贯标集团
ISO体系 , 17025实验室认可 , CMA资质 , 涉密信息系统集成
五分钟了解DSMM框架

 DSMM框架




DSMM的架构由x轴,y轴,z轴三维度的要求组成立体数据安全能力成熟的框架,共四个安全能力维度、五个安全能力等级构成、七个安全过程维度。


从上图可以看到,DSMM的架构由三个维度构成:

a. X轴-安全能力维度

安全能力维度指明了企业在数据安全领域应具备的能力要素,其包含组织建设、制度流程、技术工具、人员能力四个安全能力。在评估企业数据安全能力时,会从这四个安全能力的建设进行综合考量。四个方面安全能力及各自包含的内容见如下表所示:

数据安全能力维度

 能力维度内容

组织建设

数据安全组织架构对组织业务的适用性;

数据安全组织承担的工作职责的明确性;

数据安全组织运作、沟通协调的有效性;

制度流程

数据生存周期关键控制阶段授权审批的明确性;

相关流程制度的制定、发布、修订的规范性;

制度流程实施的一致性和有效性;

技术与工具

数据安全技术在数据全生命周期过程中的利用情况,应对数据全生命周期安全风险的能力;

利用技术工具对数据安全工作的自动化支持能力,对数据安全制度流程固化执行的实现能力;

人员能力

数据安全人员所具备的数据安全能力是否能满足实现安全目标的能力要求(对数据相关业务的理解能力以及数据安全专业能力);

数据安全人员的数据安全意识以及关键数据安全岗位员工的数据安全能力的培养;

b. Y轴-数据安全过程维度

数据安全过程包括数据生命周期安全过程和通用安全过程。其中,数据生命周期安全过程包括数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。数据安全过程维度一共有30个过程域(PA),其中包含11个通用安全过程域,和19个数据生命周期各阶段安全过程域,如下图所示:

数据生命周期各阶段安全

数据采集安全

数据传输安全

数据存储安全

数据处理安全

数据交换安全

数据销毁安全

数据分类分级

数据采集安全管理

数据源鉴别及记录

数据质量管理

数据传输加密

网络可用性管理

存储媒体安全

逻辑存储安全

数据备份和恢复

数据脱敏

数据分析安全

数据正当使用

数据处理环境安全

数据导入导出安全

体育

数据共享安全

数据发布安全

数据接口安全

数据销毁处置

存储媒体销毁处置

数据生命周期通用安全

数据安全策略规划

组织和人员管理

合规管理

数据资产管理

数据供应链安全

元数据管理

终端数据安全

监控与审计

鉴别与访问控制

需求分析

安全事件应急


_

c. Z轴-能力成熟度等级维度

能力成熟度等级维度指明依据上述两个维度的,企业数据安全管理及保护能力所处的级别的要求。数据安全能力成熟度等级划分为五级,具体包括:1级(非正式执行级),2级(计划跟踪级),3 级(充分定义级),4级(量化控制级),5级(持续优化级),具体如下表:

数据安全能力成熟度等级

共性特征

说明

等级1: 非式执行

组织在数据安全过程中不能有效地执行相关工作,仅在部分业务执行过程中根据临时的需求执行了相关工作,未形成成熟的机制保证相关工作的持续有效进行,执行相关工作的人员未达到相应能力。所执行的过程称为“非正式过程”


随机、无序、被动地执行安全过程,依赖于个人经验,无法复制

等级2:计划跟踪

1.规划执行:对安全过程进行规划,提前分配资源和责任。

2.规范执行:对安全过程进行控制,使用执行计划、执行基于标准和程序的过程.对数据安全过程实施配置管理。

3.验证执行:确认过程按预定的方式执行,验证过程的执行与计划是一致的。

4.跟踪执行:控制数据安全过程执行的进展,通过可测量的计划跟踪过程的执行,当过程实践与计划产生重大偏离时采取修正行动


在业务系统级别主动地实现了安全过程的计划与执行.但没有形成体系化

等级3:充分定义

1.定义标准过程:组织对标准过程进行制度化,为组织定义标准化的过程文档,为满足特定用途对标准过程进行裁剪。

2.执行已定义的过程:充分定义的过程是可重复执行的,并使用过程执行的结果数据,对有缺陷的过程结果和安全实践进行核查。

3.协调安全实践:确定业务系统内、各业务系统之间、组织外部活动的协调机制

在组织级别实现了安全过程的规范执行

等级4:量化控制

1.建立可测的安全目标:为组织的数据安全建立可测量目标。

2.客观地管理执行:确定过程能力的量化测量,使用量化测量管理安全过程,并以量化测量作为修正行动的基础

建立了量化目标,安全过程可度量

等级5:持续优化

1.改进组织能力:在整个组织范围内对规程的使用进行比较,寻找改进规程的机会,并进行改进。

2.改进过程有效性:制定处于持续改进状态下的规程,对规程的缺陷进行消除,并对规程进行持续改进

根据组织的整体目标,不断改进和优化安全过程


发布时间:2024-11-26
展开全文
拨打电话 微信咨询 发送询价