DSMM数据安全成熟度模型迭代版本发布
在本周的RSA大会上,数据安全成熟度模型(DSMM)联盟发布了该框架的第二次迭代版本(链接在文末),旨在帮助企业更容易保护数据免遭泄露。DSMM联盟认为在数字化转型时代,传统的从设备、应用程序或网络环境角度看数据安全的旧观念需要被“以数据为中心”取代。
DSMM联盟由Cyberhaven于去年夏天创建,由JupiterOne的首席信息安全官Sounil Yu领导,核心成员包括来自波士顿科学、卡特彼勒金融、Fleet、Flexport、摩托罗拉移动、Twilio、VillageMD等多家公司的安全主管。
在2023年RSA大会上题为“全面的网络能力框架:网络安全的技术树”的小组讨论中,DSMM联盟成员提出了“以数据为中心”的下一代数据安全的愿景。
DSMM与NIST网络安全框架和网络防御矩阵保持一致,围绕以数据为中心的方法定义了五个关键功能:
识别和分类:查找数据安全计划涵盖的所有数据并对其进行分类。
保护:通过控制敏感数据的访问、使用和保留方式,最大限度地减少敏感数据的暴露。
检测:收集和分析数据风险,以识别未通过“保护”功能阻止的数据相关安全事件或策略违规行为。
响应:建立发现潜在事件时立即采取的短期行动。
恢复和改进:确定所需的操作,不仅要恢复正常操作,还要改进和优化。
在本周发布的第二次迭代版本中,DSMM成熟度模型完善了五个关键功能,细化了上下文内容,例如正在使用哪些服务器基础架构、云中有多少数据、隐私法规、员工和其他人如何使用数据,以及应用程序、API和非人类端点如何使用数据等等。
摩托罗拉移动公司首席信息安全官Richard Rushing指出,企业正面临数据蔓延、数据老化和动态安全级别导致的数据安全管理混乱,业界需要一种新的以数据为中心的安全框架方法。
DSMM框架的目标是驯服这种混乱,并且可为大型企业和中小型企业量身定制。它还允许企业专注于许多实践领域,包括基于风险的决策优先级、协作、持续教育、供应商和第三方的风险管理、合规性、透明度和事件响应以及如何恢复数据。
参考链接:
https://docs.datasecurity.org/
END
相关阅读