最近在搞DSMM,問了很多人,也沒有具體的、系統(tǒng)的、完整的落地實施方案,也都是在摸石頭過河,所以根據(jù)自己的理解簡單總結(jié)下吧。如果哪位朋友在這方面做了一些工作或者對這個感興趣的,可以一起交流下。
DSMM(Data security capability maturity model)數(shù)據(jù)安全能力成熟度模型,由阿里巴巴作為主要起草單位編制的一份關(guān)于數(shù)據(jù)安全管理的標準,目前是報批稿狀態(tài),即將成為國家標準。反觀現(xiàn)在大規(guī)模數(shù)據(jù)泄露事件不斷發(fā)生,對用戶個人和企業(yè)都造成了惡劣的影響,導致經(jīng)濟損失,甚至有生命危險,DSMM必將成為各企業(yè)數(shù)據(jù)安全建設(shè)的依據(jù)指南。
DSMM借鑒能力成熟度模型(CMM)的思想,將數(shù)據(jù)按照其生命周期分階段采用不同的能力評估等級,分為數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全六個階段。DSMM從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個安全能力維度的建設(shè)進行綜合考量。DSMM劃分成了1-5個等級,依次為非正式執(zhí)行級、計劃跟蹤級、充分定義級、量化控制級、持續(xù)優(yōu)化級,形成一個三維立體模型,全方面對數(shù)據(jù)安全進行能力建設(shè)。
下圖為引用的標準的模型圖:
組織建設(shè):數(shù)據(jù)安全組織機構(gòu)的架構(gòu)建立、職責分配和溝通協(xié)作。(數(shù)據(jù)安全治理的領(lǐng)導決策機構(gòu))
制度流程:組織機構(gòu)數(shù)據(jù)安全領(lǐng)域的制度規(guī)范和流程執(zhí)行。(數(shù)據(jù)安全治理的指南)
技術(shù)工具:通過技術(shù)手段和產(chǎn)品工具落實安全要求或自動化實現(xiàn)安全工作。(數(shù)據(jù)安全治理的具體實現(xiàn))
人員能力:執(zhí)行數(shù)據(jù)安全工作的人員的安全意識及相關(guān)專業(yè)能力。(數(shù)據(jù)安全治理的相關(guān)人員)
下圖為引用的標準的等級描述:
數(shù)據(jù)生命周期各階段
數(shù)據(jù)采集階段:組織機構(gòu)內(nèi)部系統(tǒng)中新產(chǎn)生數(shù)據(jù),以及從外部系統(tǒng)收集數(shù)據(jù)的階段。
數(shù)據(jù)傳輸階段:數(shù)據(jù)從一個實體通過網(wǎng)絡(luò)流動到另一個實體的階段。
數(shù)據(jù)存儲階段:數(shù)據(jù)以任何數(shù)字格式進行物理存儲或云存儲的階段。
數(shù)據(jù)處理階段:組織機構(gòu)在內(nèi)部針對數(shù)據(jù)進行計算、分析、可視化等操作的階段。
數(shù)據(jù)交換階段:組織機構(gòu)與組織機構(gòu)及個人進行數(shù)據(jù)交互的階段。
數(shù)據(jù)銷毀階段:通過對數(shù)據(jù)及數(shù)據(jù)存儲介質(zhì)通過相應(yīng)的操作手段,使數(shù)據(jù)徹底消除且無法通過任何手段恢復的過程。
注:各個企業(yè)在進行DSMM落地時可根據(jù)具體的業(yè)務(wù)場景決定需要經(jīng)歷的生命周期階段,不一定都會完整經(jīng)歷六個,也可以把其中的階段進行合并。
每個階段又細分了幾個過程域,再加上一些通用的過程域就構(gòu)成了數(shù)據(jù)安全過程域體系,見下圖(引用)
在這里我想對標準的起草者提個意見,圖中把PA14數(shù)據(jù)導入導出安全歸到了數(shù)據(jù)處理安全階段,但是在下面的具體闡述中,又把PA14數(shù)據(jù)導入導出安全歸到了數(shù)據(jù)交換安全階段,希望起草者能看到并給個合理解釋。我個人理解應(yīng)歸到數(shù)據(jù)交換安全,然后我們也是這么歸類的。
