数据安全能力成熟度评估(DSMM)
评估指标、评估方式及评估流程、政府补贴政策等情况概述
随着《数据安全法》和《个人信息保护法》相继出台实施,数据安全提升到了国家战略高度,各行业开始加大数据安全的建设力度,以符合国家法律法规的合规要求。《数据安全法》明确了国家和监管部门层面应建立数据分级、风险监测、应急响应、安全审查、出口管制等五大机制和制度。与之对应,企业层面需要在以上方面从管理制度、技术手段、风险监测和评估、出境管理、合法采集等维度履行数据安全保护义务。
2019年由全国信息安全标准化技术委员会牵头,组织制定并发布了《信息安全技术 数据安全能力成熟度模型》GB/T 37988-2019标准(简称DSMM),旨在标准先行,推动数据安全,进一步提升企业数据安全能力,增强数据安全意识,挖掘数据价值,培育数据要素市场。该标准于2019年8月30日正式发布,且于2020年3月1日实施。此标准是我国数据安全管理领域非常重要的国家标准之一,也是我国数据安全领域最佳实践的总结和提升。
一、DSMM评估模型
1、DSMM评估模型一一过程域
DSMM基于能力成熟度模型的概念,在数据生存周期各阶段和通用安全方面明确了数据安全5个能力等级的要求,是公司数据安全治理和能力建设的有效参考。
图 1 数据安全过程域
2、DSMM评估模型一一能力矩阵
- 四个安全能力维度:组织建设、制度流程、技术工具、人员能力;
- 七个安全过程维度:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全,共计30个过程域;
- 五个安全能力等级:从低到高依次1至5级。
图 2 DSMM评估模型之能力矩阵
3、DSMM评估模型——成熟度等级
图 3 DSMM评估模型之成熟度等级
二、DSMM 评估适用对象及评估要求
1、DSMM 评估适用对象
DSMM 是针对企业数据安全管理和应用能力的评估框架,从标准本身讲,任何企业都可以申请,目前主要适用于两类。
- 一是数据拥有方:大数据企业、信息技术产业、互联网企业、金融业、银行业、保险业、证券行业、保险业、电子商务平台、数据中心、政务和高校等企事业单位。
- 二是数据方案提供方:数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。
2、DSMM 等级评估要求
表 1 DSMM等级共性特征
数据安全能力等级 |
共性特征 |
说 明 |
| 等级1: 非正式执行 |
执行BP:组织在数据安全过程中不能有效地执行相关工作,仅在部分业务执行过程中根据临时的需求执行了相关工作,未形成成熟的机制保证相关工作的持续有效进行,执行相关工作的人员未达到相应能力。所执行的过程称为“非正式过程” | 随机、无序、被动地执行安全过程,依赖于个人经验,无法复制 |
| 等级2: 计划跟踪 |
a)规划执行:对安全过程进行规划,提前分配资源和责任。
b)规范执行:对安全过程进行控制,使用执行计划、执行基于标准和程序的过程,对数据安全过程实施配置管理。 c)验证执行:确认过程按预定的方式执行,验证过程的执行与计划是一致的。 d)跟踪执行:控制数据安全过程执行的进展,通过可测量的计划跟踪过程的执行,当过程实践与计划产生重大偏离时采取修正行动 |
在业务系统级别主动地实现了安全过程的计划与执行,但没有形成体系化 |
| 等级3: 充分定义 |
a)定义标准过程:组织对标准过程进行制度化,为组织定义标准化的过程文档,为满足特定用途对标准过程进行裁剪。
b)执行已定义的过程:充分定义的过程是可重复执行的,并使用过程执行的结果数据,对有缺陷的过程结果和安全实践进行核查。 c)协调安全实践:确定业务系统内、各业务系统之间、组织外部活动的协调机制 |
在组织级别实现了安全过程的规范执行 |
