DSMM数据安全能力成熟度评估--学习笔记(1)

目录

DSMM是什么?

1、能力成熟度等级评估流程

2、DSMM评估方式?

3、能力成熟度模型使用方法

4、 安全能力维度

4.1 能力构成

4.2 组织建设

4.3 制度流程

4.4 技术工具

4.5 人员能力

5、 能力成熟度等级维度

6、 数据安全过程维度


数据安全能力建设工作并非从零开始,大部分组织在此前或多或少已有一些安全体系,基本上是围绕 信息系统和网络环境开展安全保护工作,主要聚焦在信息安全和网络安全;而数据安全是以数据为核心, 围绕数据安全生命周期进行建设以高数据安全保障能力,所以需要与当前安全体系进行融合。在决策层 确定数据安全目标和愿景之后,再由数据安全管理层根据组织的业务发展实际情况讨论具体的融合方式。

DSMM是什么?

《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)是2020年3月1日实施的一项中华人民共和国国家标准,归口于全国信息安全标准化技术委员会。

《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。该标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。

1、能力成熟度等级评估流程

数据安全能力成熟度等级的评估从组织建设、制度流程、技术工具和人员能力4个关键能力展开。通过对各项安全过程所需具备安全能力的评估,可评估组织在每项安全过程的实现能力属于哪一等级。

能力成熟度等级评估要素如下:

a) 对能力成熟度等级的详细评估流程如下:

1) 确定模型适用范围:分析需要保护的数据资产及业务范围,确定模型使用或评估范围。

2) 确定能力成熟度级别目标:分析组织机构数据安全风险,确定能力成熟度等级建设目标。

3) 选取安全 PA: 针对组织机构的数据相关的业务现状,选取适当的数据安全 PA 。 例如,对于有的组织机构而言,不存在数据对外共享的处理,则无需选择共享安全的 PA。

4) 执行 BP: 依据标准对各等级数据安全 BP 要求,从4个关键能力进行落地和不断改进提升。

5) PA 安全评估:基于选择的安全PA 范畴,针对各项安全 PA 对组织机构的数据安全实践情况进行现状的调研和分析。按附录 A 各级别的 GP 描述确定该 PA 的等级,参见表 B.1。

6) 确定组织机构整体等级:结合所有 PA 的等级,确定组织机构整体的数据安全能力成熟度等级,对数据安全能力进行持续建设和改进。

b) 其中,对4个关键能力的评估方法如下:

1) 组织建设:评估是否具有开展工作的专职/兼职岗位、团队或人员,其工作职责是否通过规范要求或其他手段得到确认和保障;

2) 制度流程:检查是否有关键数据安全领域的制度规范和流程及其在组织机构内的落地执行情况;

3) 技术工具:检查组织机构内的各项安全技术手段、通过产品工具固化安全要求或自动化的安全作业的实施运作情况;

4) 人员能力:执行数据安全工作的人员是否经过专业的技能和安全意识教育培训。

2、DSMM评估方式?

DSMM的评估所采用的方式与基线风险评估的方式类似,可以包括但不限于以下几种手段:

1)人员访谈:通过访谈的方式与被评估方进行交流、讨论等活动,获取相关证据,了解有关信息;

2)文档审核:由被评估方输入与数据安全相关的文档材料(如数据安全的方针政策、制度规范流程、培训教育材料、以及与产品技术相关的设计实施方案、配置说明、运行记录和其他配套表单),评估小组审核相关的文档材料是否已涵盖完整数据生存周期的PA和控制项;

3)配置检査:根据被评估方提供的技术材料,登录相关的系统工具平台,检査配置是否与材料保持一致,对文档审核内容进行核实;

4)工具测试:利用技术工具对系统工具进行测试,验证是否符合数据安全成熟度模型特定等级的技术能力要求;

5)旁站式验证:评估人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全意识、业务操作、管理程序等方面的安全情况。

3、能力成熟度模型使用方法

由于各组织机构在业务规模、业务对数据的依赖性以及组织机构对数据安全工作定位等方向的差异,组织机构对模型的使用应“因地制宜”。

使用模型时,组织机构应首先明确其数据安全能力的目标成熟度等级。根据对组织机构整体的数据安全能力成熟度等级的定义,组织机构可以选择适合自己业务实际情况的数据安全能力成熟度等级目标。本标准定义的数据安全能力成熟度等级中,3级目标适用于所有具备数据安全保障需求的组织机构作为自己的短期目标/长期目标,具备了3级的数据安全能力则意味着组织机构能够针对数据安全的各方面风险进行有效的控制然而,对于业务中尚未大量依赖于大数据技术的组织机构而言, 数据仍然倾向于在固有的业务环节中流动,其数据安全保障的需求整体弱于强依赖于大数据技术的组织机构,因此其短期目标可先定位为2级,待达到2级的目标之后再进一步提升到3级的能力

