目录
DSMM是什么?
1、能力成熟度等级评估流程
2、DSMM评估方式?
3、能力成熟度模型使用方法
4、 安全能力维度
4.1 能力构成
4.2 组织建设
4.3 制度流程
4.4 技术工具
4.5 人员能力
5、 能力成熟度等级维度
6、 数据安全过程维度
数据安全能力建设工作并非从零开始,大部分组织在此前或多或少已有一些安全体系,基本上是围绕 信息系统和网络环境开展安全保护工作,主要聚焦在信息安全和网络安全;而数据安全是以数据为核心, 围绕数据安全生命周期进行建设以高数据安全保障能力,所以需要与当前安全体系进行融合。在决策层 确定数据安全目标和愿景之后,再由数据安全管理层根据组织的业务发展实际情况讨论具体的融合方式。
DSMM是什么?
《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)是2020年3月1日实施的一项中华人民共和国国家标准,归口于全国信息安全标准化技术委员会。
《信息安全技术—数据安全能力成熟度模型》(GB/T 37988-2019)给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。该标准适用于对组织数据安全能力进行评估,也可作为组织开展数据安全能力建设时的依据。
1、能力成熟度等级评估流程
数据安全能力成熟度等级的评估从组织建设、制度流程、技术工具和人员能力4个关键能力展开。通过对各项安全过程所需具备安全能力的评估,可评估组织在每项安全过程的实现能力属于哪一等级。
能力成熟度等级评估要素如下:
a) 对能力成熟度等级的详细评估流程如下:
1) 确定模型适用范围:分析需要保护的数据资产及业务范围,确定模型使用或评估范围。
2) 确定能力成熟度级别目标:分析组织机构数据安全风险,确定能力成熟度等级建设目标。
3) 选取安全 PA: 针对组织机构的数据相关的业务现状,选取适当的数据安全 PA 。 例如,对于有的组织机构而言,不存在数据对外共享的处理,则无需选择共享安全的 PA。
4) 执行 BP: 依据标准对各等级数据安全 BP 要求,从4个关键能力进行落地和不断改进提升。
5) PA 安全评估:基于选择的安全PA 范畴,针对各项安全 PA 对组织机构的数据安全实践情况进行现状的调研和分析。按附录 A 各级别的 GP 描述确定该 PA 的等级,参见表 B.1。
6) 确定组织机构整体等级:结合所有 PA 的等级,确定组织机构整体的数据安全能力成熟度等级,对数据安全能力进行持续建设和改进。
b) 其中,对4个关键能力的评估方法如下:
1) 组织建设:评估是否具有开展工作的专职/兼职岗位、团队或人员,其工作职责是否通过规范要求或其他手段得到确认和保障;
2) 制度流程:检查是否有关键数据安全领域的制度规范和流程及其在组织机构内的落地执行情况;
3) 技术工具:检查组织机构内的各项安全技术手段、通过产品工具固化安全要求或自动化的安全作业的实施运作情况;
4) 人员能力:执行数据安全工作的人员是否经过专业的技能和安全意识教育培训。
2、DSMM评估方式?
DSMM的评估所采用的方式与基线风险评估的方式类似,可以包括但不限于以下几种手段:
1)人员访谈:通过访谈的方式与被评估方进行交流、讨论等活动,获取相关证据,了解有关信息;
2)文档审核:由被评估方输入与数据安全相关的文档材料(如数据安全的方针政策、制度规范流程、培训教育材料、以及与产品技术相关的设计实施方案、配置说明、运行记录和其他配套表单),评估小组审核相关的文档材料是否已涵盖完整数据生存周期的PA和控制项;
3)配置检査:根据被评估方提供的技术材料,登录相关的系统工具平台,检査配置是否与材料保持一致,对文档审核内容进行核实;
4)工具测试:利用技术工具对系统工具进行测试,验证是否符合数据安全成熟度模型特定等级的技术能力要求;
5)旁站式验证:评估人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全意识、业务操作、管理程序等方面的安全情况。
3、能力成熟度模型使用方法
由于各组织机构在业务规模、业务对数据的依赖性以及组织机构对数据安全工作定位等方向的差异,组织机构对模型的使用应“因地制宜”。
使用模型时,组织机构应首先明确其数据安全能力的目标成熟度等级。根据对组织机构整体的数据安全能力成熟度等级的定义,组织机构可以选择适合自己业务实际情况的数据安全能力成熟度等级目标。本标准定义的数据安全能力成熟度等级中,3级目标适用于所有具备数据安全保障需求的组织机构作为自己的短期目标/长期目标,具备了3级的数据安全能力则意味着组织机构能够针对数据安全的各方面风险进行有效的控制。然而,对于业务中尚未大量依赖于大数据技术的组织机构而言, 数据仍然倾向于在固有的业务环节中流动,其数据安全保障的需求整体弱于强依赖于大数据技术的组织机构,因此其短期目标可先定位为2级,待达到2级的目标之后再进一步提升到3级的能力。
