筆者所在公司有幸作為首批十家試點(diǎn)單位之一，受邀參加國(guó)家標(biāo)準(zhǔn)《DSMM 數(shù)據(jù)安全能力成熟度模型》（報(bào)批稿）（以下簡(jiǎn)稱 DSMM）的試點(diǎn)自評(píng)估項(xiàng)目，并作為試點(diǎn)企業(yè)代表參加了信安標(biāo)委召開的試點(diǎn)工作總結(jié)會(huì)；下面分享下我們對(duì) DSMM 標(biāo)準(zhǔn)的一些理解和試點(diǎn)體會(huì)。

一、什么是 DSMM

DSMM 標(biāo)準(zhǔn)以數(shù)據(jù)為中心，重點(diǎn)圍繞數(shù)據(jù)生命周期，從組織建設(shè)、制度流程、技術(shù)工具和人員能力四個(gè)方面進(jìn)行安全保障。

DSMM 標(biāo)準(zhǔn)關(guān)注企業(yè)自身業(yè)務(wù)產(chǎn)生的數(shù)據(jù)和與外部第三方組織交互的數(shù)據(jù)，以衡量組織機(jī)構(gòu)的數(shù)據(jù)安全能力，促進(jìn)組織機(jī)構(gòu)了解并提升自身的數(shù)據(jù)安全水平。

DSMM 標(biāo)準(zhǔn)原文數(shù)據(jù)安全能力成熟度模型架構(gòu)如圖 1 如示：

圖 1：數(shù)據(jù)安全能力成熟度模型架構(gòu)圖

PS:本文對(duì) DSMM 標(biāo)準(zhǔn)的介紹如無特別說明，均依據(jù) 2018.11.09 報(bào)批稿版本。

如圖 1 所示，DSMM 標(biāo)準(zhǔn)包括：

4 大安全能力維度(組織建設(shè)、制度流程、技術(shù)工具、人員能力);

7 大數(shù)據(jù)安全過程維度(數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全);

5級(jí)(從低到高依次 1-5 級(jí))，DSMM 標(biāo)準(zhǔn)對(duì)不同等級(jí)進(jìn)行了定義和描述，3 級(jí)標(biāo)準(zhǔn)共計(jì) 282 個(gè)評(píng)估項(xiàng)。

7大過程維度又可細(xì)分為共 30 個(gè)過程域，7 大過程維度與 30 個(gè)過程域?qū)?yīng)關(guān)系如圖 2 所示：

圖 2：數(shù)據(jù)安全過程域體系(點(diǎn)擊查看大圖)

如圖 2 所示，每個(gè)過程域均劃分為 5 級(jí)，每級(jí)從 4 個(gè)安全能力維度(組織建設(shè)、制度流程、技術(shù)工具、人員能力)提出具體的能力要求;

并非每級(jí)均包含完整的 4 個(gè)維度的能力要求，如圖 2 所示，在 6.1 PA01 PA01 數(shù)據(jù)分類分級(jí)這一過程域中，僅 3 級(jí)要求包含完整的 4 個(gè)維度的要求;

對(duì)于每個(gè)數(shù)據(jù)安全過程域，高等級(jí)的能力要求包括所有低等級(jí)能力要求，針對(duì)某一具體數(shù)據(jù)安全過程域，如果 5 級(jí)的能力要求中未涉及某一關(guān)鍵能力的內(nèi)容，則默認(rèn)需達(dá)成在 4 級(jí)的能力要求中的該關(guān)鍵能力的內(nèi)容，依此內(nèi)推。

DSMM 標(biāo)準(zhǔn)和 ISO27000 標(biāo)準(zhǔn)、等保標(biāo)準(zhǔn)有何相同，又有何不同?

等保標(biāo)準(zhǔn)以備案系統(tǒng)為主要評(píng)估對(duì)象，偏向傳統(tǒng)基礎(chǔ)安全管理，側(cè)重于物理安全、網(wǎng)絡(luò)安全、安全建設(shè)管理等方面的安全保護(hù)。

ISO27000 側(cè)重于信息安全管理體系的建設(shè)，作為體系化的指導(dǎo)文件幫助企業(yè)建立、實(shí)施和文件化信息安全管理體系(ISMS)的要求。

DSMM 強(qiáng)調(diào)數(shù)據(jù)保護(hù)，以數(shù)據(jù)為中心，在數(shù)據(jù)備份、數(shù)據(jù)銷毀等方面與等保和 ISO27000 有重合，但是 DSMM 關(guān)注的數(shù)據(jù)采集、溯源、分析等視角，等保和 ISO27000 均未涉及，DSMM 對(duì)制度流程的要求均建立在具體的數(shù)據(jù)保護(hù)過程之上，DSMM 還強(qiáng)調(diào)對(duì)人員能力的評(píng)估。

DSMM 標(biāo)準(zhǔn)與等保一樣有分級(jí)的概念，但關(guān)注的是數(shù)據(jù)整個(gè)生命周期的安全控制，與業(yè)務(wù)貼合更緊密。