在确定目标成熟度等级的前提下,组织机构根据数据生存周期所覆盖的业务场景挑选适用于组织机构的数据安全PA 。 例如组织机构 A 不存在数据交换的情况,因此数据交换的PA 就可以从评估范围中剔除掉。

最后,组织机构基于对成熟度模型内容的理解,识别数据安全能力现状并分析与目标能力等级之间的差异,在此基础上进行数据安全能力的整改提升计划。而伴随着组织机构业务的发展变化,组织机构也需要定期复核、明确自己的目标成熟度等级,然后开始新一轮目标达成的工作。

缩略语

PA:过程域(Process Area)

BP:基本实践(Basic Practice)

GP:通用实践(Generic Practice)

DSMM:数据安全能力成熟度模型(Data Security Capability Maturity Model)

DSMM架构图

DSMM评估以组织为单位,以数据为中心,围绕数据的生命周期,对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估,涵盖5个能力成熟度等级、30个数据安全能力过程域和576个基本实践。

四个安全能力维度:组织建设、制度流程、技术工具、人员能力;

七个安全过程维度:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全,共计30个过程域;

五个安全能力等级:将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级。

形成一个三维立体模型,全方面对数据安全进行能力建设。

4、 安全能力维度

4.1 能力构成

通过对组织各数据安全过程应具备安全能力得到量化,进而评估每项安全过程的实现能力。

安全能力分为下面4个方面:

a)组织建设:数据安全组织的设立、职责分配和沟通协作;

b)制度流程:组织数据安全领域的制度和流程执行;

c)技术工具:通过技术手段和产品工具落实安全要求或自动化实现安全工作;

d)人员能力:执行数据安全工作的人员的安全意识及相关专业的能力。

4.2 组织建设

从承担数据安全工作的组织应具备的组织建设能力角度,根据以下方面进行能力等级区分:

a)数据安全组织架构对组织业务的适用性;

b)数据安全组织承担的工作职责的明确性;

c)数据安全组织运作沟通协调的有效性。

4.3 制度流程

从组织在数据安全制度流程的建设以及执行情况角度,根据以下方面进行能力等级区分:

a)数据生存周期关键控制节点授权审批流程的明确性;

b)相关流程制度的制定、发布、修订的规范性;

c)制度实施的一致性和有效性。

4.4 技术工具

从组织用于开展数据安全工作的安全技术、应用系统和工具出发,根据以下方面进行能力等级区分:

a)数据安全技术在数据全生存周期过程中的利用情况,应对数据全生存周期安全风险的能力;

b)利用技术工具对数据安全工作的自动化支持能力,对数据安全制度流程固化执行的实现能力。

4.5 人员能力

从组织承担数据安全工作的人员应具备的能力出发,根据以下方面进行能力等级区分:

a)数据安全人员所具备的数据安全技能是否能够满足实现安全目标的能力要求(对数据相关业务的理解程度以及数据安全专业能力);

b)数据安全人员的数据安全意识以及对关键数据安全岗位员工数据安全能力的培养。

5、 能力成熟度等级维度

1级(非正式执行)主要特点:数据安全工作是随机、无序、被动执行的,依赖与个人经验,无法复制。组织在数据安全领域未执行有效的相关工作,仅在部分场景或项目的临时需求执行相关工作,未形成成熟的机制,来保障数据安全相关工作的持续开展。

2级(计划跟踪)主要特点:在项目级别主动实现了安全过程的计划与执行,没有形成体系化。规划执行,对数据安全过程进行规划,提前分配资源和责任;规范化执行,对安全过程进行控制,使用安全执行计划,执行相关标准和程序的过程,对数据安全过程实施配置管理;验证执行,确认过程按照预定的方式执行,验证执行过程与可应用的计划是一致的,对数据安全过程进行审计;跟踪执行,控制数据安全项目的进展,通过可测量的计划跟踪过程执行,当过程实践与计划产生重大的偏离时采取修正行动。

