数据安全能力成熟度模型英文全称(Data Security capability Maturity Model),简称DSMM。DSMM是依据《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)国家标准和《数据安全能力建设实施指南V1.0》,对组织的数据安全开展能力评估。
《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准,于2019年8月30日发布,2020年3月1日正式实施。
一、DSMM 体系架构
DSMM 标准以数据为中心,重点围绕数据生命周期,从组织建设、制度流程、技术工具和人员能力四个能力维度进行评估,涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。
图 1 DSMM 架构图
DSMM 的架构由以下三个维度构成:
a)安全能力维度
安全能力维度明确了组织在数据安全领域应具备的能力,包括组织建设、制度流程、技术工具和人员能力。
b)能力成熟度等级维度
数据安全能力成熟度等级划分为五级,具体包括:1级是非正式执行级,2级是计划跟踪级,3级是充分定义级,4级是量化控制级,5级是持续优化级。
图 2 DSMM能力等级划分
c)数据安全过程维度
- 数据安全过程包括数据生存周期安全过程和通用安全过程;
- 数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。
图 3 数据安全过程维度
二、DSMM 认证评估内容、评估方式及评估流程
1)DSMM 评估主要评估内容
DSMM 认证申请需满足《信息安全技术 数据安全能力成熟度模型》相应级别要求,DSMM 评估重点围绕安全能力维度展开评估,具体要求如下:
- 组织建设:数据安全组织的设立、职责分配和沟通协作;
- 制度流程:组织数据安全领域的制度和流程执行;
- 技术工具:通过技术手段和产品工具落实安全要求或自动化实现安全工作;
- 人员能力:执行数据安全工作的人员的安全意识及相关专业能力。
数据安全能力成熟度等级共性特征
数据安全能力
|
共性特征 |
说 明 |
|
等级1: |
执行BP:组织在数据安全过程中不能有效地执行相关工作,仅在部分业务执行过程中根据临时的需求执行了相关工作,未形成成熟的机制保证相关工作的持续有效进行,执行相关工作的人员未达到相应能力。所执行的过程称为“非正式过程” | 随机、无序、被动地执行安全过程,依赖于个人经验,无法复制 |
|
等级2: |
a)规划执行:对安全过程进行规划,提前分配资源和责任。
b)规范执行:对安全过程进行控制,使用执行计划、执行基于标准和程序的过程,对数据安全过程实施配置管理。 c)验证执行:确认过程按预定的方式执行,验证过程的执行与计划是一致的。 d)跟踪执行:控制数据安全过程执行的进展,通过可测量的计划跟踪过程的执行,当过程实践与计划产生重大偏离时采取修正行动 |
在业务系统级别主动地实现了安全过程的计划与执行,但没有形成体系化 |
|
等级3: |
a)定义标准过程:组织对标准过程进行制度化,为组织定义标准化的过程文档,为满足特定用途对标准过程进行裁剪。
b)执行已定义的过程:充分定义的过程是可重复执行的,并使用过程执行的结果数据,对有缺陷的过程结果和安全实践进行核查。 c)协调安全实践:确定业务系统内、各业务系统之间、组织外部活动的协调机制 |
在组织级别实现了安全过程的规范执行 |
|
等级4: |
a)建立可测的安全目标:为组织的数据安全建立可测量目标。
b)客观地管理执行:确定过程能力的量化测量,使用量化测量管理安全过程,并以量化测量作为修正行动的基础 |
建立了量化目标,安全过程可度量 |
|
等级5: |
a)改进组织能力:在整个组织范围内对规程的使用进行比较,寻找改进规程的机会,并进行改进。
b)改进过程有效性:制定处于持续改进状态下的规程,对规程的缺陷进行消除,并对规程进行持续改进 |
根据组织的整体目标,不断改进和优化安全过程 |
2)DSMM 评估方式
DSMM 评估方式主要包括人员访谈、文档审 核、配置检查、工具测试、旁站式验证等方式,具体情况如下:
- 文档审核:由被评价组织输入与数据安全相关的文档材料(如数据 安全的方针政策、制度规范流程、培训教育材料、以及 与产品技术相关的设计实施方案、配置说明、运行记录 和其他配套表单)、审核小组审核相关的文档材料是否 已涵盖完整数据生存周期的PA和控制项。
- 配置检查:根据被审核方提供的技术材料,登陆相关的系统工具 平台,检査配置是否与材料保持一致,对文档审核内容进行核实。
- 工具测试:利用技术工具对系统工具进行测试,验证是 否符合数据安全成熟度模型特定等级的技术 能力要求,也可采信第三方的测试报告。
- 旁站式验证:审核人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全 意识、业务操作、管理程序等方面的安全情况。
- 人员访谈:通过访谈的方式与被审核方进行交流、讨论 等活动,获取相关证据,了解有关信息。
3)评估流程
图 4 DSMM 评估流程
三、DSMM 各级别的主要区别
- L1 非正式执行:执行非正式过程,随机、无序、被动执行安全过程,依赖个人经验,无法复制。
- L2 计划跟踪:在业务系统级别主动实现了安全过程的计划与执行,但没有形成体系化,可验证过程执行与计划一致,跟踪、控制执行的进展。
- L3 充分定义:在组织级别实现了安全过程的规范执行,标准过程进行制度化,过程可重复执行,执行结果可核查。
- L4 量化控制:建立了量化目标,安全过程可度量。
- L5 持续优化:根据组织的整体目标,不断改进和优化组织能力和安全过程有效性。
四、DSMM 评估标准适用范围
DSMM 是针对企业数据安全管理和应用能力的评估框架,从标准本身讲,任何企业都可以申请,目前主要适用于两类。
- 一是数据拥有方:大数据企业、信息技术产业、互联网企业、金融业、银行业、保险业、证券行业、保险业、电子商务平台、数据中心、政务和高校等企事业单位。
- 二是数据方案提供方:数据开发/运营商、信息系统建设和服务提供商、信息技术服务提供商等。
五、DSMM 评估对企业的价值
- 资产保护:企业通过数据安全认证可建立完善数据安全体系,制定全面合理的数据安全制度流程及 管理措施,提高企业数据安全保护意识,保障企业数据资产安全。
- 风险防控:数据安全能力体系的建设的不仅拥有应对数据风险的发生时的防护能力,更能从源头对风险进行防控,降低数据安全事故发生的概率。
- 合规要求:《数据安全法》《个人信息保护法》等相关 法律法规相继出台,对企业数据安全建设提出了要求,数据安全认证可帮助企业满足相关法律法规要求,落实责任义务。
- 政策扶持:随着相关法律法规完善,各地区政府鼓励当地企业组织建立数据安全合规体系,并提供 政策扶持。
- 宣传推广:组织通过数据安全认证,结合数据安全体系建设的经验,可形成行业最佳实践,扩大行业知名度,带动行业发展。
- 核心竞争力:通过数据安全认证的企业,可作为高度受信的数据拥有方及数据服务提供方,提升自身核心竞争力,为企业客户提供安全的数据服务。
六、企业开展DSMM 认证过程
企业开展DSMM 认证工作分为三个阶段:
- 差距分析:对照能力等级标准的相关要求,梳理本企业数据管理的相关制度、执行过程文档、数据管理平台和工具的相关资料,进行差距分析,制定建设提升工作计划。
- 能力建设:健全数据管理组织,完善数据管理制度体系,优化数据管理平台和工具,开展对标自评估。
- 量化评估:组建评估队伍,提交正式评估申请,开展第三方评估,获取评估结果和提升整改意见。
附:
部分省、市、区给予DSMM认证企业的奖补政策
天津市DSMM 补贴
对首次通过国家《数据安全能力成熟度模型》(GB/T 37988—2019,DSMM)、《数据管理能力成熟度评估模型》(GB/T 36073—2018,DCMM)认证的企业,分别给予最高50万元支持。(责任单位:市委网信办、市工业和信息化局、市财政局、各区人民政府)
贵阳市DSMM 补贴
支持企业提升管理能力。对首次通过软件能力成熟度模型集成(CMMI)3级及以上、数据管理能力成熟度评估模型(DCMM)2级及以上、数据安全能力成熟度模型(DSMM)2级及以上认证,且证书在有效期内的企业,CMMI认证按3级、4级、5级分别给予一次性10万元、20万元、30万元资金支持;DCMM认证按2级、3级、4级及以上分别给予一次性10万元、20万元、30万元资金支持;DSMM2级及以上认证给予一次性30万元资金支持。
清镇市DSMM 补贴
对首次通过软件能力成熟度评估模型集成(CMMI)3 级及以上、数据管理能力成熟度评估模型(DCMM)2 级及以上、数据安全能力成熟度模型(DSMM)2 级及以上认证,且证书在有效期的企业,CMMI 认证按 3 级、4 级、5 级分别给予一次性 5 万元、10 万元、15 万元资金支持;DCMM 认证按 2 级、3级、4 级及以上分别给予一次性 5 万元、10 万元、15 万元资金支持;DSMM2 级以上认证给予一次性 15 万元资金支持。
注:以上信息是本站收集整理的部分信息,此信息仅供企业参考,具体详情企业需向所在地经信委/局、管委会、工信厅等经济管理部门询问。
