8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布。

该标准将数据安全能力分为“非正式执行”、“计划跟踪”、“充分定义”、“量化控制”和“持续优化”5个等级,第三等级是各个企业的基础目标,等级越高,代表被测评的组织机构数据安全能力越强。标准旨在助力提升全社会、全行业的数据安全水位,其发布也填补了行业在数据安全能力成熟度评估标准方面的空白,为组织机构评估自身数据安全能力,提供了科学依据和参考。此国标预计将于2020年3月起正式实施,正式发布前,这项标准已在全国23个行业、40多家企业试点。

“数据安全是组织机构信息安全体系的重要环节,然而许多组织机构并不充分了解自身的数据安全能力,行业内缺乏一套评估组织机构数据安全能力的标准规范。”阿里巴巴集团数据安全总监徐骏称,DSMM能够帮助各行业、组织机构基于统一标准来评估其数据安全能力,发现数据安全能力短板,查漏补缺,最终提升互联网行业的整体安全管理水平和产业竞争力,促进数字经济发展。

阿里巴巴于2012年成立专职的数据安全部门,开展数据安全体系建设工作,基于多年的实践积累,提炼总结《数据安全能力成熟度模型》(简称DSMM)方法论,希望帮助行业、帮助生态在数据安全能力评估和数据安全体系建设上指引方向。DSMM也充分参考了国际上相关标准和经验,根据数据生命周期,从组织建设、制度流程、技术工具、人员能力四方面评估数据安全能力等级。

阿里巴巴基于自身数据安全实践,沉淀总结了数据安全能力成熟度模型,根据数据生命周期,从组织建设、制度流程、技术工具、人员能力四方面评估数据安全能力等级,助力提升行业整体数据安全水平。

此前,阿里联合多家单位编写《数据安全能力建设实施指南》,从落地角度提供数据安全体系建设的指引。希望将产业实践的经验贡献到行业标准、国家标准和国际标准建设中,致力于推动形成安全、健康、有序的产业生态环境。

一、DSMM模型简介

数据安全能力成熟度模型(DSMM)是由是阿里巴巴和中国电子技术标准化研究院在大量实践和研究的基础上,联合三十多家企事业单位共同研究制定的。DSMM一份关于数据安全管理的标准,目前已经成为国家标准。

DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。

二、能力成熟度等级

1级(非正式执行)

主要特点:数据安全工作是随机、无序、被动执行的,依赖与个人,经验无法复制。

组织在数据安全领域未执行有效的相关工作,仅在部分场景或项目的临时需求执行相关工作,未形成成熟的机制,来保障数据安全相关工作的持续开展。

2级(计划跟踪)

主要特点:在项目级别主动实现了安全过程的计划与执行,没有形成体系化。

规划执行,对数据安全过程进行规划,提前分配资源和责任;

规范化执行,对安全过程进行控制,使用安全执行计划,执行相关标准和程序的过程,对数据安全过程实施配置管理;

验证执行,确认过程按照预定的方式执行,验证执行过程与可应用的计划是一致的,对数据安全过程进行审计;

跟踪执行,控制数据安全项目的进展,通过可测量的计划跟踪过程执行,当过程实践与计划产生重大的偏离时采取修正行动。

3级(充分定义)

主要特点:在组织级别实现了安全过程的规范定义和执行。

定义标准过程,组织对标准过程进行制度化,形成标准化过程文档,为满足特定用途对标准过程进行裁剪;

执行已定义的过程,充分定义的过程可重复执行,针对有缺陷的过程结果和安全实践的核查,使用过程执行的结果数据;

协调安全实践,对业务系统和组织的协调,确定业务系统内,各业务系统之间、组织外部活动的协调机制。

4级(量化控制)

主要特点:建立了量化目标,安全过程可量化度量和预测。

建立可测的目标,为组织数据安全建立可测量的目标;

客观的管理执行,确定过程能力的量化测量来管理安全过程,以量化测量作为修正行动的基础。

5级(持续优化)

主要特点:根据组织的整理战略和目标,不断改进和优化数据安全过程。

改进组织能力,在整个组织范围内的标准过程使用情况进行比较,寻找改进标准过程的机会,分析对标准过程的可能变更。

改进过程有效性,制定处于连续受控改进状态下的标准过程,提出消除标准过程产生缺陷的原因和持续改进的标准过程。

三、数据生命周期安全

DSMM模型将数据生命周期分为了数据采集、数据传输、数据存储、数据处理、数据交换和数据销毁六大阶段,30个过程域(PA),如下图所示:

四、数据安全能力构成

1、组织建设

—— 数据安全组织架构对组织业务的适应性;

—— 数据安全组织架构承担的工作职责的明确性;

—— 数据安全组织架构运作、协调、沟通的有效性;

2、制度流程

—— 数据生命周期的关键控制节点授权审批流程的明确性;

—— 相关流程、制度的制定、发布、修订的规范性;

—— 安全要求及落地执行的一致性和有效性。

3、技术与工具

—— 数据安全技术在数据全生命周期过程中的使用情况,针对数据安全风险的检测及相应能力;

—— 利用技术工具对数据安全工作的自动化和持续支持能力,对数据安全制度流程的固化执行能力。

4、人员能力

—— 数据安全人员所具备的安全技能是否能满足复合型能力要求;

—— 数据安全人员的数据安全意识以及关键数据安全岗位员工的数据安全能力培养。

声明:本文来自阿里巴巴数据安全研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。