| 等级4: 量化控制 |
a)建立可测的安全目标:为组织的数据安全建立可测量目标。
b)客观地管理执行:确定过程能力的量化测量,使用量化测量管理安全过程,并以量化测量作为修正行动的基础 |
建立了量化目标,安全过程可度量 |
| 等级5: 持续优化 |
a)改进组织能力:在整个组织范围内对规程的使用进行比较,寻找改进规程的机会,并进行改进。
b)改进过程有效性:制定处于持续改进状态下的规程,对规程的缺陷进行消除,并对规程进行持续改进 |
根据组织的整体目标,不断改进和优化安全过程 |
表 2 DSMM PA01数据分类分级
等级 |
组织建设 |
制度流程 |
技术工具 |
人员能力 |
| 等级1:非正式执行 | 正式执行 未在任何业务建立成熟稳定的数据分类分级,仅根据临时需求或基于个人经验,对个别数据进行了分类或分级。 | |||
| 等级2:计划跟踪 | 由业务团队相关人员负责相关业务场景的数据分类分级。 | 根据业务特性和外部合规要求,对核心业务的关键数据进 行分类分级管理。 | 无要求。 | 无要求。 |
| 等级3:充分定义 | 组织应设立负责数据安全分 类分级工作的管理岗位和人 员,主要负责定义组织整体 的数据分类分级的安全原则。 | (1)应明确数据分类分级原则、方法和操作指南;
(2)应对组织的数据进行分类分级标识和管理; (3)应对不同类别和级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施; (4)应明确数据分类分级变更审批流程和机制,通过该流程保证对数据分类分级的变更操作及其结果符合组织的要求。 |
应建立数据分类分级打标或数据资产管理工具,实现对数据 的分类分级自动标识、标识结果发布、审核等功能。 | 负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感数据。 |
| 等级4:量化控制 | 无要求。 | 无要求。 | (1)应记录自动分类分级结果与人工审核后的分类分级结果之间的差异,定期分析改进分类分级标识工具,提升工具处理的准确度;
(2)应对数据分类分级的操作、变更过程进行日志记录和分析,定期通过日志分析等技术手段进行变更操作审计,数据分类分级可追溯。 |
无要求。 |
| 等级5:持续优化 | 无要求。 | 应定期评审数据分类分级的规范和细则,考虑其内容是否完全覆盖了当前的业务,并执行持续的改进优化工作。 | (1)应跟踪数据分类分级标识效果,持续改进数据分类分级的技术工具;
(2)应参与国际、国家或行业相关标准指定。在业界分享最佳实践,成为行业标杆。 |
|
表 3 DSMM PA04数据质量管理
等级 |
组织建设 |
制度流程 |
技术工具 |
人员能力 |
| 等级1:非正式执行 | 未在任何业务建立成熟稳定的数据质量管理和监控,仅根据临时需求或基于个人经验考虑数据质量管理。 | |||
| 等级2:计划跟踪 | 应由业务团队相关人员根据业务需求进行数据质量管理。 | 在核心业务中将数据质量管理或监控作为必要的环节。 | ||
| 等级3:充分定义 | 组织应设立数据质量管理岗位和人员,负责制定统一的数据质量管理要求,明确对数据质量进行管理和监控的责任部门或人员。 | (1)应明确数据质量管理相关的要求,包含数据格式要求、数据完整性要求、数据源质量评价标准等;
(2)应明确数据采集过程中质量监控规则,明确数据质量监控范围及监控方式; (3)应明确组织的数据清洗、转换和加载操作相关的安全管理规范,明确执行的规则和方法、相关人员权限、完整性和一致性要求等。 |
应利用技术工具实现对关键数据进行数据质量管理和监控,实现异常数据及时告警或更正。 | 负责该项工作的人员应了解数据采集阶段的数据质量控制要素,能够基于组织的业务特点开展数据质量评估工作。 |
