在数字经济时代,数据已成为关键生产要素,数据安全也成为关乎企业生存发展的重要议题。加强数据安全管理,提升数据安全能力,成为企业面临的共同挑战。数据安全能力成熟度模型(DSMM)应运而生,为企业数据安全建设提供了科学指引和评估依据。
一、DSMM数据安全能力成熟度模型概述
《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)(以下简称“DSMM”)是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准,于2019年8月30日发布,2020年3月1日正式实施。
DSMM借鉴了国际上成熟度模型的理论和实践,结合我国数据安全现状和需求,构建了一套科学、系统、可操作的数据安全能力评估体系。
DSMM将组织的数据安全能力划分为5个等级,1级低,5级高,目前5级还没开放,一般企业初次申请是从2级开始,如果企业条件不错,比如已经通过ISO/IED27001也可以申请3级。有效期3年,每年监督审核。
DSMM认证以数据为核心,围绕数据的全生命周期,从组织建设、制度流程、技术工具、人员能力等多个维度,全面评估企业的数据安全能力,并帮助企业识别数据安全短板,制定针对性的改进计划。帮助企业识别数据安全短板,明确改进方向,持续提升数据安全防护水平。
图片来源:GBT 37988-2019 信息安全技术 数据安全能力成熟度模型
二、DSMM谁能做?——谁需要这把数据安全的“金钥匙”?
DSMM适用于所有涉及数据处理活动的组织,包括但不限于:
DSMM标准的适用范围非常广泛,没有行业的限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM,申请条件如下:
这些条件确保了申请组织在数据安全方面具有一定的基本能力和管理体系,满足上述条件,即可申请DSMM认证。
看到这些条件,可能还有疑问不知道做哪个级别?简单点说,2级没什么要求,基本都能申请。3级企业有80个左右的社保人员,也可以申请3级。
三、DSMM怎么做?——从评估到认证,步步为营构建数据安全防线
DSMM评估以组织为单位,以数据为中心,围绕数据的生命周期,对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估,涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践(BP)。
DSMM评估认证流程通常分为三个阶段,分为前期咨询,内部评估,现场评估认证。
(1) 前期咨询:明确目标,制定方案
需求调研:评估机构深入了解企业业务特点、数据安全现状和评估目标。
方案制定:根据调研结果,制定个性化的DSMM评估认证方案,明确评估范围、时间计划、资源配置等。
标准宣贯:对企业相关人员进行DSMM标准培训,提升对标准的理解和应用能力。
(2) 内部评估:自查自纠,夯实基础
差距分析:企业根据DSMM标准进行自评估,识别数据安全管理现状与目标等级的差距。
能力建设:针对差距分析结果,制定并实施整改计划,完善数据安全管理体系,提升数据安全能力。
文档准备:整理完善数据安全管理制度、流程、记录等文档,为正式评估做好准备。
(3) 评估认证:专家把脉,权威认证
现场评估:评估机构专家团队进驻企业,通过访谈、查阅文档、系统测试等方式进行现场评估。
评估报告:根据现场评估结果,形成评估报告,明确企业数据安全能力等级和改进建议。
认证决定:评估机构根据评估报告做出认证决定,并颁发DSMM认证证书。
现场DSMM评估方式和ISO其他管理体系类似,主要包括人员访谈、文档审 核、配置检查、工具测试、旁站式验证等方式,具体情况如下:
(1)文档审核:由被评价组织输入与数据安全相关的文档材料(如数据 安全的方针政策、制度规范流程、培训教育材料、以及 与产品技术相关的设计实施方案、配置说明、运行记录 和其他配套表单)、审核小组审核相关的文档材料是否 已涵盖完整数据生存周期的PA和控制项。
(2)配置检查:根据被审核方提供的技术材料,登陆相关的系统工具 平台,检査配置是否与材料保持一致,对文档审核内容进行核实。
(3)工具测试:利用技术工具对系统工具进行测试,验证是 否符合数据安全成熟度模型特定等级的技术 能力要求,也可采信第三方的测试报告。
(4)旁站式验证:审核人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全 意识、业务操作、管理程序等方面的安全情况。
(5)人员访谈:通过访谈的方式与被审核方进行交流、讨论 等活动,获取相关证据,了解有关信息。
四、DSMM和DCMM的区别?
数据管理能力成熟度(DCMM)
DCMM是国家标准《数据管理能力成熟度评估模型GB/T36073-2018》(Data management Capability Maturity Model)的英文简称,DCMM是我国在数据管理领域首个正式发布的国家标准,旨在帮助企业利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。
DCMM适用于数据拥有方:如金融与保险机构、互联网企业、电信运营商、工业企业、数据中心所属主体、高校、政务数据中心等
数据安全能力成熟度(DSMM)
DSMM标准能够用来衡量一个组织的数据安全能力成熟度水平,可以帮助行业、企业和组织发现数据安全能力短板,相关主管部门也可以用于数据安全管理,根据数据安全能力水平高低决定企业拥有数据的类型和范围,最终提升全社会的数据安全水平和行业竞争力,确保大数据产业及数字经济的发展。
DSMM标准的适用范围非常广泛,没有行业的限制,对数据安全有需求、关注自身数据安全能力建设情况的组织均适合申请DSMM,包括但不限于数据运营组织、数据处理组织、数据服务提供组织等。