在确定目标成熟度等级的前提下,组织机构根据数据生存周期所覆盖的业务场景挑选适用于组织机构的数据安全PA 。 例如组织机构 A 不存在数据交换的情况,因此数据交换的PA 就可以从评估范围中剔除掉。
最后,组织机构基于对成熟度模型内容的理解,识别数据安全能力现状并分析与目标能力等级之间的差异,在此基础上进行数据安全能力的整改提升计划。而伴随着组织机构业务的发展变化,组织机构也需要定期复核、明确自己的目标成熟度等级,然后开始新一轮目标达成的工作。
缩略语
PA:过程域(Process Area)
BP:基本实践(Basic Practice)
GP:通用实践(Generic Practice)
DSMM:数据安全能力成熟度模型(Data Security Capability Maturity Model)
DSMM架构图
DSMM评估以组织为单位,以数据为中心,围绕数据的生命周期,对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估,涵盖5个能力成熟度等级、30个数据安全能力过程域和576个基本实践。
四个安全能力维度:组织建设、制度流程、技术工具、人员能力;
七个安全过程维度:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全,共计30个过程域;
五个安全能力等级:将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级。
形成一个三维立体模型,全方面对数据安全进行能力建设。
4、 安全能力维度
4.1 能力构成
通过对组织各数据安全过程应具备安全能力得到量化,进而评估每项安全过程的实现能力。
安全能力分为下面4个方面:
a)组织建设:数据安全组织的设立、职责分配和沟通协作;
b)制度流程:组织数据安全领域的制度和流程执行;
c)技术工具:通过技术手段和产品工具落实安全要求或自动化实现安全工作;
d)人员能力:执行数据安全工作的人员的安全意识及相关专业的能力。
4.2 组织建设
从承担数据安全工作的组织应具备的组织建设能力角度,根据以下方面进行能力等级区分:
a)数据安全组织架构对组织业务的适用性;
b)数据安全组织承担的工作职责的明确性;
c)数据安全组织运作沟通协调的有效性。
4.3 制度流程
从组织在数据安全制度流程的建设以及执行情况角度,根据以下方面进行能力等级区分:
a)数据生存周期关键控制节点授权审批流程的明确性;
b)相关流程制度的制定、发布、修订的规范性;
c)制度实施的一致性和有效性。
4.4 技术工具
从组织用于开展数据安全工作的安全技术、应用系统和工具出发,根据以下方面进行能力等级区分:
a)数据安全技术在数据全生存周期过程中的利用情况,应对数据全生存周期安全风险的能力;
b)利用技术工具对数据安全工作的自动化支持能力,对数据安全制度流程固化执行的实现能力。
4.5 人员能力
从组织承担数据安全工作的人员应具备的能力出发,根据以下方面进行能力等级区分:
a)数据安全人员所具备的数据安全技能是否能够满足实现安全目标的能力要求(对数据相关业务的理解程度以及数据安全专业能力);
b)数据安全人员的数据安全意识以及对关键数据安全岗位员工数据安全能力的培养。
5、 能力成熟度等级维度
1级(非正式执行)主要特点:数据安全工作是随机、无序、被动执行的,依赖与个人经验,无法复制。组织在数据安全领域未执行有效的相关工作,仅在部分场景或项目的临时需求执行相关工作,未形成成熟的机制,来保障数据安全相关工作的持续开展。
2级(计划跟踪)主要特点:在项目级别主动实现了安全过程的计划与执行,没有形成体系化。规划执行,对数据安全过程进行规划,提前分配资源和责任;规范化执行,对安全过程进行控制,使用安全执行计划,执行相关标准和程序的过程,对数据安全过程实施配置管理;验证执行,确认过程按照预定的方式执行,验证执行过程与可应用的计划是一致的,对数据安全过程进行审计;跟踪执行,控制数据安全项目的进展,通过可测量的计划跟踪过程执行,当过程实践与计划产生重大的偏离时采取修正行动。
3级(充分定义)主要特点:在组织级别实现了安全过程的规范定义和执行。定义标准过程,组织对标准过程进行制度化,形成标准化过程文档,为满足特定用途对标准过程进行裁剪;执行已定义的过程,充分定义的过程可重复执行,针对有缺陷的过程结果和安全实践的核查,使用过程执行的结果数据;协调安全实践,对业务系统和组织的协调,确定业务系统内,各业务系统之间、组织外部活动的协调机制。