3级(充分定义)主要特点:在组织级别实现了安全过程的规范定义和执行。定义标准过程,组织对标准过程进行制度化,形成标准化过程文档,为满足特定用途对标准过程进行裁剪;执行已定义的过程,充分定义的过程可重复执行,针对有缺陷的过程结果和安全实践的核查,使用过程执行的结果数据;协调安全实践,对业务系统和组织的协调,确定业务系统内,各业务系统之间、组织外部活动的协调机制。

4级(量化控制)主要特点:建立了量化目标,安全过程可量化度量和预测。建立可测的目标,为组织数据安全建立可测量的目标;客观的管理执行,确定过程能力的量化测量来管理安全过程,以量化测量作为修正行动的基础。

5级(持续优化)主要特点:根据组织的整理战略和目标,不断改进和优化数据安全过程。改进组织能力,在整个组织范围内的标准过程使用情况进行比较,寻找改进标准过程的机会,分析对标准过程的可能变更。改进过程有效性,制定处于连续受控改进状态下的标准过程,提出消除标准过程产生缺陷的原因和持续改进的标准过程。

数据安全能力成熟度等级

共性特征

说明

等级1:非正式执行

执行BP:组织在数据安全过程中不能有效地执行相关工作,仅在部分业务执行过程中根据临时的需求执行了相关工作,未形成成熟的机制保证相关工作的持续有效进行,执行相关工作的人员未达到相应能力。所执行的过程称为”非正式过程”

随机、无序、被动地执行安全过程,依赖于个人经验,无法复制

等级2:计划跟踪

a)规划执行:对安全过程进行规划,提前分配资源和责任。

在业务系统级别主动地实现了安全过程的计划与执行,但没有形成体系化

b)规范执行:对安全过程进行控制,使用执行计划、执行基于标准和程序的过程,对数据安全过程实施配置管理。

c) 验证执行:确认过程按预定的方式执行,验证过程的执行与计划是一致的。

d) 跟踪执行:控制数据安全过程执行的进展,通过可测量的计划跟踪过程的执行,当过程实践与计划产生重大偏离时采取修正行动

等级3:充分定义

a) 定义标准过程:组织对标准过程进行制度化,为组织定义标准化的过程文档,为满足特定用途对标准过程进行裁剪。

在组织级别实现了安全过程的规范执行

b) 执行已定义的过程:充分定义的过程是可重复执行的,并使用过程执行的结果数据,对有缺陷的过程结果和安全实践进行核查。

c)协调安全实践:确定业务系统内、各业务系统之间、组织外部活动的协调机制

等级4:最化控制

a) 建立可测的安全目标:为组织的数据安全建立可测量指标。

建立了量化目标,安全过程可度量

b) 客观地管理执行:确定过程能力的量化测量,使用量化测虽管理安全过程,并以量化测量作为修正行动的基础

等级5:持续优化

a)改进组织能力:在整个组织范围内对规程的使用进行比较,寻找改进规程的机会,并进行改进。

根据组织的整体目标,不断改进和优化安全过程

b)改进过程有效性:制定处于持续改进状态下的规程,对规程的缺陷进行消除,并对规程进行持续改进

6、 数据安全过程维度

6.1数据生存周期

数据生存周期分为以下6个阶段:

a)数据采集:组织内部系统中新产生数据,以及从外部系统收集数据的阶段;

b)数据传输:数据从一个实体传输到另一个实体的阶段;

c)数据存储:数据以任何数字格式进行存储的阶段;

d)数据处理:组织在内部对数据进行计算、分析、可视化等操作阶段;

e)数据交换:组织与组织或个人进行数据交换的阶段;

f)数据销毁:对数据及数据存储媒体通过相应的操作手段,使数据彻底删除且无法通过任何手段恢复的过程。

特定的数据所经历的生存周期由实际的业务所决定,可为完整的6和阶段或是其中的几个阶段。

PA 体系分为数据生存周期安全过程和通用安全过程两部分,共包含30个 PA。

数据安全PA体系

数据生存周期安全过程域包括以下6个过程:

a)数据采集安全的 PA(PA01~PA04)包括:数据分类分级、数据采集安全管理、数据源鉴别及记录、数据质量管理4个PA;

b)数据传输安全的 PA(PA05~PA06)包括:数据传输加密、网络可用性管理2个PA;

c)数据存储安全的PA(PA07~PA09)包括:存储媒体安全、逻辑存储安全、数据备份和恢复3个安全 PA;

