DSMM的简介

什么是DSMM

DSMM是Data Security capability MaturityModel的缩写,中文名为数据安全能力成熟度模型。是以2019-08-30 发布,2020-03-01 实施的GB/T 37988-2019 《信息安全技术数据安全能力成熟度模型》为依据的数据安全保护体系。

DSMM能做什么

DSMM是我国在数据管理领域首个正式发布的国家标准。DCMM标准以组织为评估对象,DCMM数据管理能力成熟度评估模型定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期八个核心能力域及28个能力项,并以组织、制度、流程和技术作为八个核心域评价维度。帮助企业利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。

DSMM的建设依据

IMG_256
GB/T 37988-2019 《信息安全技术数据安全能力成熟度模型》
本标准给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。
本标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。

实施DSMM的意义

DSMM 标准可为组织在不同阶段,开展数据保护建设,提供分级别的实践指南。通过实施DSMM评估,可以:

1、促进组织机构了解并提升自身的数据安全水平,从数据生命周期的角度出发,结合各类数据业务发展所体现的安全需求开展数据安全保障工作;
2、保障数据在组织机构之间安全地交换与共享,充分发挥数据的价值,打造更安全的大数据应用环境。

DSMM、ISO27001、等保之间的区别

等保标准以备案系统为主要评估对象,偏向传统网络系统安全,侧重于物理安全、网络安全、安全建设管理等方面的网络系统安全保护。
ISO27001标准是以组织为对象,偏向信息安全管理,侧重于指导组织依据信息安全风险评估的结果选择合适的控制措施,设计构建信息安全管理体系。
DSMM标准也是以组织为评估对象,聚焦数据全生命周期的防护,从四个安全能力维度提出分级要求,帮助组织打造与业务贴合紧密的数据安全架构。
IMG_256

DSMM数据安全能力成熟度模型架构

DSMM的三个维度

IMG_256

安全能力维度
安全能力维度明确了组织在数据安全领域应具备的能力,包括组织建设、制度流程、技术工具和人员能力。
能力成熟度等级维度
数据安全能力成熟度等级划分为五级,具体包括:1级是非正式执行级,2级是计划跟踪级,3级是充分定义级,4级是量化控制级,5级是持续优化级。
数据安全过程维度

数据安全过程包括数据生存周期安全过程和通用安全过程;
数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。

安全能力维度

通过对组织各数据安全过程应具备安全能力的量化,进而评估每项安全过程的实现能力。安全能力分为以下4个方面:

组织建设:数据安全组织的设立、职责分配和沟通协作

数据安全组织架构对组织业务的适用性
数据安全组织承担的工作职责的明确性
数据安全组织运作、沟通协调的有效性

制度流程:组织数据安全领域的制度和流程执行

数据生存周期关键控制节点授权审批流程的明确性
相关流程制度的制定、发布、修订的规范性
制度流程实施的一致性和有效性

技术工具:通过技术手段和产品工具落实安全要求或自动化实现安全工作

数据安全技术在数据全生存周期过程中的利用情况,应对数据全生存周期安全风险的能力
利用技术工具对数据安全工作的自动化支持能力,对数据安全制度流程固化执行的实现能力

人员能力:执行数据安全工作的人员的安全意识及相关专业能力。

数据安全人员所具备的数据安全技能是否能够满足实现安全目标的能力要求(对数据相关业务的理解程度以及数据安全专业能力)
数据安全人员的数据安全意识以及对关键数据安全岗位员工数据安全能力的培养

能力成熟度等级维度

IMG_256

L1非正式执行:执行非正式过程,随机、无序、被动执行安全过程,依赖个人经验,无法复制。
L2计划跟踪:在业务系统级别主动实现了安全过程的计划与执行,但没有形成体系化,可验证过程执行与计划一致, 跟踪、控制执行的进展。
L3充分定义:在组织级别实现了安全过程的规范执行,标准过程进行制度化,过程可重复执行,执行结果可核查。
L4量化控制:建立了量化目标,安全过程可度量。
L5持续优化:根据组织的整体目标,不断改进和优化组织能力和安全过程有效性。

