GB/T 37988-2019《信息安全技术数据安全能力成熟度模型》由中华人民共和国国家标准化管理委员会于2019年8月30日正式发布,2020年3月1日实施。《信息安全技术数据安全能力成熟度模型》(Data Security MaturityModel,简称DSMM)适用于组织对数据安全能力进行评估,也可以作为组织开展数据安全能力建设时的依据。
DSMM评估价值
通过对于企业数据安全管理成熟度的评估,可以发现企业数据安全管理过程中存在的问题,推动企业和组织构建数据安全管理体系,进一步提升企业竞争力和可信度。
1、梳理企业数据安全现状通过问卷、访谈的形式对现状进行了解,发现企业和组织的数据安全能力短板。
2、建立数据安全管理体系确保已建立的数据安全管理体系有效运转和持续提升,从整体上提升企业的数据安全水平。
3、带来差异化竞争能力数据安全管理能力成熟度认证能向企业客户和合作伙伴表明组织保障数据安全能力,有助于增加组织在同行业内竞争优势。
4、提升企业安全管理意识数据安全能力提升,能降低数据安全事件给组织带来损失,提升组织员工数据安全意识。
DSMM模型架构范围
DSMM包含三个维度:
安全能力维度:组织建设、制度流程、技术工具和人员能力;
能力成熟度维度:1级:非正式级、2级:计划跟踪、3级:充分定义、4级量化控制、5级持续优化;
数据安全过程维度:数据全生命周期维度,包括数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁安全,以及通用安全过程。
以DSMM思想指导建设的数据安全框架体系,是通过评估基于数据生命周期及通用安全过程的基本实践,从安全能力维度的4个方面考察企业的满足程度,确定企业达到的成熟度等级。
DSMM模型架构图
DSMM能力成熟度等级维度
1
非正式执行(1级)
组织在数据安全过程中不能有效地执行相关工作,仅在部分业务执行过程中根据临时的需求执行了相关工作,未形成成熟的机制保证相关工作的持续有效进行,执行相关工作的人员未达到相应能力。
2
计划跟踪(2级)
• 规划执行:对安全过程进行规划,提前分配资源和责任
• 规范执行:对安全过程进行控制,使用执行计划、执行基于标准和程序的过程,对数据安全过程实施配置管理;
• 验证执行:确认过程按预定的方式执行,验证过程的执行与计划是一致的;
• 跟踪执行:控制数据安全过程执行的进展,通过可测量的计划跟踪过程的执行,当过程实践与计划产生重大偏离时采取修正行动。
3
充分定义(3级)
• 定义标准过程:组织对标准过程进行制度化,为组织定义标准化的过程文档,为满足特定用途对标准过程进行裁剪;
• 执行已定义的过程:充分定义的过程是可重复执行的,并使用过程执行的结果数据,对有缺陷的过程结果和安全实践进行核查;
• 协调安全实践:确定业务系统内、各业务系统之间、组织外部活动的协调机制。
4
量化控制(4级)
• 建立可测的安全目标:为组织的数据安全建立可测量目标;
• 客观地管理执行:确定过程能力的量化测量,使用量化测量管理安全过程,并以量化测量作为修正行动的基础;
• 协调安全实践:确定业务系统内、各业务系统之间、组织外部活动的协调机制。
5
持续优化(5级)
•改进组织能力:在整个组织范围内对规程的使用进行比较,寻找改进规程的机会,并进行改进。
• 改进过程有效性:制定处于持续改进状态下的规程,对规程的缺陷进行消除,并对规程进行持续改进。
DSMM贯标流程
步骤 1:差距分析
步骤 2:能力建设
步骤 3:测量评估
DSMM贯标流程图