DSMM标准解读

数据安全能力成熟度模型

    数据安全能力成熟度模型架构主要有三个方面∶

1. 五个等级∶非正式执行、计划跟踪、充分定义、量化控制、持续优化；

2. 四大安全能力维度∶组织建设、制度流程、技术工具、人员能力；

3. 七大数据安全过程维度∶数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全。

来源于《GB/T 37988-2019》

一、能力成熟度等级维度

    DSMM划分了五个数据安全能力成熟度：持续优化、量化控制、充分定义、计划跟踪和非正式执行；

1. DSMM L1非正式执行：执行非正式过程，随机、无序、被动执行安全过程，依赖个人经验，无法复制。
2. DSMM L2计划跟踪：在业务系统级别主动实现了安全过程的计划与执行，但没有形成体系化，可验证过程执行与计划一致，跟踪、控制执行的进展。
3. DSMM L3充分定义：在组织级别实现了安全过程的规范执行，标准过程进行制度化，过程可重复执行，执行结果可核查。
4. DSMM L4量化控制：建立了量化目标，安全过程可度量。
5. DSMM L5持续优化：根据组织的整体目标，不断改进和优化组织能力和安全过程有效性。

二、数据安全能力维度

• 组织建设：数据安全组织的设立、职责分配和沟通协作；
• 制度流程：组织数据安全领域的制度和流程执行；
• 技术工具：通过技术手段和产品工具落实安全要求或自动化实现安全工作；
• 人员能力：执行数据安全工作的人员的安全意识及相关专业能力。

1. 组织建设

从承担数据安全工作的组织应具备的组织建设能力角度,根据以下方面进行能力等级区分:

• 数据安全组织架构对组织业务的适用性；

• 数据安全组织承担的工作职责的明确性；

• 数据安全组织运作、沟通协调的有效性。

2. 制度流程

从组织在数据安全制度流程的建设以及执行情况角度,根据以下方面进行能力等级区分:

• 数据生存周期关键控制节点授权审批流程的明确性；

• 相关流程制度的制定、发布、修订的规范性；

• 制度流程实施的一致性和有效性。

3. 技术工具

从组织用于开展数据安全工作的安全技术、应用系统和工具出发,根据以下方面进行能力等级区分:

• 数据安全技术在数据全生存周期过程中的利用情况，应对数据全生存周期安全风险的能力；

• 利用技术工具对数据安全工作的自动化支持能力，对数据安全制度流程固化执行的实现能力。

4. 人员能力

从组织承担数据安全工作的人员应具备的能力出发,根据以下方面进行能力等级区分:

• 数据安全人员所具备的数据安全技能是否能够满足实现安全目标的能力要求(对数据相关业务的理解程度以及数据安全专业能力)；

• 数据安全人员的数据安全意识以及对关键数据安全岗位员工数据安全能力的培养。

三、数据安全过程维度

来源于《GB/T 37988-2019》

1. 数据生存周期安全过程域包括以下6个过程:

• 数据采集安全的 PA(PA01~PA04)包括：数据分类分级、数据采集安全管理、数据源鉴别及记录、数据质量管理4个 PA;

• 数据传输安全的 PA(PA05~PA06)包括：数据传输加密、网络可用性管理2个 PA;

• 数据存储安全的 PA(PA07~PA09)包括：存储媒体安全、逻辑存储安全、数据备份和恢复3个安全 PA;

• 数据处理安全的 PA(PA10~PA14)包括：数据脱敏、数据分析安全、数据正当使用、数据处理环境安全、数据导入导出安全5个安全 PA；

• 数据交换安全的 PA(PA15~PA17)包括：数据共享安全、数据发布安全、数据接口安全3个安全 PA;

• 数据销毁安全的 PA(PA18~PA19)包括：数据销毁处置、存储媒体销毁处置2个安全 PA。

1. 通用安全过程域(PA20~PA30)包括：

    数据安全策略规划、组织和人员管理、合规管理、数据资产管理、数据供应链安全、元数据管理、终端数据安全、监控与审计、鉴别与访问控制、需求分析、安全事件应急11个 PA。

    能力成熟度等级维度与数据安全过程域维度之间的映射关系：

    具体内容参考相关文件，关注公众号，后台回复关键字【数据安全20230922】即可获得本文相关文件。

END

—

    想了解更多数据安全的管理制度、标准规范、产品服务、认证评估等，可扫码加入「 数据安全体系 」知识星球，更多精彩内容持续更新中！