DSMM评估举例
数据安全能力成熟度评估(以下简称“DSMM评估”)是依据上面提到的《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)国家标准和《数据安全能力建设实施指南V1.0》,对组织的数据安全开展能力评估。
DSMM评估以组织为单位,以数据为中心,围绕数据的生命周期,对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估,涵盖5个成熟度级别、30个数据安全能力过程域(PA)和576个基本实践(BP)。评估从组织建设、制度流程、技术工具和人员能力 4 个关键能力展开。通过对各项安全过程所需具备安全能力的评估,可评估组织在每项安全过程的实现能力属于哪一等级。
下面我们以数据分类分级这个数据安全能力过程域为例,看一下不同级别能力成熟度,对应的能力维度要求。
PA01 数据分类分级——标准要求
成熟度等级 | 标准要求 |
等级1 : 非正式执行 | 制度流程: 组织未在任何业务建立成熟稳定的数据分类分级, 仅根据临时需求或基于个人经验, 对部分数据进 行了分类或分级(BP.01.01) |
等级2: 计划跟踪 | a) 组织建设: 应由业务团队相关人员负责相关业务的数据分类分级(BP.01.02) ; b) 制度流程: 应根据业务特性和外部合规要求,对核心业务的关键数据进行分类分级管理(BP.01.03) |
等级3: 充分定义 | a) 组织建设: 组织应设立负责数据安全分类分级工作的管理岗位和人员, 主要负责定义组织整体的数据分类分级的安全原则(BP.01.04) b) 制度流程: 1) 应明确数据分类分级原则、 方法和操作指南(BP.01.05) ; 2) 应对组织的数据进行分类分级标识和管理(BP.01.06) ; 3) 应对不同类别和级别的数据建立相应的访问控制、 数据加解密、 数据脱敏等安全管理和控制措施(BP.01.07) ; 4) 应明确数据分类分级变更审批流程和机制, 通过该流程保证对数据分类分级的变更操作及其结 果符合组织的要求(BP.01.08) 技术工具: 应建立数据分类分级打标或数据资产管理工具,实现对数据的分类分级自动标识、标识结果发布、审核等功能(BP.01.09)。 人员能力: 负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感数据(BP.01.10) |
等级4: 量化控制 | 技术工具: 1) 应记录自动分类分级结果与人工审核后的分类分级结果之间的差异, 定期分析改进分类分级标 识工具, 提升工具处理的准确度(BP.01.11) ; 2) 应对数据分类分级的操作、 变更过程进行日志记录和分析, 定期通过日志分析等技术手段进行变更操作审计, 数据分类分级可追溯(BP.01.12) |
等级5: 持续优化 | a) 制度流程: 应定期评审数据分类分级的规范和细则, 考虑其内容是否完全覆盖了当前的业务,并执行持续的改进优化工作(BP.01.13) ; b) 技术工具: 1) 应跟踪数据分类分级标识效果, 持续改进数据分类分级的技术工具(BP.01.14) ; 2) 应参与国际、国家或行业相关标准制定。在业界分享zuijia实践, 成为行业biaogan(BP.01.15) |
依据DSMM官网,DSMM评估流程如下:
- 五分钟了解DSMM框架 2024-11-09
- DSMM认证申请 2024-11-09
- 为什么要进行DSMM贯标? 2024-11-09
- 初次申请DSMM有哪些注意事项? 2024-11-09
- DSMM认证办理流程 2024-11-09
- 国家秘密载体印制资质简介 2024-11-09
- 申请信息系统建设和服务能力评估CS3级 2024-11-09
- 武器装备科研生产单位保密认证,现场审核评分标准 2024-11-09
- 信息安全服务资质(CCRC证书)专题简介 2024-11-09
- 绿色食品认证流程及注意事项 2024-11-09