分享好友 供应首页 频道列表
1/5
[服务详解]数据安全能力成熟度北京DSMM认证评估的五要素图1

[服务详解]数据安全能力成熟度北京DSMM认证评估的五要素

2023-05-26 12:30100询价
价格:未填
发送询价
0igjcl

数据要素是参与社会生产经营活动,带来经济效益的数据资源,是国家发展的战略性、基础性资源,也是驱动数字经济发展的强大动力。数据资产为企业和组织带来发展机遇的同时,也发生了大量数据安全事件,安全威胁日益严重,数据安全保护能力是网络运营者在数据经济时代的紧迫议题,也是充分释放数据资源价值的关键环节。


01

DSMM评估的价值


GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》(简称DSMM)标准要求是评估的依据。DSMM是从数据安全管理的角度,以企业组织的数据为核心,围绕数据全生命周期进行分析、发现数据安全风险。
通过DSMM评估,可以对企业或组织核心业务系统所面临的数据安全风险进行发现、识别和定性,帮助企业组织高效地定位自身数据安全短板、为企业组织提出具有针对性的数据安全能力提升路径、防范数据安全事件风险,最终帮助企业组织获得数据安全保护能力的成熟度证明,满足安全合规要求。DSMM评估结果代表企业组织目前的数据安全防护水平,从L1至L5,级别越高代表的数据安全防护能力越强。

02

DSMM评估的关键要素


DSMM评估受数据价值、合规要求、组织发展等多方面驱动,各方面都有数据安全工作关注要素。根据我们在政务、金融等多个领域的评估实践来看,DSMM评估的关键要素主要由以下几个方面构成:
► 要素一:能力建设目标
DSMM评估首先要确定建设目标,即数据安全能力成熟度级别
DSMM定义了数据安全能力的5个级别。
L1级为随机、无序、被动地执行全过程,完全依赖于个人经验,无法复制;
L2级为计划跟踪级别,适合多数企业数据安全能力建设的申请级别;
L3级为充分定义级,要求足够的数据安全团队保障、完善的制度流程和专业的技术工具,因此在人力、物力、财力等方面投入要远高于L2级,适合具有较高数据安全实践水平的企业组织申请;
L4级为量化控制级,适合在数据安全领域建设水平领先的企业组织申请;
L5级根据企业组织的整体目标,不断改进和优化组织能力和数据安全过程。

► 要素二:数据资产范围

数据资产是为组织产生价值的数据资源,是指可以提升企业组织效益、提高管理水平或通过出售、租赁数据的方式获得经济收益。

核心业务数据、敏感数据、密钥资产数据等重要数据应纳入数据资产评估范围。对于有些企业组织,业务系统未进行集成化管理,具备几十甚至上百个系统,大大增加了DSMM评估企业的整改成本,在明确数据资产范围过程中,可暂不纳入辅助业务系统。评估人员有义务帮助企业组织平衡业务系统数据安全整改成本与数据资产收益。

► 要素三:数据安全风险

在DSMM评估工作过程中,评估人员应帮助企业组织对自身数据资产的业务系统在数据的采集、传输、存储、处理、交换和销毁过程,梳理数据安全风险点,并记录所有风险点,全面掌握企业组织的数据安全能力现状与建设目标的差距。

▲数据安全风险分布


为了更好地识别数据安全风险,有效有条不紊地通过数据安全能力成熟度,评估人员应熟练掌握GB∕T 37988-2019 《信息安全技术 数据安全能力成熟度模型》、GB∕T 35274-2017《信息安全技术 大数据服务安全能力要求》等技术框架,以及《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等上位法,必要时应对企业组织所属行业规范、合规要求进行了解。

► 要素四:数据安全意识

评估人员具备丰富的数据安全风险意识是DSMM评估工作的前提。评估人员需要帮助企业组织依据数据安全风险,根据数据流转过程、企业组织运作方式,形成数据安全风险知识库。依据知识库,企业组织数据安全法律法规、数据泄漏案例等培训,提高员工数据安全风险意识。

► 要素五:数据安全团队

数据安全团队是决策层与执行层的桥梁,是评估过程重点考察的对象。考察内容包括团队对决策层数据安全建设目标的理解、相关数据安全制度的完善性、岗位设计的科学性、分工(权、责、利)合理性以及奖惩机制执行效果等,数据安全团队整体体现企业人员的数据安全能力

综上所述,要素三至要素五在DSMM评估过程中存在很多主观内容,因此评估人员的专业度、经验积累和引导能力非常重要。

03

小结


中国软件评测中心DSMM评估团队具有数据安全领域丰富的第三方服务经验,帮助企业组织梳理自身的数据安全能力现状,识别数据安全潜在风险,通过组织、制度、人员和技术工具的落地,提升企业组织数据安全能力建设水平,达到数据资源价值最大化


当前,全球范围内数据安全监管趋严,我国也相继发布了相关法律法规,如何在数据安全监管框架下实现数据安全合规,成为了企业,尤其是掌握重要数据和个人信息的企业最为关注的问题。
1、评估背景
GB/T 37988《信息安全技术 数据安全能力成熟度模型》(以下简称DSMM)是由业内权威机构联合编写的国家标准,于2019年8月30日发布,2020年3月1日正式实施。DSMM国家标准以组织的数据为中心,围绕数据的采集、传输、存储、处理、交换、销毁全生命周期,从组织建设、制度流程、技术工具、人员能力4个能力维度,按照1-5级成熟度,评判组织的数据安全能力。
2、评估依据
·《中华人民共和国网络安全法》
·《中华人民共和国数据安全法》
·《中华人民共和国个人信息保护法》
·《关键信息基础设施安全保护条例》
·GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》
3、评估内容
DSMM评估以组织为单位,以数据为中心,围绕数据的生命周期,对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估,涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。




反对 0
举报 0
收藏 0
评论 0
联系方式