企业如何评估使用DSMM?

信息数据就像是“那摩克利斯之剑”,任何的疏忽造成的信息泄露或是窃取买卖,都会危害到每一个人的利益,甚至对国家安全造成威胁。近几年来,国家对于数据安全越来越重视,

DSMM标准也就是在这样一个大背景下孕育而生。企业开始重点关注数据安全问题,也更加重视相关的评估认证工作。

一、数据生命周期安全

DSMM模型将数据生命周期分为了数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁六大阶段,40个过程域(PA),其中包含16个通用安全过程域,和24个数据生命周期各阶段安全过程域,如下图所示:

基于大数据环境下数据在组织机构业务中的流转情况,定义数据生命周期的6个阶段,具体各阶段的定义如下:

组织建设—— 数据安全组织架构对组织业务的适应性;— 数据安全组织架构承担的工作职责的明确性;—数据安全组织架构运作、协调、沟通的有效性;

制度流程—— 数据生命周期的关键控制节点授权审批流程的明确性;—相关流程、制度的制定、发布、修订的规范性;— 安全要求及落地执行的一致性和有效性。

技术与工具—— 数据安全技术在数据全生命周期过程中的使用情况,针对数据安全风险的检测及相应能力;— 利用技术工具对数据安全工作的自动化和持续支持能力,对数据安全制度流程的固化执行能力。

人员能力—— 数据安全人员所具备的安全技能是否能满足复合型能力要求;— 数据安全人员的数据安全意识以及关键数据安全岗位员工的数据安全能力培养。

 

二、DSMM评估使用

数据安全能力成熟度模型,关注于组织开展数据安全工作时应具备的数据安全能力,定义数据安全保障的模型框架和方法论,提出对组织的数据安全能力成熟度的分级评估方法,来衡量自主的数据安全能力,促进组织了解并提升自身的数据安全水平,促进数据在组织机构之间的交换与共享,发挥数据的价值。

DSMM模型借鉴了CMM思想将数据安全管理划分了40个过程域(PA),160个评估项,每个PA都从组织建设、制度流程、技术与工具、人员能力四个维度进行能力成熟度的评估。国家信息安全标准技术委员会提供了数据安全的评估指南,可供企业进行数据安全能力评估时进行参考。按照CMM的思想,企业在做数据安全能力成熟度评估时,应根据企业的自身的行业特点和安全需求对40个PA和相关评估项进行适当裁剪,以适应企业自身的需求。

在评估之前,可以将评估过程域(PA)、成熟度等级和评估项结合起来,形成一个二维的《评估工具检查表》。在具体的实践中,如果企业规模较大、业务复杂,可以根据按照不同的业务域进行拆分,逐个评估。企业进行数据安全能力的评估,应充分做好相关业务部门核心骨干的宣贯,让参与评估的人员充分理解数据安全评估的价值,并给予积极的配合,这样才能取得一个相对准确的评估结果。