d)数据处理安全的 PA(PA10~PA14)包括:数据脱敏、数据分析安全、数据正当使用、数据处理环境安全、数据导入导出安全5个安全PA;

e)数据交换安全的 PA(PA15~PA17)包括:数据共享安全、数据发布安全、数据接口安全3个安 全PA;

f)数据销毁安全的PA(PA18~PA19)包括:数据销毁处置、存储媒体销毁处置2个安全PA。

通用安全过程域(PA20~PA30) 包括:数据安全策略规划、组织和人员管理、合规管理、数据资产管理、数据供应链安全、元数据管理、终端数据安全、监控与审计、鉴别与访问控制、需求分析、安全事件应急11个PA。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/65819.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

【Go】:Sentinel 动态数据源配置指南

前言 在现代微服务架构中,流量控制是确保系统高可用性和稳定性的关键。Sentinel 是一款由阿里巴巴开源的流量控制组件,它不仅支持熔断降级和流量整形,还能通过动态数据源(如本地文件或 Nacos)加载规则,从而…

STM32学习之通信协议1 USART

时钟特性,比如发送一个波形高电平,然后低电平,接收方怎么知道是1、0还是1、1、0、0 ? 这就需要有一个时钟信号来告诉接收方什么时候需要采集数据。时钟特性分为同步和异步。 I2C和SPI有单独的时钟线,所以它们是同步的&…

Arduino 小白的 DIY 空气质量检测仪(3)- TVOC模块、CO2模块

接上回 逐个分析 m_TVOC.h #include <Arduino.h>#include <SoftI2C.h>#include "DFRobot_SGP40.h"// TVOC指数 // 型号&#xff1a;sgp_40 // 接口&#xff1a;VCC->VCC(5V)、GND->GND、SDA->D6、SCL->D7、WAK->GND // 协议&#xff1…

主数据驱动的数据治理框架

目录 数据资产分类 数据治理的重要性 数据质量框架的4个方面 数据治理的核心是加强对数据资产的管控,通过深化数据服务,持续创造价值。数据治 理是在数据资产价值创造的过程中,治理团队对数据资产管理的评价、指导、控制,如下图所示。 数据资产分类 数据资产划分成为主数据…

【大模型实战篇】LLaMA Factory微调ChatGLM-4-9B模型

1. 背景介绍 虽然现在大模型微调的文章很多&#xff0c;但纸上得来终觉浅&#xff0c;大模型微调的体感还是需要自己亲自上手实操过&#xff0c;才能有一些自己的感悟和直觉。这次我们选择使用llama_factory来微调chatglm-4-9B大模型。 之前微调我们是用两块3090GPU显卡&…

AnnotationConfigApplicationContext流程看实例化的beanPostProcessor

接上一篇https://blog.csdn.net/qq_26437925/article/details/144865082 探究一下beanPostProcessors怎么加进来的 目录 首先register(annotatedClasses);后添加了重要的beanDefinition: ConfigurationClassPostProcessorinvokeBeanFactoryPostProcessors(beanFactory);执行后…

pip 下载安装时使用国内源配置

pip 是 Python 的包管理工具&#xff0c;用于安装和管理第三方库。然而&#xff0c;在某些情况下&#xff0c;默认的 PyPI&#xff08;Python Package Index&#xff09;源可能由于网络原因导致下载速度慢或者连接不稳定。幸运的是&#xff0c;我们可以轻松地配置 pip 使用国内…

LinuxC高级day4

作业: 1.思维导图 2.终端输入一个C源文件名(.c结尾)判断文件是否有内容&#xff0c;如果没有内容删除文件&#xff0c;如果有内容编译并执行改文件。 3.终端输入两个文件名&#xff0c;判断哪个文件的时间戳更新

RuoYi-Vue从http升级为https(Jar+Nginx)

一、前提条件 1.已通过数字证书管理服务控制台签发证书。 2.SSL证书绑定的域名已完成DNS解析,即域名与主机IP地址相互映射。 附:阿里云网站运维检测平台 3.已在Web服务器开放443端口(HTTPS通信的标准端口)。 如果使用的是阿里云ECS服务器,请确保已经在安全组规则入方向…