数据安全过程维度

数据安全过程维度则从两个层面考量:

数据安全过程包括数据生存周期安全过程和通用安全过程;

数据安全PA体系
分为数据生存周期安全过程和通用安全过程两个部分
IMG_256

数据生存周期安全过程域:

1
2
3
4
5
6
a) 数据采集安全的 PA(PA01~PA04)包括:数据分类分级、数据采集安全管理、数据源鉴别及记录、数据质量管理4个PA;
b) 数据传输安全的 PA(PA05-PA06)包括:数据传输加密、网络可用性管理2个PA;
c) 数据存储安全的 PA(PA07-PA09)包括:存储媒体安全、逻辑存储安全、数据备份和恢复3个安全 PA;
d) 数据处理安全的 PA(PA10~PA14)包括:数据脱敏、数据分析安全、数据正当使用、数据处理环境安全、数据导人导出安全5个安全PA;
e) 数据交换安全的 PA(PA15-PA17)包括:数据共享安全、数据发布安全、数据接口安全3个安全 PA;
f) 数据销毁安全的 PA(PA18-PA19)包括,数据销毁处置,存储媒体销毁处置2个安全 PA。

通用过程安全域:
数据安全策略规划、组织和人员管理、合规管理、数据资产管理、数据供应链安全、元数据管理、终端数据安全、监控与审计、鉴别与访问控制、需求分析、安全事件应急 11个 PA。

数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。

1
2
3
4
5
6
7
8
9
10
11
-数据采集:指在组织机构内部系统中新生成数据,以及从外部收集数据的阶段。

-数据传输:指数据在组织机构内部从一个实体通过网络流动到另一个实体的阶段。

-数据存储:指数据以任何数字格式进行物理存储或云存储的阶段。

-数据处理:指组织机构在内部针对数据进行计算、分析、可视化等操作的阶段。

-数据交换:指数据由组织机构与外部组织机构及个人交互的阶段。

-数据销毁:指通过对数据及数据的存储介质通过相应的操作手段,使数据彻底消除且无法通过任何手段恢复的过程。

DSMM贯标流程

STEP1 差距分析 -> STEP2 能力建设 -> STEP3 测量评估
IMG_256

DSMM评价方法

DSMM的评价方法主要是评分制,先对每个过程域(PA)的四个能力维度(BP)进行打分,再通过计算平均分、修正分值的方式得到最终的PA分值,最终得到整体的综合得分。
IMG_256

DSMM评估方式

1
2
3
4
5
(1)文档审核:由被评价组织输入与数据安全相关的文档材料(如数据 安全的方针政策、制度规范流程、培训教育材料、以及 与产品技术相关的设计实施方案、配置说明、运行记录 和其他配套表单)、审核小组审核相关的文档材料是否 已涵盖完整数据生存周期的PA和控制项
(2)配置检查:根据被审核方提供的技术材料,登陆相关的系统工具 平台,检査配置是否与材料保持一致,对文档审核内容进行核实。
(3)工具测试:利用技术工具对系统工具进行测试,验证是 否符合数据安全成熟度模型特定等级的技术 能力要求,也可采信第三方的测试报告。
(4)旁站式验证:审核人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全意识、业务操作、管理程序等方面的安全情况。
(5)人员访谈:通过访谈的方式与被审核方进行交流、讨论 等活动,获取相关证据,了解有关信息。

如何核查DSMM证书的有效性和公正性

可通过国家市场监督管理总局全国认证认可信息公共服务平台查询证书详情,并核查验证证书的有效性。

贵阳市DSMM补贴

支持企业提升管理能力。对首次通过软件能力成熟度模型集成(CMMI)3级及以上、数据管理能力成熟度评估模型(DCMM)2级及以上、数据安全能力成熟度模型(DSMM)2级及以上认证,且证书在有效期内的企业,CMMI认证按3级、4级、5级分别给予一次性10万元、20万元、30万元资金支持;DCMM认证按2级、3级、4级及以上分别给予一次性10万元、20万元、30万元资金支持;DSMM2级及以上认证给予一次性30万元资金支持。