DSMM评估
受数据价值、合规要求、组织发展等多方面驱动,各方面都有数据安全工作关注要素。影响DSMM评估的关键要素主要由以下几个方面构成:
01、能力建设目标
DSMM评估首先要确定建设目标,即数据安全能力成熟度级别。之前的内容中,我们详细介绍了DSMM的5个级别。
L1级为随机、无序、被动地执行全过程,完全依赖于个人经验,无法复制;
L2级为计划跟踪级别,适合多数企业数据安全能力建设的申请级别;
L3级为充分定义级,要求足够的数据安全团队保障、完善的制度流程和专业的技术工具,因此在人力、物力、财力等方面投入要远高于L2级,适合具有较高数据安全实践水平的企业组织申请;
L4级为量化控制级,适合在数据安全领域建设水平lingxian的企业组织申请;
L5级根据企业组织的整体目标,不断改进和优化组织能力和数据安全过程。
02、数据资产范围
数据资产是为组织产生价值的数据资源,是指可以提升企业组织效益、提高管理水平或通过出售、租赁数据的方式获得经济收益。
核心业务数据、敏感数据、密钥资产数据等重要数据应纳入数据资产评估范围。对于有些企业组织,业务系统未进行集成化管理,具备几十甚至上百个系统,大大增加了DSMM评估企业的整改成本。
因此,评估过程中,组织需平衡业务系统数据安全整改成本与数据资产收益。
03、数据安全风险
在DSMM评估工作过程中,组织需对自身数据资产的业务系统在数据的采集、传输、存储、处理、交换和销毁过程,梳理数据安全风险点,并记录所有风险点,全面掌握自身的数据安全能力现状与建设目标的差距。
04、数据安全意识
评估过程中需具备丰富的数据安全风险意识。
依据数据安全风险,根据数据流转过程、企业组织运作方式,形成数据安全风险知识库。
依据知识库,企业组织数据安全法律法规、数据泄漏案例等培训,提高员工数据安全风险意识。
05、数据安全团队
评估人员具备丰富的数据安全风险意识是DSMM评估工作的前提。评估人员需要帮助企业组织依据数据安全风险,根据数据流转过程、企业组织运作方式,形成数据安全风险知识库。依据知识库,企业组织数据安全法律法规、数据泄漏案例等培训,提高员工数据安全风险意识。
除了上述几点之外,在申请DSMM评估前还可以做哪些“加分”准备呢?组织在申请DSMM评估前还可以通过第三方认证咨询机构开展专业和定制化的评估咨询工作,查缺补漏,提升自身数据安全能力,以顺利完成等级评估目标。