DSMM數(shù)據(jù)安全能力成熟度模型試點評估實踐體會
發(fā)布時間:2025-05-01 點擊:24
筆者所在公司有幸作為首批十家試點單位之一,受邀參加國家標(biāo)準(zhǔn)《DSMM 數(shù)據(jù)安全能力成熟度模型》(報批稿)(以下簡稱 DSMM)的試點自評估項目,并作為試點企業(yè)代表參加了信安標(biāo)委召開的試點工作總結(jié)會;下面分享下我們對 DSMM 標(biāo)準(zhǔn)的一些理解和試點體會。
一、什么是 DSMM
DSMM 標(biāo)準(zhǔn)以數(shù)據(jù)為中心,重點圍繞數(shù)據(jù)生命周期,從組織建設(shè)、制度流程、技術(shù)工具和人員能力四個方面進行安全保障。
DSMM 標(biāo)準(zhǔn)關(guān)注企業(yè)自身業(yè)務(wù)產(chǎn)生的數(shù)據(jù)和與外部第三方組織交互的數(shù)據(jù),以衡量組織機構(gòu)的數(shù)據(jù)安全能力,促進組織機構(gòu)了解并提升自身的數(shù)據(jù)安全水平。
DSMM 標(biāo)準(zhǔn)原文數(shù)據(jù)安全能力成熟度模型架構(gòu)如圖 1 如示:
圖 1:數(shù)據(jù)安全能力成熟度模型架構(gòu)圖
PS:本文對 DSMM 標(biāo)準(zhǔn)的介紹如無特別說明,均依據(jù) 2018.11.09 報批稿版本。
如圖 1 所示,DSMM 標(biāo)準(zhǔn)包括:
4 大安全能力維度(組織建設(shè)、制度流程、技術(shù)工具、人員能力);
7 大數(shù)據(jù)安全過程維度(數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全);
5級(從低到高依次 1-5 級),DSMM 標(biāo)準(zhǔn)對不同等級進行了定義和描述,3 級標(biāo)準(zhǔn)共計 282 個評估項。
7大過程維度又可細分為共 30 個過程域,7 大過程維度與 30 個過程域?qū)?yīng)關(guān)系如圖 2 所示:
圖 2:數(shù)據(jù)安全過程域體系(點擊查看大圖)
如圖 2 所示,每個過程域均劃分為 5 級,每級從 4 個安全能力維度(組織建設(shè)、制度流程、技術(shù)工具、人員能力)提出具體的能力要求;
并非每級均包含完整的 4 個維度的能力要求,如圖 2 所示,在 6.1 PA01 PA01 數(shù)據(jù)分類分級這一過程域中,僅 3 級要求包含完整的 4 個維度的要求;
對于每個數(shù)據(jù)安全過程域,高等級的能力要求包括所有低等級能力要求,針對某一具體數(shù)據(jù)安全過程域,如果 5 級的能力要求中未涉及某一關(guān)鍵能力的內(nèi)容,則默認需達成在 4 級的能力要求中的該關(guān)鍵能力的內(nèi)容,依此內(nèi)推。
DSMM 標(biāo)準(zhǔn)和 ISO27000 標(biāo)準(zhǔn)、等保標(biāo)準(zhǔn)有何相同,又有何不同?
等保標(biāo)準(zhǔn)以備案系統(tǒng)為主要評估對象,偏向傳統(tǒng)基礎(chǔ)安全管理,側(cè)重于物理安全、網(wǎng)絡(luò)安全、安全建設(shè)管理等方面的安全保護。
ISO27000 側(cè)重于信息安全管理體系的建設(shè),作為體系化的指導(dǎo)文件幫助企業(yè)建立、實施和文件化信息安全管理體系(ISMS)的要求。
DSMM 強調(diào)數(shù)據(jù)保護,以數(shù)據(jù)為中心,在數(shù)據(jù)備份、數(shù)據(jù)銷毀等方面與等保和 ISO27000 有重合,但是 DSMM 關(guān)注的數(shù)據(jù)采集、溯源、分析等視角,等保和 ISO27000 均未涉及,DSMM 對制度流程的要求均建立在具體的數(shù)據(jù)保護過程之上,DSMM 還強調(diào)對人員能力的評估。
DSMM 標(biāo)準(zhǔn)與等保一樣有分級的概念,但關(guān)注的是數(shù)據(jù)整個生命周期的安全控制,與業(yè)務(wù)貼合更緊密。
DSMM 可以給企業(yè)帶來什么好處
DSMM 標(biāo)準(zhǔn)可為組織機構(gòu)在不同階段,開展數(shù)據(jù)保護建設(shè),提供分級別的基本實踐。
二、如何開展 DSMM 評估
DSMM 評估的是整個組織機構(gòu)的數(shù)據(jù)成熟能力,不局限于某一系統(tǒng),如果公司業(yè)務(wù)復(fù)雜,數(shù)據(jù)規(guī)模較大,建議按照業(yè)務(wù)部門進行拆分,逐個擊破。我們在 DSMM 標(biāo)準(zhǔn)評估過程中評估流程如下。
在具體實踐中,我們按照不同的業(yè)務(wù)部門,分別進行評估。首先敲定各業(yè)務(wù)部門的負責(zé)人,由該負責(zé)人輔助評估過程中的資源協(xié)調(diào)工作。然后我們與各部門負責(zé)人一起梳理基本業(yè)務(wù)流程,結(jié)合 DSMM 的過程域,按照線上生產(chǎn)數(shù)據(jù)和線下離線數(shù)據(jù)兩條線,確定各過程域的訪談部門和訪談人員,隨著評估工作的開展,具體訪談人員會持續(xù)增加。
DSMM 實際訪談對象主要為開發(fā)和 IT 人員,包括開發(fā)、DBA、桌面等公共團隊,也涉及到對產(chǎn)品、運營、HR、業(yè)務(wù)等崗位人員的訪談評估。
因為評估項較多,評估人員需仔細研讀 DSMM 的評估項,提前對評估項進行總結(jié)歸納,信安標(biāo)委后續(xù)提供的在線自評估工具也可作為評估輔助工具。
為了工作更高效開展,在開展 DSMM 評估之前,我們編制了 DSMM 評估工具檢查表,如圖 3 所示:
圖 3:DSMM Assessment Tool 截圖(點擊查看大圖)
三、DSMM 評估過程中可能遇到的問題
DSMM 評估結(jié)果,與評估人員對標(biāo)準(zhǔn)的理解有很大關(guān)系,如何更好的理解 DSMM 的要求并很好的傳達給被評估人員?
建議:評估人員對標(biāo)準(zhǔn)進行歸納提煉,參考 DSMM 評估指南進行理解消化,與被評估人員進行交流時進行發(fā)散引導(dǎo),不宜直接照本宣讀 DSMM 的評估項。
DSMM 評估結(jié)果,受限于評估覆蓋的范圍和深度,以及被評估人員的配合情況
建議:評估人員應(yīng)提前做好相關(guān)準(zhǔn)備,提前了解業(yè)務(wù)基本情況和基本工具,做到心中有數(shù),訪談范圍盡量全面;選擇被訪談對象時盡量選擇熟悉業(yè)務(wù)場景的資深人員,對訪談?wù)叻答伒那闆r需進行基本驗證,如現(xiàn)場查看、文檔查閱等。
總體來說,DSMM 標(biāo)準(zhǔn)為企業(yè)的數(shù)據(jù)生命周期的安全提供了比較好的實踐要求,但是目前 DSMM 標(biāo)準(zhǔn)報批稿也存在著一些小問題,如部分評估項晦澀難懂或者冗長或者描述不清晰,企業(yè)的數(shù)據(jù)成熟能力需要達到什么級別,該級別對企業(yè)又意味著什么,目前的評估指南與 DSMM 評估標(biāo)準(zhǔn)也存在差距。相信在信安標(biāo)委正式發(fā)布該標(biāo)準(zhǔn)時,以上問題會得到有效解決,會有更清晰詳細的評估指南和工具指導(dǎo)企業(yè)進行落地評估。
個人可以申請商標(biāo)注冊嗎?怎么辦理?