4级(量化控制)主要特点:建立了量化目标,安全过程可量化度量和预测。建立可测的目标,为组织数据安全建立可测量的目标;客观的管理执行,确定过程能力的量化测量来管理安全过程,以量化测量作为修正行动的基础。
5级(持续优化)主要特点:根据组织的整理战略和目标,不断改进和优化数据安全过程。改进组织能力,在整个组织范围内的标准过程使用情况进行比较,寻找改进标准过程的机会,分析对标准过程的可能变更。改进过程有效性,制定处于连续受控改进状态下的标准过程,提出消除标准过程产生缺陷的原因和持续改进的标准过程。
数据安全能力成熟度等级 | 共性特征 | 说明 |
等级1:非正式执行 | 执行BP:组织在数据安全过程中不能有效地执行相关工作,仅在部分业务执行过程中根据临时的需求执行了相关工作,未形成成熟的机制保证相关工作的持续有效进行,执行相关工作的人员未达到相应能力。所执行的过程称为”非正式过程” | 随机、无序、被动地执行安全过程,依赖于个人经验,无法复制 |
等级2:计划跟踪 | a)规划执行:对安全过程进行规划,提前分配资源和责任。 | 在业务系统级别主动地实现了安全过程的计划与执行,但没有形成体系化 |
b)规范执行:对安全过程进行控制,使用执行计划、执行基于标准和程序的过程,对数据安全过程实施配置管理。 | ||
c) 验证执行:确认过程按预定的方式执行,验证过程的执行与计划是一致的。 | ||
d) 跟踪执行:控制数据安全过程执行的进展,通过可测量的计划跟踪过程的执行,当过程实践与计划产生重大偏离时采取修正行动 | ||
等级3:充分定义 | a) 定义标准过程:组织对标准过程进行制度化,为组织定义标准化的过程文档,为满足特定用途对标准过程进行裁剪。 | 在组织级别实现了安全过程的规范执行 |
b) 执行已定义的过程:充分定义的过程是可重复执行的,并使用过程执行的结果数据,对有缺陷的过程结果和安全实践进行核查。 | ||
c)协调安全实践:确定业务系统内、各业务系统之间、组织外部活动的协调机制 | ||
等级4:最化控制 | a) 建立可测的安全目标:为组织的数据安全建立可测量指标。 | 建立了量化目标,安全过程可度量 |
b) 客观地管理执行:确定过程能力的量化测量,使用量化测虽管理安全过程,并以量化测量作为修正行动的基础 | ||
等级5:持续优化 | a)改进组织能力:在整个组织范围内对规程的使用进行比较,寻找改进规程的机会,并进行改进。 | 根据组织的整体目标,不断改进和优化安全过程 |
b)改进过程有效性:制定处于持续改进状态下的规程,对规程的缺陷进行消除,并对规程进行持续改进 |
6、 数据安全过程维度
6.1数据生存周期
数据生存周期分为以下6个阶段:
a)数据采集:组织内部系统中新产生数据,以及从外部系统收集数据的阶段;
b)数据传输:数据从一个实体传输到另一个实体的阶段;
c)数据存储:数据以任何数字格式进行存储的阶段;
d)数据处理:组织在内部对数据进行计算、分析、可视化等操作阶段;
e)数据交换:组织与组织或个人进行数据交换的阶段;
f)数据销毁:对数据及数据存储媒体通过相应的操作手段,使数据彻底删除且无法通过任何手段恢复的过程。
特定的数据所经历的生存周期由实际的业务所决定,可为完整的6和阶段或是其中的几个阶段。
PA 体系分为数据生存周期安全过程和通用安全过程两部分,共包含30个 PA。
数据安全PA体系
数据生存周期安全过程域包括以下6个过程:
a)数据采集安全的 PA(PA01~PA04)包括:数据分类分级、数据采集安全管理、数据源鉴别及记录、数据质量管理4个PA;
b)数据传输安全的 PA(PA05~PA06)包括:数据传输加密、网络可用性管理2个PA;
c)数据存储安全的PA(PA07~PA09)包括:存储媒体安全、逻辑存储安全、数据备份和恢复3个安全 PA;
d)数据处理安全的 PA(PA10~PA14)包括:数据脱敏、数据分析安全、数据正当使用、数据处理环境安全、数据导入导出安全5个安全PA;
e)数据交换安全的 PA(PA15~PA17)包括:数据共享安全、数据发布安全、数据接口安全3个安 全PA;
f)数据销毁安全的PA(PA18~PA19)包括:数据销毁处置、存储媒体销毁处置2个安全PA。
通用安全过程域(PA20~PA30) 包括:数据安全策略规划、组织和人员管理、合规管理、数据资产管理、数据供应链安全、元数据管理、终端数据安全、监控与审计、鉴别与访问控制、需求分析、安全事件应急11个PA。