再谈DSMM信息安全技术之数据安全能力成熟度模型

2023-03-31 10:50:19 来源：DSMM认证作者：中企检测认证网浏览:52

《信息安全技术数据安全能力成熟度模型》(GB/T 37988-2019)、简称DSMM(Data Security Maturity Model)于2019年正式成为国标并对外发布。

该标准旨在助力提升全社会、全行业的数据安全水位，其发布也填补了行业在数据安全能力成熟度评估标准方面的空白，为组织机构评估自身数据安全能力，提供了科学依据和参考。

再谈DSMM-信息安全技术之数据安全能力成熟度模型

此国标于2020年3月起正式实施，正式发布前，这项标准已在全国23个行业、40多家企业试点。

“数据安全是组织机构信息安全体系的重要环节，然而许多组织机构并不充分了解自身的数据安全能力，行业内缺乏一套评估组织机构数据安全能力的标准规范。”阿里巴巴集团数据安全总监徐骏称，DSMM能够帮助各行业、组织机构基于统一标准来评估其数据安全能力，发现数据安全能力短板，查漏补缺，最终提升互联网行业的整体安全管理水平和产业竞争力，促进数字经济发展。

阿里巴巴基于自身数据安全实践，沉淀总结了数据安全能力成熟度模型，根据数据生命周期，从组织建设、制度流程、技术工具、人员能力四方面评估数据安全能力等级，助力提升行业整体数据安全水平。

该标准是基于阿里巴巴多年的数据安全实践，形成行业共识后提炼总结。阿里巴巴标准化部总经理朱红儒介绍，DSMM也充分参考了国际上相关标准和经验，根据数据生命周期，从组织建设、制度流程、技术工具、人员能力四方面评估数据安全能力等级。

标准将数据安全能力分为“非正式执行”、“计划跟踪”、“充分定义”、“量化控制”和“持续优化”5个等级，第三等级是各个企业的基础目标，等级越高，代表被测评的组织机构数据安全能力越强。

本标准基于大数据环境下电子化数据在组织机构业务场景中的数据生命周期，从组织建设、制度流程、技术工具以及人员能力四个方面构建了数据安全过程的规范性数据安全能力成熟度分级模型及其评估方法。本标准适用于组织机构数据安全能力的自身评估，也适用于第三方机构对组织机构的数据安全保障能力进行评估。本标准借鉴能力成熟度模型(CMM)的思想，以CMM的通用实践来衡量能力成熟度等级，以《要求》中的安全要求为基础，定义数据安全过程域和基本实践，指导组织机构如何持续达到所对应的安全要求。

本标准主要根据《信息安全技术大数据服务安全能力要求》(以下简称为《要求》)中的数据安全要求对组织机构ᨀ供的数据安全能力ᨀ出评估的模型框架及方法论。《要求》中定义了大数据服务ᨀ供者应具有的组织相关基础安全能力和数据生命周期相关的数据服务安全能力，本标准针对《要求》中定义的每个安全要求定义基本实践，并根据本标准定义的成熟度等级的通用实践，对基本实践进行等级评估。

本标准阐述了数据安全能力评估的成熟度模型及方法论，在过程域层面与《要求》完全一致，在基本实践层面与《要求》进行映射，两标准可以相互支撑调用。《要求》中定义了大数据服务ᨀ供者ᨀ供大数据服务所需要满足的基线要求，本标准定义了组织机构持续实现安全过程、满足安全要求的能力等级的评估方法，来指导组织机构ᨀ升自身的数据安全能力水平。

数据安全能力成熟度模型（DS-CMM）的模型架构由以下三方面构成(如图1所示)：

——数据生命周期安全：围绕数据生命周期，ᨀ炼出大数据环境下，以数据为中心，针对数据生命周期各阶段建立的相关数据安全过程域体系。

——安全能力维度：明确组织机构在各数据安全领域所需要具备的能力维度，明确为组织建设、制度流程、技术工具和人员能力四个关键能力的维度。

——能力成熟度等级：基于统一的分级标准，细化组织机构在各数据安全过程域的五个级别的能力成熟度分级要求。