| 等级4:量化控制 | 无要求。 | (1)应明确数据质量分级标准,明确不同级别和类型的数据采集、清洗、转换等数据采集处理流程质量要求;
(2)应定期对数据质量进行分析、预判和盘点,明确数据质量问题定位和修复时间要求。 |
无要求。 | 无要求。 |
| 等级5:持续优化 | 应在组织层面实现数据质量管理的可持续优化,建立数据质量管理过程的有效性和效率目标,建立数据质量管理岗位人员与各业务团队的数据管理人员之间的有效沟通、反馈机制,能够持续、及时地针对数据质量管理工作进行改进。 | 无要求。 | (1)应建立数据质量的技术指标,并通过相关管理系统评估数据质量管理的水平;
(2)应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆。 |
|
三、DSMM评估及企业收益
DSMM 评估方式主要包括人员访谈、文档审 核、配置检查、工具测试、旁站式验证等方式,具体情况如下:
1)DSMM 评估方式
1.1 人工评估:
以《DSMM数据安全能力评估表》为主,结合行业要求,同时参照《数据安全治理能力评估方法》等标准,采用人工方式对组织在组织建设、制度流程、技术工具、人员能力四个方面进行现场评估。
- 文档查验:通过查验组织所提供的相关文档资料,确定是否满足数据安全评估项和标准的要求;
- 现场访谈:使用数据安全评估表,评估人员与组织进行交流、讨论,梳理数据安全运行现状与评估项、标准和组织管理制度的满足程度;
- 系统演示:由组织对承载数据的信息系统、网络和设备等进行现场操作和演示;
- 配置核查:由组织登录相关信息系统或管理平台,检查系统配置和是否与标准要求和组织管理要求保持一致。
1.2 技术评估:
部署专门的数据安全评估设备,对组织评估范围内的信息系统进行安全评估,主要以重要数据类型和数据处理活动为评估对象。
- 评估范围:业务生产系统、业务管理系统,或者办公管理系统。
- 评估内容:非传统的系统漏洞扫描、渗透测试,主要以业务逻辑漏洞、威胁和数据违规行为为主,例如敏感数据类型梳理,针对数据的访问、操作、传输、加解密、脱敏等数据处理活动的检测评估。
- 评估对象:业务人员、科技人员、合作机构、个人客户等。
- 部署位置:覆盖内网环境和互联网环境,部署在准生产或开发测试环境。
2)DSMM各级别的主要区别
- L1非正式执行:执行非正式过程,随机、无序、被动执行安全过程,依赖个人经验,无法复制。
- L2计划跟踪:在业务系统级别主动实现了安全过程的计划与执行,但没有形成体系化,可验证过程执行与计划一致,跟踪、控制执行的进展。
- L3充分定义:在组织级别实现了安全过程的规范执行,标准过程进行制度化,过程可重复执行,执行结果可核查。
- L4量化控制:建立了量化目标,安全过程可度量。
- L5持续优化:根据组织的整体目标,不断改进和优化组织能力和安全过程有效性。
3)DSMM评估对企业的价值和收益
- 资产保护:企业通过数据安全认证可建立完善数据安全体系,制定全面合理的数据安全制度流程及 管理措施,提高企业数据安全保护意识,保障企业数据资产安全。
- 风险防控:数据安全能力体系的建设的不仅拥有应对数据风险的发生时的防护能力,更能从源头对风险进行防控,降低数据安全事故发生的概率。
- 合规要求:《数据安全法》和《个人信息保护法》等相关 法律法规相继出台,对企业数据安全建设提出了要求,数据安全认证可帮助企业满足相关法律法规要求,落实责任义务。
- 政策扶持:随着相关法律法规完善,各地区政府鼓励当地企业组织建立数据安全合规体系,并提供 政策扶持。
- 宣传推广:组织通过数据安全认证,结合数据安全体系建设的经验,可形成行业最佳实践,扩大行业知名度,带动行业发展。