一次性3萬!深圳南山區(qū)新引進落戶人才生活補貼項目
ISO14971認證條件
船級社認證查詢
提升產(chǎn)業(yè)鏈關(guān)鍵環(huán)節(jié)獎勵項目條件及標(biāo)準(zhǔn)
有機產(chǎn)品認證有那些好處
公司注銷了,商標(biāo)的正確處理方法
水分對月餅的影響及測量
一、什么是 DSMM
DSMM 標(biāo)準(zhǔn)以數(shù)據(jù)為中心,重點圍繞數(shù)據(jù)生命周期,從組織建設(shè)、制度流程、技術(shù)工具和人員能力四個方面進行安全保障。
DSMM 標(biāo)準(zhǔn)關(guān)注企業(yè)自身業(yè)務(wù)產(chǎn)生的數(shù)據(jù)和與外部第三方組織交互的數(shù)據(jù),以衡量組織機構(gòu)的數(shù)據(jù)安全能力,促進組織機構(gòu)了解并提升自身的數(shù)據(jù)安全水平。
DSMM 標(biāo)準(zhǔn)原文數(shù)據(jù)安全能力成熟度模型架構(gòu)如圖 1 如示:
圖 1:數(shù)據(jù)安全能力成熟度模型架構(gòu)圖
PS:本文對 DSMM 標(biāo)準(zhǔn)的介紹如無特別說明,均依據(jù) 2018.11.09 報批稿版本。
如圖 1 所示,DSMM 標(biāo)準(zhǔn)包括:
4 大安全能力維度(組織建設(shè)、制度流程、技術(shù)工具、人員能力);
7 大數(shù)據(jù)安全過程維度(數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全);
5級(從低到高依次 1-5 級),DSMM 標(biāo)準(zhǔn)對不同等級進行了定義和描述,3 級標(biāo)準(zhǔn)共計 282 個評估項。
7大過程維度又可細分為共 30 個過程域,7 大過程維度與 30 個過程域?qū)?yīng)關(guān)系如圖 2 所示:
圖 2:數(shù)據(jù)安全過程域體系(點擊查看大圖)
如圖 2 所示,每個過程域均劃分為 5 級,每級從 4 個安全能力維度(組織建設(shè)、制度流程、技術(shù)工具、人員能力)提出具體的能力要求;
并非每級均包含完整的 4 個維度的能力要求,如圖 2 所示,在 6.1 PA01 PA01 數(shù)據(jù)分類分級這一過程域中,僅 3 級要求包含完整的 4 個維度的要求;
對于每個數(shù)據(jù)安全過程域,高等級的能力要求包括所有低等級能力要求,針對某一具體數(shù)據(jù)安全過程域,如果 5 級的能力要求中未涉及某一關(guān)鍵能力的內(nèi)容,則默認需達成在 4 級的能力要求中的該關(guān)鍵能力的內(nèi)容,依此內(nèi)推。
DSMM 標(biāo)準(zhǔn)和 ISO27000 標(biāo)準(zhǔn)、等保標(biāo)準(zhǔn)有何相同,又有何不同?
