查:根據(jù)被審核方提供的技術(shù)材料,登陸相關(guān)的系統(tǒng)工具 平臺(tái),檢査配置是否與材料保持一致,對文檔審核內(nèi)容進(jìn)行核實(shí)。
(3)工具測試:利用技術(shù)工具對系統(tǒng)工具進(jìn)行測試,驗(yàn)證是 否符合數(shù)據(jù)安全成熟度模型特定等級的技術(shù) 能力要求,也可采信第三方的測試報(bào)告。
(4)旁站式驗(yàn)證:審核人員在現(xiàn)場通過實(shí)地觀察人員行為、技術(shù)設(shè)施和環(huán)境狀況判斷人員的安全 意識(shí)、業(yè)務(wù)操作、管理程序等方面的安全情況。
(5)人員訪談:通過訪談的方式與被審核方進(jìn)行交流、討論 等活動(dòng),獲取相關(guān)證據(jù),了解有關(guān)信息。
四、DSMM和DCMM的區(qū)別?
數(shù)據(jù)管理能力成熟度(DCMM)
DCMM是國家標(biāo)準(zhǔn)《數(shù)據(jù)管理能力成熟度評估模型GB/T36073-2018》(Data management Capability Maturity Model)的英文簡稱,DCMM是我國在數(shù)據(jù)管理領(lǐng)域首個(gè)正式發(fā)布的國家標(biāo)準(zhǔn),旨在幫助企業(yè)利用先進(jìn)的數(shù)據(jù)管理理念和方法,建立和評價(jià)自身數(shù)據(jù)管理能力,持續(xù)完善數(shù)據(jù)管理組織、程序和制度,充分發(fā)揮數(shù)據(jù)在促進(jìn)企業(yè)向信息化、數(shù)字化、智能化發(fā)展方面的價(jià)值。
DCMM適用于數(shù)據(jù)擁有方:如金融與保險(xiǎn)機(jī)構(gòu)、互聯(lián)網(wǎng)企業(yè)、電信運(yùn)營商、工業(yè)企業(yè)、數(shù)據(jù)中心所屬主體、高校、政務(wù)數(shù)據(jù)中心等
數(shù)據(jù)安全能力成熟度(DSMM)
DSMM標(biāo)準(zhǔn)能夠用來衡量一個(gè)組織的數(shù)據(jù)安全能力成熟度水平,可以幫助行業(yè)、企業(yè)和組織發(fā)現(xiàn)數(shù)據(jù)安全能力短板,相關(guān)主管部門也可以用于數(shù)據(jù)安全管理,根據(jù)數(shù)據(jù)安全能力水平高低決定企業(yè)擁有數(shù)據(jù)的類型和范圍,最終提升全社會(huì)的數(shù)據(jù)安全水平和行業(yè)競爭力,確保大數(shù)據(jù)產(chǎn)業(yè)及數(shù)字經(jīng)濟(jì)的發(fā)展。
DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛,沒有行業(yè)的限制,對數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請DSMM,包括但不限于數(shù)據(jù)運(yùn)營組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務(wù)提供組織等。
中企檢測認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢,檢驗(yàn)檢測、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測認(rèn)證網(wǎng)為檢測行業(yè)相關(guān)檢驗(yàn)、檢測、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu),儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商,法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊,包括商標(biāo)注冊、食品檢測、第三方檢測機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請、知識(shí)產(chǎn)權(quán)、檢測法、認(rèn)證標(biāo)準(zhǔn)等信息,中企檢測認(rèn)證網(wǎng)為檢測認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導(dǎo)等知識(shí)。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心
免責(zé)聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