- 核心竞争力:通过数据安全认证的企业,可作为高度受信的数据拥有方及数据服务提供方,提升自身核心竞争力,为企业客户提供安全的数据服务。
四、DSMM认证咨询服务流程
1、DSMM咨询服务流程
- 企业调研:对企业现状进行总体摸底,梳理核心业务并圈定评估业务范围。
- 差距分析:对照能力等级标准的相关要求,梳理本企业数据管理的相关制度、执行过程文档、数据管理平台和工具的相关资料,进行差距分析,制定建设提升工作计划。
- 能力建设辅导:健全数据管理组织,完善数据管理制度体系,优化数据管理平台和工具,开展对标自评估。
- 量化评估改进服务:向第三方提交评估申请,开展第三方评估,获取评估结果和提升整改意见。
- 总结和建议:对评估结果和项目实施过程进行总结,对比更高等级的评估要求进行差距分析并给出改进建议。
图 4 DSMM评估服务流程
2、DSMM 调研重点
- 重要业务或重要业务生产系统:涉及生产环境、准生产环境、互联网DMZ区域、内网办公环境(以组织需求为准);
- 数据治理情况:数据分类分级、数据质量或数据标准化及其系统建设情况;
- 传统安全管理现状:ISO27001、ISO27701、ISO27017/18等管理体系建设情况,网络安全等级保护和网络安全系统建设情况;
- 数据安全管理现状:组织架构、人员能力、管理制度、数据安全相关安全系统建设等情况。
3、DSMM 调研结果(甲方需配合我方完成以下内容)
- 明确评估的重点业务和系统:明确重点业务范围,生产系统(业务系统和管理系统)或办公系统,及其数据处理情况。涉及业务数据和个人信息等数据量较大的业务和系统。
- 明确评估的相关部门:数据安全管理部门、信息安全部门、信息科技部门、数据管理部门、业务条线部门(业务主管、业务处理)、风险管理部门、法务部门、人力资源部门、内控合规部门、审计部门等。
- 明确数据治理现状:数据分类分级、数据质量或数据标准化现状,对应的信息系统;
- 收集整理传统安全资料:信息安全、个人隐私保护等管理体系制度文件和执行记录,网络安全拓扑图及其防护作用和范围;
- 收集整理数据安全资料:上述资料中与数据安全相关的资料。
附:部分省、市、区给予DSMM认证企业的奖补政策
部分省、市、区给予DSMM认证企业的奖补政策
天津市DSMM 补贴
对首次通过国家《数据安全能力成熟度模型》(GB/T 37988—2019,DSMM)、《数据管理能力成熟度评估模型》(GB/T 36073—2018,DCMM)认证的企业,分别给予最高50万元支持。(责任单位:市委网信办、市工业和信息化局、市财政局、各区人民政府)
贵阳市DSMM 补贴
支持企业提升管理能力。对首次通过软件能力成熟度模型集成(CMMI)3级及以上、数据管理能力成熟度评估模型(DCMM)2级及以上、数据安全能力成熟度模型(DSMM)2级及以上认证,且证书在有效期内的企业,CMMI认证按3级、4级、5级分别给予一次性10万元、20万元、30万元资金支持;DCMM认证按2级、3级、4级及以上分别给予一次性10万元、20万元、30万元资金支持;DSMM2级及以上认证给予一次性30万元资金支持。
清镇市DSMM 补贴
对首次通过软件能力成熟度评估模型集成(CMMI)3 级及以上、数据管理能力成熟度评估模型(DCMM)2 级及以上、数据安全能力成熟度模型(DSMM)2 级及以上认证,且证书在有效期的企业,CMMI 认证按 3 级、4 级、5 级分别给予一次性 5 万元、10 万元、15 万元资金支持;DCMM 认证按 2 级、3级、4 级及以上分别给予一次性 5 万元、10 万元、15 万元资金支持;DSMM2 级以上认证给予一次性 15 万元资金支持。
注:以上信息是本站收集整理的部分信息,此信息仅供企业参考,具体详情企业需向所在地经信委/局、管委会、工信厅等经济管理部门询问。