數(shù)據(jù)作為企業(yè)最具有核心價值的資產(chǎn),一直以來是網(wǎng)絡(luò)安全工作的重點,所有的安全工作也都是圍繞數(shù)據(jù)安全開展的。DSMM是對數(shù)據(jù)全生命周期進行安全防護,提高數(shù)據(jù)安全保護能力,如果都能很好地落地,那么對企業(yè)數(shù)據(jù)安全能力將是極大地提升。
從DSMM的體系來看,在數(shù)據(jù)安全領(lǐng)域需要“組織-制度-工具-人”這四類能力結(jié)合才能更好地實現(xiàn)數(shù)據(jù)安全治理,當然其他安全這個一個層次架構(gòu)應(yīng)用到其他安全方面也是可行的。組織和領(lǐng)導重視安全是第一位,我在甲方安全建設(shè)規(guī)劃那篇文章的討論區(qū)中和很多人都討論了領(lǐng)導的作用,領(lǐng)導不重視,你就得不到應(yīng)有的資源支持,所有的規(guī)劃和理想都只是泡影;再說制度和工具,有人說“三分技術(shù),七分管理”,也有人說“三分管理,七分技術(shù)”,這大概是做管理和做技術(shù)人互相爭奪存在感的一個說辭吧,就好像在論壇中有人說“PHP是世界上最好的開發(fā)語言”,馬上就會有人站出來不服氣,認為Java、C、C++等等是最好的開發(fā)語言,我認為不應(yīng)該厚此薄彼,應(yīng)該五五開(瞬間想到某魚游戲主播),兩者同等重要,管理是技術(shù)的指導,技術(shù)是管理的實現(xiàn),要想做的好,兩者皆不可少;最后談下人,這就涉及太多了,我還記得好像是2017年ISC大會的主題就是“人,是安全的尺度”,安全本質(zhì)是人與人的對抗,同時人也是影響安全的重要因素,人員的能力決定了安全的高度,人員的意識決定了安全的水平。集齊這四種因素就可以召喚神龍了,就可以將DSMM做好了。
今天就是先簡單的聊下DSMM這么個東西,針對具體的生命周期階段中應(yīng)該完成的工作內(nèi)容放在后續(xù)的文章中吧。
也希望有DSMM具體落地的或感興趣的朋友來一起交流,共同提高!
中企檢測認證網(wǎng)提供iso體系認證機構(gòu)查詢,檢驗檢測、認證認可、資質(zhì)資格、計量校準、知識產(chǎn)權(quán)貫標一站式行業(yè)企業(yè)服務(wù)平臺。中企檢測認證網(wǎng)為檢測行業(yè)相關(guān)檢驗、檢測、認證、計量、校準機構(gòu),儀器設(shè)備、耗材、配件、試劑、標準品供應(yīng)商,法規(guī)咨詢、標準服務(wù)、實驗室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個問題就給大家解答到這里了,如還需要了解更多專業(yè)性問題可以撥打中企檢測認證網(wǎng)在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產(chǎn)權(quán)、版權(quán)法律法規(guī)知識資訊,包括商標注冊、食品檢測、第三方檢測機構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測、環(huán)境檢測、管理體系認證、服務(wù)體系認證、產(chǎn)品認證、版權(quán)登記、專利申請、知識產(chǎn)權(quán)、檢測法、認證標準等信息,中企檢測認證網(wǎng)為檢測認證商標專利從業(yè)者提供多種檢測、認證、知識產(chǎn)權(quán)、版權(quán)、商標、專利的轉(zhuǎn)讓代理查詢法律法規(guī),咨詢輔導等知識。
本文內(nèi)容整合網(wǎng)站:百度百科、搜狗百科、360百科、知乎、市場監(jiān)督總局 、國家認證認可監(jiān)督管理委員會、質(zhì)量認證中心
免責聲明:本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理,文章版權(quán)歸原作者所有。向原作者致敬!發(fā)布旨在積善利他,如涉及作品內(nèi)容、版權(quán)和其它問題,請跟我們聯(lián)系刪除并致歉!
