DSMM数据安全能力成熟度模型等级划分

近年来,随着信息技术和人类生产生活交汇融合,通过网络收集、存储、传输、处理和产生的各种数据迅猛增长。海量数据聚集并成为重要的市场经济要素,对经济发展、社会治理、人民生活都产生了重大而深刻的影响。

中国信息通信研究院发布的《中国数字经济发展白皮书》数据显示,我国数字经济的总体规模已从 2005年的2.62万亿元增长至2019年的35.84万亿元 ;数字经济总体规模占GDP的比重也 从2005年的14.2%提升至2019年36.2% 。

可见,数字经济已成为我国国民经济增长要素的重要一员。

从2015年,国务院发布的《促进大数据发展行动纲要》开始,2018年国务院发布《科学数据管理办法》,2020年国务院发布《关于构建更加完善的要素市场化配置体制机制的意见》,2021年3月12日,新华社公布了《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,数据安全政策导向明确,国家数据战略清晰。

关于信息数据的泄露,对于个人而言都不会感到陌生。根据公开报道,2020年全球数据泄露的平均损失成本为1145万美元,2019年数据泄露事件达到7098起,涉及151亿条数据记录, 比2018年增幅284% ,数据泄漏事件影响大、损失重。

而对于拥有庞大客户信息的企业,信息数据就像是“那摩克利斯之剑”,任何的疏忽造成的信息泄露或是窃取买卖,都会危害到每一个人的利益,甚至对国家安全造成威胁。

DSMM标准也就是在这样一个大背景下孕育而生。企业开始重点关注数据安全问题,也更加重视相关的评估认证工作。

 

二、DCMM等级划分

1、1级(非正式执行)

主要特点:数据安全工作是随机、无序、被动执行的,依赖与个人,经验无法复制。

组织在数据安全领域未执行有效的相关工作,仅在部分场景或项目的临时需求执行相关工作,未形成成熟的机制,来保障数据安全相关工作的持续开展。

2、2级(计划跟踪)

主要特点:在项目级别主动实现了安全过程的计划与执行,没有形成体系化。

规划执行,对数据安全过程进行规划,提前分配资源和责任;

规范化执行,对安全过程进行控制,使用安全执行计划,执行相关标准和程序的过程,对数据安全过程实施配置管理;

验证执行,确认过程按照预定的方式执行,验证执行过程与可应用的计划是一致的,对数据安全过程进行审计;

跟踪执行,控制数据安全项目的进展,通过可测量的计划跟踪过程执行,当过程实践与计划产生重大的偏离时采取修正行动。

3、3级(充分定义)

主要特点:在组织级别实现了安全过程的规范定义和执行。

定义标准过程,组织对标准过程进行制度化,形成标准化过程文档,为满足特定用途对标准过程进行裁剪;

执行已定义的过程,充分定义的过程可重复执行,针对有缺陷的过程结果和安全实践的核查,使用过程执行的结果数据;

协调安全实践,对业务系统和组织的协调,确定业务系统内,各业务系统之间、组织外部活动的协调机制。

4、4级(量化控制)

主要特点:建立了量化目标,安全过程可量化度量和预测。

建立可测的目标,为组织数据安全建立可测量的目标;

客观的管理执行,确定过程能力的量化测量来管理安全过程,以量化测量作为修正行动的基础。

5、5级(持续优化)

主要特点:根据组织的整理战略和目标,不断改进和优化数据安全过程。

改进组织能力,在整个组织范围内的标准过程使用情况进行比较,寻找改进标准过程的机会,分析对标准过程的可能变更。

改进过程有效性,制定处于连续受控改进状态下的标准过程,提出消除标准过程产生缺陷的原因和持续改进的标准过程。