《信息安全技術 數據安全能力成熟度模型》(GB/T 37988-2019)(以下簡稱“DSMM”)是由阿里巴巴聯合中國電子技術標準化研究院����、國家信息安全工程技術研究中心、中國信息安全測評中心等業內權威機構聯合編寫的國家標準��,于2019年8月30日發布���,2020年3月1日正式實施����。
(相關資料圖)
近年來,隨著信息技術和人類生產生活交匯融合��,通過網絡收集�����、存儲�、傳輸��、處理和產生的各種數據迅猛增長�����。為了便于大家可以快速了解DSMM�����,擎標給大家將常見的問題做了匯總���。
一���、DSMM的基礎申報條件
具有獨立企業法人地位�����,屬于數據擁有方或數據方案提供方;
社會信譽良好��,有良好的知識產權保護意識��,近三年無觸犯國家法律法規的行為�,無經營異?��;驀乐剡`法失信行為���,無不正當競爭行為�����;
滿足《GB_T 37988-2019 信息安全技術 數據安全能力成熟度模型》相應級別要求���;
有5人左右參與相關數據安全管理工作的人員����。
二�����、DSMM的等級劃分有哪些?
DSMM將數據管理能力成熟度劃分為五個等級��,自低向高依次為
1級:非正式執行�����、2級:計劃跟蹤���、3級:充分定義����、4級:量化控制、5級:持續優化,不同等級代表企業數據安全管理和應用的成熟度水平不同。
數據安全過程維度——數據生命周期全過程��,包括數據 采集�����、數據傳輸��、數據存儲、數據處理、數據交換�、 數據銷毀安全����,以及通用安全過程�����。
三、DSMM每個級別有什么區別�?
L1非正式執行:執行非正式過程��,隨機、無序���、被動執行安全過程,依賴個人經驗����,無法復制�。
L2計劃跟蹤:在業務系統級別主動實現了安全過程的計劃與執行����,但沒有形成體系化,可驗證過程執行與計劃一致��,跟蹤���、控制執行的進展���。
L3充分定義:在組織級別實現了安全過程的規范執行��,標準過程進行制度化��,過程可重復執行,執行結果可核查�����。
L4量化控制:建立了量化目標����,安全過程可度量。
L5持續優化:根據組織的整體目標�,不斷改進和優化組織能力和安全過程有效性�����。
四�、DSMM的架構
DSMM的架構由四個安全能力維度、七個安全過程維度、五個安全能力等級構成。四個安全能力維度:組織建設、制度流程����、技術工具�����、人員能力;
七個安全過程維度:數據采集安全����、數據傳輸安全�、數據存儲安全�����、數據處理安全����、數據交換安全、數據銷毀安全���、通用安全,共計30個過程域���;
五個安全能力等級:從低到高依次1至5級。
七�����、DSMM評估方式有哪些���?
DSMM評估方式主要包括人員訪談�、文檔審 核��、配置檢查�����、工具測試、旁站式驗證等方式��,具體情況如下:
(1)文檔審核:由被評價組織輸入與數據安全相關的文檔材料(如數據 安全的方針政策�、制度規范流程、培訓教育材料����、以及 與產品技術相關的設計實施方案�����、配置說明、運行記錄 和其他配套表單)、審核小組審核相關的文檔材料是否 已涵蓋完整數據生存周期的PA和控制項��。
(2)配置檢查:根據被審核方提供的技術材料��,登陸相關的系統工具 平臺��,檢査配置是否與材料保持一致,對文檔審核內容進行核實。
(3)工具測試:利用技術工具對系統工具進行測試����,驗證是 否符合數據安全成熟度模型特定等級的技術 能力要求���,也可采信第三方的測試報告����。
(4)旁站式驗證:審核人員在現場通過實地觀察人員行為���、技術設施和環境狀況判斷人員的安全 意識����、業務操作��、管理程序等方面的安全情況��。
(5)人員訪談:通過訪談的方式與被審核方進行交流、討論 等活動�,獲取相關證據��,了解有關信息。
擎標信息技術服務有限公司是一家致力于科技風險與合規內控領域提供解決方案的咨詢服務機構�。公司主要從事ITSS����、CMMI�、ISO27001、ISO27701��、ISO22301�、ISO20000、CCRC�����、涉密資質等領域的管理規劃���、體系建設���、工具支持及咨詢評估服務�。
關鍵詞:
