DSMM數(shù)據(jù)安全能力成熟度

DSMM是Data Security capability MaturityModel的縮寫，中文名為數(shù)據(jù)安全能力成熟度模型。是以2019-08-30 發(fā)布，2020-03-01 實(shí)施的GB/T 37988-2019 《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》為依據(jù)的數(shù)據(jù)安全保護(hù)體系。

數(shù)據(jù)安全能力成熟度認(rèn)證（DSMM）依據(jù)國標(biāo)《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（GB/T 37988-2019）的相關(guān)內(nèi)容，圍繞數(shù)據(jù)生存周期過程中經(jīng)歷的多個(gè)階段及數(shù)據(jù)通用安全，從組織建設(shè)、制度流程、技術(shù)工具、人員能力共四個(gè)維度對(duì)企業(yè)數(shù)據(jù)安全能力進(jìn)行評(píng)估。該標(biāo)準(zhǔn)可作為一套方法理論，為企業(yè)在建設(shè)數(shù)據(jù)安全體系過程中提供指南，幫助組織發(fā)現(xiàn)自身數(shù)據(jù)安全存在的問題，識(shí)別差距并制定相關(guān)策略，建立完善數(shù)據(jù)安全體系，最終提升行業(yè)競爭力，滿足國家法規(guī)責(zé)任落實(shí)要求。標(biāo)準(zhǔn)涵蓋5個(gè)成熟度級(jí)別、30個(gè)數(shù)據(jù)安全能力過程域和576個(gè)基本實(shí)踐，目前該標(biāo)準(zhǔn)已在金融、醫(yī)療、公共通信和信息服務(wù)等多個(gè)領(lǐng)域落地使用。

DSMM的架構(gòu)由四個(gè)安全能力維度、七個(gè)安全過程維度、五個(gè)安全能力等級(jí)構(gòu)成。

四個(gè)安全能力維度:組織建設(shè)、制度流程、技術(shù)工具、人員能力；

七個(gè)安全過程維度：數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全，共計(jì)30個(gè)過程域；

五個(gè)安全能力等級(jí)：從低到高依次1至5級(jí)。

DSMM標(biāo)準(zhǔn)的適用范圍非常廣泛，沒有行業(yè)的限制，對(duì)數(shù)據(jù)安全有需求、關(guān)注自身數(shù)據(jù)安全能力建設(shè)情況的組織均適合申請(qǐng)DSMM，包括但不限于數(shù)據(jù)運(yùn)營組織、數(shù)據(jù)處理組織、數(shù)據(jù)服務(wù)提供組織等。

申報(bào)意義

發(fā)展要求

隨著信息技術(shù)的發(fā)展，人類社會(huì)已經(jīng)進(jìn)入數(shù)字時(shí)代，數(shù)據(jù)的指數(shù)級(jí)增長已經(jīng)成為常態(tài)。數(shù)據(jù)具有極大的價(jià)值變現(xiàn)特點(diǎn)，世界各國都強(qiáng)烈意識(shí)到數(shù)據(jù)的重要性。然而，數(shù)據(jù)的價(jià)值變現(xiàn)、有效利用的前提是數(shù)據(jù)是安全的，所以，數(shù)據(jù)安全的保護(hù)能力，是數(shù)據(jù)有效利用的基礎(chǔ)。

法規(guī)要求

中共中央、國務(wù)院發(fā)布《關(guān)于構(gòu)建更加完善的要素市場化配置體制機(jī)制的意見》，數(shù)據(jù)首次被作為要素寫入《意見》，加強(qiáng)數(shù)據(jù)資源整合和安全保護(hù)，探索建立統(tǒng)一規(guī)范的數(shù)據(jù)管理制度。從國家層面，制定了相關(guān)法律法規(guī)，明確要求要合規(guī)、合法、有效的做好數(shù)據(jù)安全的保護(hù)。

管理要求

促進(jìn)組織機(jī)構(gòu)了解并提升自身的數(shù)據(jù)安全水平，從數(shù)據(jù)生命周期的角度出發(fā)，結(jié)合各類數(shù)據(jù)業(yè)務(wù)發(fā)展所體現(xiàn)的安全需求開展數(shù)據(jù)安全保障工作，企業(yè)在高速發(fā)展的過程中，需要提高自身數(shù)據(jù)安全管理能力，匹配相應(yīng)的管理資源，讓組織的數(shù)據(jù)資源得到有效、合理、合規(guī)的保護(hù)。

技術(shù)要求

保障數(shù)據(jù)在組織機(jī)構(gòu)之間安全地交換與共享，充分發(fā)揮數(shù)據(jù)的價(jià)值，打造更安全的大數(shù)據(jù)應(yīng)用環(huán)境。數(shù)據(jù)作為企業(yè)最具有核心價(jià)值的資產(chǎn)，一直以來是網(wǎng)絡(luò)安全工作的重點(diǎn)，所有的安全工作也都是圍繞數(shù)據(jù)安全開展的。DSMM是對(duì)數(shù)據(jù)全生命周期進(jìn)行安全防護(hù)，提高數(shù)據(jù)安全保護(hù)能力。

申報(bào)流程

差距分析階段
企業(yè)數(shù)據(jù)安全管理水平調(diào)研，并依據(jù)標(biāo)準(zhǔn)做差距分析，為能力建設(shè)做準(zhǔn)備。
咨詢輔導(dǎo)貫標(biāo)
標(biāo)準(zhǔn)講解、審核要點(diǎn)難點(diǎn)講解分析、審核前企業(yè)需準(zhǔn)備材料，進(jìn)行標(biāo)準(zhǔn)宣貫。
能力建設(shè)階段
輔導(dǎo)企業(yè)進(jìn)行數(shù)據(jù)安全能力建設(shè)，指導(dǎo)企業(yè)運(yùn)行數(shù)據(jù)安全管理能力成熟度模型。
機(jī)構(gòu)現(xiàn)場審核
DSMM數(shù)據(jù)安全管理能力成熟度授權(quán)審核機(jī)構(gòu)審核員對(duì)申報(bào)企業(yè)進(jìn)行審核。
認(rèn)證證書發(fā)放
數(shù)據(jù)安全管理能力成熟度審核機(jī)構(gòu)對(duì)通過現(xiàn)場審核的企業(yè)頒發(fā)相應(yīng)等級(jí)證書。

等級(jí)劃分

L1非正式執(zhí)行

主要特點(diǎn)：數(shù)據(jù)安全工作是隨機(jī)、無序、被動(dòng)執(zhí)行的，依賴與個(gè)人，經(jīng)驗(yàn)無法復(fù)制。

組織在數(shù)據(jù)安全領(lǐng)域未執(zhí)行有效的相關(guān)工作，僅在部分場景或項(xiàng)目的臨時(shí)需求執(zhí)行相關(guān)工作，未形成成熟的機(jī)制，來保障數(shù)據(jù)安全相關(guān)工作的持續(xù)開展。
L2計(jì)劃跟蹤

主要特點(diǎn)：在項(xiàng)目級(jí)別主動(dòng)實(shí)現(xiàn)了安全過程的計(jì)劃與執(zhí)行，沒有形成體系化。

規(guī)劃執(zhí)行，對(duì)數(shù)據(jù)安全過程進(jìn)行規(guī)劃，提前分配資源和責(zé)任；

規(guī)范化執(zhí)行，對(duì)安全過程進(jìn)行控制，使用安全執(zhí)行計(jì)劃，執(zhí)行相關(guān)標(biāo)準(zhǔn)和程序的過程，對(duì)數(shù)據(jù)安全過程實(shí)施配置管理；

驗(yàn)證執(zhí)行，確認(rèn)過程按照預(yù)定的方式執(zhí)行，驗(yàn)證執(zhí)行過程與可應(yīng)用的計(jì)劃是一致的，對(duì)數(shù)據(jù)安全過程進(jìn)行審計(jì)；

跟蹤執(zhí)行，控制數(shù)據(jù)安全項(xiàng)目的進(jìn)展，通過可測量的計(jì)劃跟蹤過程執(zhí)行，當(dāng)過程實(shí)踐與計(jì)劃產(chǎn)生重大的偏離時(shí)采取修正行動(dòng)。
L3充分定義

主要特點(diǎn)：在組織級(jí)別實(shí)現(xiàn)了安全過程的規(guī)范定義和執(zhí)行。

定義標(biāo)準(zhǔn)過程，組織對(duì)標(biāo)準(zhǔn)過程進(jìn)行制度化，形成標(biāo)準(zhǔn)化過程文檔，為滿足特定用途對(duì)標(biāo)準(zhǔn)過程進(jìn)行裁剪；

執(zhí)行已定義的過程，充分定義的過程可重復(fù)執(zhí)行，針對(duì)有缺陷的過程結(jié)果和安全實(shí)踐的核查，使用過程執(zhí)行的結(jié)果數(shù)據(jù)；

協(xié)調(diào)安全實(shí)踐，對(duì)業(yè)務(wù)系統(tǒng)和組織的協(xié)調(diào)，確定業(yè)務(wù)系統(tǒng)內(nèi)，各業(yè)務(wù)系統(tǒng)之間、組織外部活動(dòng)的協(xié)調(diào)機(jī)制。
L4量化控制

主要特點(diǎn)：建立了量化目標(biāo)，安全過程可量化度量和預(yù)測。

建立可測的目標(biāo)，為組織數(shù)據(jù)安全建立可測量的目標(biāo)；

客觀的管理執(zhí)行，確定過程能力的量化測量來管理安全過程，以量化測量作為修正行動(dòng)的基礎(chǔ)。
L5持續(xù)優(yōu)化

主要特點(diǎn)：根據(jù)組織的整理戰(zhàn)略和目標(biāo)，不斷改進(jìn)和優(yōu)化數(shù)據(jù)安全過程。

改進(jìn)組織能力，在整個(gè)組織范圍內(nèi)的標(biāo)準(zhǔn)過程使用情況進(jìn)行比較，尋找改進(jìn)標(biāo)準(zhǔn)過程的機(jī)會(huì)，分析對(duì)標(biāo)準(zhǔn)過程的可能變更。

改進(jìn)過程有效性，制定處于連續(xù)受控改進(jìn)狀態(tài)下的標(biāo)準(zhǔn)過程，提出消除標(biāo)準(zhǔn)過程產(chǎn)生缺陷的原因和持續(xù)改進(jìn)的標(biāo)準(zhǔn)過程。

評(píng)級(jí)要點(diǎn)

DSMM模型將數(shù)據(jù)生命周期分為了數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理、數(shù)據(jù)交換和數(shù)據(jù)銷毀六大階段，40個(gè)過程域（PA），其中包含16個(gè)通用安全過程域，和24個(gè)數(shù)據(jù)生命周期各階段安全過程域，如下圖所示：

DSMM的評(píng)價(jià)方法主要是評(píng)分制，先對(duì)每個(gè)過程域（PA）的四個(gè)能力維度（BP）進(jìn)行打分，再通過計(jì)算平均分、修正分值的方式得到最終的PA分值，最終得到整體的綜合得分。

其中重要關(guān)注以下幾點(diǎn)：

1、組織建設(shè)

—— 數(shù)據(jù)安全組織架構(gòu)對(duì)組織業(yè)務(wù)的適應(yīng)性；

—— 數(shù)據(jù)安全組織架構(gòu)承擔(dān)的工作職責(zé)的明確性；

—— 數(shù)據(jù)安全組織架構(gòu)運(yùn)作、協(xié)調(diào)、溝通的有效性；

2、制度流程

—— 數(shù)據(jù)生命周期的關(guān)鍵控制節(jié)點(diǎn)授權(quán)審批流程的明確性；

—— 相關(guān)流程、制度的制定、發(fā)布、修訂的規(guī)范性；

—— 安全要求及落地執(zhí)行的一致性和有效性。

3、技術(shù)與工具

—— 數(shù)據(jù)安全技術(shù)在數(shù)據(jù)全生命周期過程中的使用情況，針對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的檢測及相應(yīng)能力；

—— 利用技術(shù)工具對(duì)數(shù)據(jù)安全工作的自動(dòng)化和持續(xù)支持能力，對(duì)數(shù)據(jù)安全制度流程的固化執(zhí)行能力。

4、人員能力

—— 數(shù)據(jù)安全人員所具備的安全技能是否能滿足復(fù)合型能力要求；

—— 數(shù)據(jù)安全人員的數(shù)據(jù)安全意識(shí)以及關(guān)鍵數(shù)據(jù)安全崗位員工的數(shù)據(jù)安全能力培養(yǎng)。

国产真实乱人偷精品人妻,性色AV无码久久一区二区三区,亚洲国产精品尤物yw在线观看,少妇性按摩无码中文A片