一、DSMM简介
数据安全能力成熟度模型----DSMM:规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。
术语与定义:
1、数据安全:通过管理和技术措施,确保数据有效保护和合规使用状态。
2、保密性:使信息不泄露给未授权的个人、实体、进程、或不被其利用的特性。
3、完整性:准确和完备的特性。
4、可用性:已授权实体一旦需要就可访问和使用的数据和资源的特性。
5、数据安全能力:组织在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障。
6、能力成熟度:对一个组织有条理的持续改进能力以及实现特性过程的连续性、可持续性、有效性和可信度的水平。
7、能力成熟度模型:对一个组织的能力成熟度进行度量的模型,包括一系列代表能力和进展的特征、属性、指示或者模式。
注:能力成熟度模型为组织衡量其当前的实践、流程、方法的能力水平提供参考基准,并设置明确的提升目标。
8、安全过程:用于实现某一安全目标的完整过程,该过程包含输入与输出。
示例:"安全审计"这一安全过程,输入是系统日志,输出是审计报告。
9、过程域:实现同一安全目标的相关数据安全基本实践的集合。
注:一个过程域中包含一个或多个基本实践。
示例:"元数据管理"这一过程域,包含建立元数据管理规范、建立元数据访问控制策略、建立元数据技术工具等基本实践。
10、基本实践:实现某一安全目标的数据安全相关活动。
示例:建立数据资产清单,对数据资产进行分类分级管理等。
11、通用实践:在评估中用于确定任何安全过程域或基本实践的实施能力的评定准则。
12、数据脱敏:通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。
13、数据处理:对原始数据进行抽取、转换、加载的过程。
注1:数据处理包括开发数据产品或数据分析等。
注2:数据产品包括但不限于能发访问原始数据,提供数据计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的软硬件产品。
14、数据供应链:为满足数据供应关系,通过资源和过程将需方、供方相互关联的结构。
15、规程:对执行一个给定任务所采取动作历程的书面描述。
16、合规:对数据安全所适用的法律法规的符合程度。
缩略语:
BP:基本实践
DSMM:数据安全能力成熟度模型
GP:通用实践
PA:过程域
SSL:安全套接层
TLS:传输层安全
二、DSMM架构
成熟度模型架构图:
DSMM架构由以下三个维度构成:1、安全能力维度:安全能力维度明确了组织在数据安全领域应具备的能力,包括组织建设、制度流程、技术工具和人员能力。2、能力成熟度等级维度:数据安全能力成熟度等级划分为五级,具体包括:1级非正式执行级、2级计划跟踪级、3级充分定义级、4级量化控制级、5级持续优化级。3、数据安全过程维度: ①数据安全过程包括数据生存周期安全过程和通用安全过程。 ②数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。
三、安全能力维度
1、能力构成
通过对组织个数据安全过程应具备能力的量化,进而评估每项安全过程的实现能力。安全能力分为以下4个方面:a、组织建设:数据安全组织的设立、职责分配和沟通写作; b、制度流程:组织数据安全领域的制度和流程执行;c、技术工具:通过技术手段和产品工具落实安全要求或自动化实现安全工作;d、人员能力:执行数据安全工作的人员的安全意识及相关专业能力。
2、组织建设
从承担数据安全工作的组织应具备的组织建设能力角度,根据以下方面进行能力等级区分:a、数据安全组织架构对组织业务的适用性; b、数据安全组织承担的工作职责的明确性;c、数据安全组织运作、沟通协调的有效性。
3、制度流程
从组织在数据安全制度流程的建设以及执行情况的角度,根据以下方面进行能力等级区分:a、数据生存周期关键控制节点授权审批流程的明确性; b、相关流程制度的制定、发布、修订的规范性;c、制度流程实施的一致性和有效性。
4、技术工具
从组织用于开展数据安全工作的安全技术、应用系统和工具出发,根据以下方面进行能力等级区分:a、数据安全技术在数据全生存周期过程中的利用情况,应对数据全生存周期安全风险的能力;b、利用技术工具对数据安全工作的自动化支持能力,对数据安全制度流程固化执行的实现能力。
5、人员能力
从组织承担数据安全工作的人员应具备的能力出发,根据以下方面进行能力等级区分:a、数据安全人员所具备的数据安全技能是否能够满足实现安全目标的能力要求(对数据相关业务的理解程度以及数据安全专业的能力);b、数据安全人员的数据安全意识以及对数据安全岗位人员数据安全能力的培养。
四、能力成熟度等级维度
组织的数据安全能力成熟度等级共分为5级,见下表:
能力成熟度等级与PA(过程域)、BP(基本实践)、安全能力的关系如下:a)将组织在每个数据安全PA的能力成熟度划分为五级,针对每个等级下组织应具备的能力要求,从4个安全能力(组织建设、制度流程、技术工具及人员能力)提出具体的BP。b)3级要求应包含全部4个安全能力,其他等级要求可不包含完整的4个数据安全关键能力,并非每个安全PA能力成熟度等级都包含完整的4个数据安全关键能力。示例:某些PA的2级要求具备组织建设和制度流程两个关键能力,而4级和5级的能力要求仅涉及部分关键能力如组织建设、技术工具的提升。c)对于每个数据安全PA,高等级的能力要求应包括所有低等级能力要求。针对某一具体数据安全PA,如果5级的能力要求中未涉及某一关键能力的内容,则默认应达到在4级的能力要求中的该关键能力的内容;如果4级的能力要求中依旧未涉及该关键能力,则默认应达到在3级的能力要求中该关键能力的内容,依次类推。
五、数据安全过程维度
1、数据生存周期 数据生存周期分为以下6个阶段:
a)数据采集:组织内部系统中新产生的数据,以及从外部系统收集数据的阶段;
b)数据传输:数据从一个实体传输到另一个实体的阶段;
c)数据存储:数据以任何数字格式进行存储的阶段;
d)数据处理:组织在内部对数据进行计算、分析、可视化等操作的阶段;
e)数据交换:组织与组织或个人进行数据交换的阶段;
f)数据销毁:对数据级数据存储媒体通过相应的操作手段,使数据彻底删除且无法通过任何手段恢复的过程。特定的数据所经历的生存周期由实际的业务所决定,可为完整的6个阶段或是其中的几段。
2、数据安全PA(过程域)体系PA体系分为数据生命周期安全过程和通用安全过程两部分,共包含30个PA,如下图:
数据来源:GB/T37988-2019