OpenCV相机标定与3D重建(39)计算校正畸变后的新相机内参矩阵函数getOptimalNewCameraMatrix()的使用

操作系统&#xff1a;ubuntu22.04 OpenCV版本&#xff1a;OpenCV4.9 IDE:Visual Studio Code 编程语言&#xff1a;C11 算法描述 根据自由缩放参数返回新的相机内参矩阵。 cv::getOptimalNewCameraMatrix 是 OpenCV 库中的一个函数&#xff0c;用于计算校正畸变后的新相机内…

OkHttp深度解析:请求流程、分发器机制、拦截器工作及TCP连接复用

目录 一、OkHttp请求的请求流程是怎样的? 二、OkHttp分发器是怎样工作的? 2.1 请求队列与线程池维护 2.2 异步请求处理 2.3 同步请求处理 2.4 请求执行 2.5 请求完成处理&#xff1a; 2.6 线程池设计 三、OkHttp拦截器是如何工作的? 四、应用拦截器和网络拦截器的…

云计算课程报告实验-WordCount算法实验 过程记录

内容描述 本实验指导书通过在华为鲲鹏上&#xff0c;编译运行WordCount程序。完成实验操作后&#xff0c;读者会掌握简单的程序编写&#xff0c;如WordCount中的getWords、countWords、treeMerge。 实验环境 华为鲲鹏云主机、openEuler 20.03操作系统&#xff1b;安装mpich-3…

2018年全国硕士研究生入学统一考试管理类专业学位联考英语(二)试题-纯享题目版

&#x1f3e0;个人主页&#xff1a;fo安方的博客✨ &#x1f482;个人简历&#xff1a;大家好&#xff0c;我是fo安方&#xff0c;目前中南大学MBA在读&#xff0c;也考取过HCIE Cloud Computing、CCIE Security、PMP、CISP、RHCE、CCNP RS、PEST 3等证书。&#x1f433; &…

kafka使用常见问题

连接不上kafka,报下边的错 org.apache.kafka.common.KafkaException: Producer is closed forcefully.at org.apache.kafka.clients.producer.internals.RecordAccumulator.abortBatches(RecordAccumulator.java:760) [kafka-clients-3.0.2.jar:na]at org.apache.kafka.client…

Jenkins(持续集成与自动化部署)

Jenkins 是一个开源软件项目&#xff0c;是基于Java开发的一种持续集成工具。 官网&#xff1a;https://www.jenkins.io/ GitLab安装使用 安装前提&#xff1a;内存至少需要4G 官方网站&#xff1a;https://about.gitlab.com/ 安装文档&#xff1a;https://docs.gitlab.c…

MyBatis执行一条sql语句的流程(源码解析)

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 MyBatis执行一条sql语句的流程&#xff08;源码解析&#xff09; MyBatis执行sql语句的流程加载配置文件加载配置文件的流程 创建sqlsessionFactory对象解析Mapper创建sqlses…

【C++】探索C++11中的范围for循环与auto关键字

博客主页&#xff1a; [小ᶻ☡꙳ᵃⁱᵍᶜ꙳] 本文专栏: C 文章目录 &#x1f4af;前言&#x1f4af;1. 范围for循环的基础用法1.1 什么是范围for循环&#xff1f;1.2 示例代码代码解析 1.3 范围for的特点传统for循环与范围for循环对比 1.4 使用引用修改元素 &#x1f4af;2…

mac下载Homebrew安装nvm

通过Homebrew安装 - 国内下载地址 /bin/zsh -c "$(curl -fsSL https://gitee.com/cunkai/HomebrewCN/raw/master/Homebrew.sh)"安装nvm brew install nvm 配置nvm环境变量 export NVM_DIR“$HOME/.nvm” [ -s “/usr/local/opt/nvm/nvm.sh” ] && . “/usr/…

解決當前IP地址僅適用於本地網路

想要解決“當前IP地址僅適用於本地網路”其實並不困難。本篇文章將介紹其發生的原因以及如何解決。 “僅限本地網路”是什麼意思&#xff1f; 當IP地址為“僅限本地網路”時&#xff0c;意味著設備正在使用私人網路內部IP地址&#xff0c;但無法連接到互聯網。如果將本地IP視…

HANA数据库 XS 503 Service not available

http_url配置正确 在将单个数据库系统转换为多租户数据库容器系统之后&#xff0c;无法通过URL访问新租户数据库的独立XS引擎服务。调用相应的URL会产生这样的错误&#xff1a;503服务不可用 Solution &#xff08;启用租户数据库引擎的嵌套模式&#xff08;HDD不用&#xff…