DSMM 可以給企業(yè)帶來什么好處

DSMM 標(biāo)準(zhǔn)可為組織機(jī)構(gòu)在不同階段，開展數(shù)據(jù)保護(hù)建設(shè)，提供分級(jí)別的基本實(shí)踐。

二、如何開展 DSMM 評(píng)估

DSMM 評(píng)估的是整個(gè)組織機(jī)構(gòu)的數(shù)據(jù)成熟能力，不局限于某一系統(tǒng)，如果公司業(yè)務(wù)復(fù)雜，數(shù)據(jù)規(guī)模較大，建議按照業(yè)務(wù)部門進(jìn)行拆分，逐個(gè)擊破。我們?cè)?DSMM 標(biāo)準(zhǔn)評(píng)估過程中評(píng)估流程如下。

在具體實(shí)踐中，我們按照不同的業(yè)務(wù)部門，分別進(jìn)行評(píng)估。首先敲定各業(yè)務(wù)部門的負(fù)責(zé)人，由該負(fù)責(zé)人輔助評(píng)估過程中的資源協(xié)調(diào)工作。然后我們與各部門負(fù)責(zé)人一起梳理基本業(yè)務(wù)流程，結(jié)合 DSMM 的過程域，按照線上生產(chǎn)數(shù)據(jù)和線下離線數(shù)據(jù)兩條線，確定各過程域的訪談部門和訪談人員，隨著評(píng)估工作的開展，具體訪談人員會(huì)持續(xù)增加。

DSMM 實(shí)際訪談對(duì)象主要為開發(fā)和 IT 人員，包括開發(fā)、DBA、桌面等公共團(tuán)隊(duì)，也涉及到對(duì)產(chǎn)品、運(yùn)營(yíng)、HR、業(yè)務(wù)等崗位人員的訪談評(píng)估。

因?yàn)樵u(píng)估項(xiàng)較多，評(píng)估人員需仔細(xì)研讀 DSMM 的評(píng)估項(xiàng)，提前對(duì)評(píng)估項(xiàng)進(jìn)行總結(jié)歸納，信安標(biāo)委后續(xù)提供的在線自評(píng)估工具也可作為評(píng)估輔助工具。

為了工作更高效開展，在開展 DSMM 評(píng)估之前，我們編制了 DSMM 評(píng)估工具檢查表，如圖 3 所示：

圖 3：DSMM Assessment Tool 截圖(點(diǎn)擊查看大圖)

三、DSMM 評(píng)估過程中可能遇到的問題

DSMM 評(píng)估結(jié)果，與評(píng)估人員對(duì)標(biāo)準(zhǔn)的理解有很大關(guān)系，如何更好的理解 DSMM 的要求并很好的傳達(dá)給被評(píng)估人員?

建議：評(píng)估人員對(duì)標(biāo)準(zhǔn)進(jìn)行歸納提煉，參考 DSMM 評(píng)估指南進(jìn)行理解消化，與被評(píng)估人員進(jìn)行交流時(shí)進(jìn)行發(fā)散引導(dǎo)，不宜直接照本宣讀 DSMM 的評(píng)估項(xiàng)。

DSMM 評(píng)估結(jié)果，受限于評(píng)估覆蓋的范圍和深度，以及被評(píng)估人員的配合情況

建議：評(píng)估人員應(yīng)提前做好相關(guān)準(zhǔn)備，提前了解業(yè)務(wù)基本情況和基本工具，做到心中有數(shù)，訪談范圍盡量全面;選擇被訪談對(duì)象時(shí)盡量選擇熟悉業(yè)務(wù)場(chǎng)景的資深人員，對(duì)訪談?wù)叻答伒那闆r需進(jìn)行基本驗(yàn)證，如現(xiàn)場(chǎng)查看、文檔查閱等。

總體來說，DSMM 標(biāo)準(zhǔn)為企業(yè)的數(shù)據(jù)生命周期的安全提供了比較好的實(shí)踐要求，但是目前 DSMM 標(biāo)準(zhǔn)報(bào)批稿也存在著一些小問題，如部分評(píng)估項(xiàng)晦澀難懂或者冗長(zhǎng)或者描述不清晰，企業(yè)的數(shù)據(jù)成熟能力需要達(dá)到什么級(jí)別，該級(jí)別對(duì)企業(yè)又意味著什么，目前的評(píng)估指南與 DSMM 評(píng)估標(biāo)準(zhǔn)也存在差距。相信在信安標(biāo)委正式發(fā)布該標(biāo)準(zhǔn)時(shí)，以上問題會(huì)得到有效解決，會(huì)有更清晰詳細(xì)的評(píng)估指南和工具指導(dǎo)企業(yè)進(jìn)行落地評(píng)估。

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問題就給大家解答到這里了，如還需要了解更多專業(yè)性問題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來源： http://www.1cjaei.cn/zs/202303/ccaa_48232.html