等保標(biāo)準(zhǔn)以備案系統(tǒng)為主要評估對象,偏向傳統(tǒng)基礎(chǔ)安全管理,側(cè)重于物理安全、網(wǎng)絡(luò)安全、安全建設(shè)管理等方面的安全保護。
ISO27000 側(cè)重于信息安全管理體系的建設(shè),作為體系化的指導(dǎo)文件幫助企業(yè)建立、實施和文件化信息安全管理體系(ISMS)的要求。
DSMM 強調(diào)數(shù)據(jù)保護,以數(shù)據(jù)為中心,在數(shù)據(jù)備份、數(shù)據(jù)銷毀等方面與等保和 ISO27000 有重合,但是 DSMM 關(guān)注的數(shù)據(jù)采集、溯源、分析等視角,等保和 ISO27000 均未涉及,DSMM 對制度流程的要求均建立在具體的數(shù)據(jù)保護過程之上,DSMM 還強調(diào)對人員能力的評估。
DSMM 標(biāo)準(zhǔn)與等保一樣有分級的概念,但關(guān)注的是數(shù)據(jù)整個生命周期的安全控制,與業(yè)務(wù)貼合更緊密。
DSMM 可以給企業(yè)帶來什么好處
DSMM 標(biāo)準(zhǔn)可為組織機構(gòu)在不同階段,開展數(shù)據(jù)保護建設(shè),提供分級別的基本實踐。
二、如何開展 DSMM 評估
DSMM 評估的是整個組織機構(gòu)的數(shù)據(jù)成熟能力,不局限于某一系統(tǒng),如果公司業(yè)務(wù)復(fù)雜,數(shù)據(jù)規(guī)模較大,建議按照業(yè)務(wù)部門進行拆分,逐個擊破。我們在 DSMM 標(biāo)準(zhǔn)評估過程中評估流程如下。
在具體實踐中,我們按照不同的業(yè)務(wù)部門,分別進行評估。首先敲定各業(yè)務(wù)部門的負責(zé)人,由該負責(zé)人輔助評估過程中的資源協(xié)調(diào)工作。然后我們與各部門負責(zé)人一起梳理基本業(yè)務(wù)流程,結(jié)合 DSMM 的過程域,按照線上生產(chǎn)數(shù)據(jù)和線下離線數(shù)據(jù)兩條線,確定各過程域的訪談部門和訪談人員,隨著評估工作的開展,具體訪談人員會持續(xù)增加。
DSMM 實際訪談對象主要為開發(fā)和 IT 人員,包括開發(fā)、DBA、桌面等公共團隊,也涉及到對產(chǎn)品、運營、HR、業(yè)務(wù)等崗位人員的訪談評估。
因為評估項較多,評估人員需仔細研讀 DSMM 的評估項,提前對評估項進行總結(jié)歸納,信安標(biāo)委后續(xù)提供的在線自評估工具也可作為評估輔助工具。
為了工作更高效開展,在開展 DSMM 評估之前,我們編制了 DSMM 評估工具檢查表,如圖 3 所示:
圖 3:DSMM Assessment Tool 截圖(點擊查看大圖)
三、DSMM 評估過程中可能遇到的問題
DSMM 評估結(jié)果,與評估人員對標(biāo)準(zhǔn)的理解有很大關(guān)系,如何更好的理解 DSMM 的要求并很好的傳達給被評估人員?
建議:評估人員對標(biāo)準(zhǔn)進行歸納提煉,參考 DSMM 評估指南進行理解消化,與被評估人員進行交流時進行發(fā)散引導(dǎo),不宜直接照本宣讀 DSMM 的評估項。
DSMM 評估結(jié)果,受限于評估覆蓋的范圍和深度,以及被評估人員的配合情況
建議:評估人員應(yīng)提前做好相關(guān)準(zhǔn)備,提前了解業(yè)務(wù)基本情況和基本工具,做到心中有數(shù),訪談范圍盡量全面;選擇被訪談對象時盡量選擇熟悉業(yè)務(wù)場景的資深人員,對訪談?wù)叻答伒那闆r需進行基本驗證,如現(xiàn)場查看、文檔查閱等。
總體來說,DSMM 標(biāo)準(zhǔn)為企業(yè)的數(shù)據(jù)生命周期的安全提供了比較好的實踐要求,但是目前 DSMM 標(biāo)準(zhǔn)報批稿也存在著一些小問題,如部分評估項晦澀難懂或者冗長或者描述不清晰,企業(yè)的數(shù)據(jù)成熟能力需要達到什么級別,該級別對企業(yè)又意味著什么,目前的評估指南與 DSMM 評估標(biāo)準(zhǔn)也存在差距。相信在信安標(biāo)委正式發(fā)布該標(biāo)準(zhǔn)時,以上問題會得到有效解決,會有更清晰詳細的評估指南和工具指導(dǎo)企業(yè)進行落地評估。
個人可以申請商標(biāo)注冊嗎?怎么辦理?
一次性3萬!深圳南山區(qū)新引進落戶人才生活補貼項目
ISO14971認證條件
船級社認證查詢
提升產(chǎn)業(yè)鏈關(guān)鍵環(huán)節(jié)獎勵項目條件及標(biāo)準(zhǔn)
有機產(chǎn)品認證有那些好處
公司注銷了,商標(biāo)的正確處理方法
水分對月餅的影響及測量