贯标集团
ISO体系 , 17025实验室认可 , CMA资质 , 涉密信息系统集成
DSMM评估举例分析

DSMM评估举例





数据安全能力成熟度评估(以下简称“DSMM评估”)是依据上面提到的《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)国家标准和《数据安全能力建设实施指南V1.0》,对组织的数据安全开展能力评估。

DSMM评估以组织为单位,以数据为中心,围绕数据的生命周期,对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估,涵盖5个成熟度级别、30个数据安全能力过程域(PA)和576个基本实践(BP)。评估从组织建设、制度流程、技术工具和人员能力 4 个关键能力展开。通过对各项安全过程所需具备安全能力的评估,可评估组织在每项安全过程的实现能力属于哪一等级。

下面我们以数据分类分级这个数据安全能力过程域为例,看一下不同级别能力成熟度,对应的能力维度要求。

PA01 数据分类分级——标准要求

成熟度等级

标准要求

等级1 : 非正式执行

制度流程:

组织未在任何业务建立成熟稳定的数据分类分级, 仅根据临时需求或基于个人经验, 对部分数据进 行了分类或分级(BP.01.01)

等级2: 计划跟踪

a) 组织建设:

应由业务团队相关人员负责相关业务的数据分类分级(BP.01.02) ;

b) 制度流程:

应根据业务特性和外部合规要求,对核心业务的关键数据进行分类分级管理(BP.01.03)

等级3: 充分定义

a) 组织建设:

组织应设立负责数据安全分类分级工作的管理岗位和人员, 主要负责定义组织整体的数据分类分级的安全原则(BP.01.04)

b) 制度流程:

1) 应明确数据分类分级原则、 方法和操作指南(BP.01.05) ;

2) 应对组织的数据进行分类分级标识和管理(BP.01.06) ;

3) 应对不同类别和级别的数据建立相应的访问控制、 数据加解密、 数据脱敏等安全管理和控制措施(BP.01.07) ;

4) 应明确数据分类分级变更审批流程和机制, 通过该流程保证对数据分类分级的变更操作及其结 果符合组织的要求(BP.01.08)

技术工具:

应建立数据分类分级打标或数据资产管理工具,实现对数据的分类分级自动标识、标识结果发布、审核等功能(BP.01.09)。

人员能力:

负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感数据(BP.01.10)

等级4: 量化控制

技术工具:

1) 应记录自动分类分级结果与人工审核后的分类分级结果之间的差异, 定期分析改进分类分级标 识工具, 提升工具处理的准确度(BP.01.11) ;

2) 应对数据分类分级的操作、 变更过程进行日志记录和分析, 定期通过日志分析等技术手段进行变更操作审计, 数据分类分级可追溯(BP.01.12)

等级5: 持续优化

a) 制度流程:

应定期评审数据分类分级的规范和细则, 考虑其内容是否完全覆盖了当前的业务,并执行持续的改进优化工作(BP.01.13) ;

b) 技术工具:

1) 应跟踪数据分类分级标识效果, 持续改进数据分类分级的技术工具(BP.01.14) ;

2) 应参与国际、国家或行业相关标准制定。在业界分享zuijia实践, 成为行业biaogan(BP.01.15)

依据DSMM官网,DSMM评估流程如下:


发布时间:2024-11-26
展开全文
拨打电话 微信咨询 发送询价