15010732062
页面位置页面位置 : 首页 > 新闻资讯 > 常见问题

什么是北京DSMM认证数据安全能力成熟度?

发布时间:2022-03-03阅读量:作者:北京四方远望企业管理有限公司
       最近在搞北京DSMM认证,问了很多人,也没有具体的、系统的、完整的落地实施方案,也都是在摸石头过河,所以根据自己的理解简单总结下吧。如果哪位朋友在这方面做了一些工作或者对这个感兴趣的,可以一起交流下。

DSMM(Data security capability maturity model)数据安全能力成熟度模型,由阿里巴巴作为主要起草单位编制的一份关于数据安全管理的标准,目前是报批稿状态,即将成为国家标准。反观现在大规模数据泄露事件不断发生,对用户个人和企业都造成了恶劣的影响,导致经济损失,甚至有生命危险,DSMM必将成为各企业数据安全建设的依据指南。


DSMM认证


       DSMM借鉴能力成熟度模型(CMM)的思想,将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。
       组织建设:数据安全组织机构的架构建立、职责分配和沟通协作。(数据安全治理的领导决策机构)
       制度流程:组织机构数据安全领域的制度规范和流程执行。(数据安全治理的指南)
       技术工具:通过技术手段和产品工具落实安全要求或自动化实现安全工作。(数据安全治理的具体实现)
       人员能力:执行数据安全工作的人员的安全意识及相关专业能力。(数据安全治理的相关人员)
数据生命周期各阶段
       数据采集阶段:组织机构内部系统中新产生数据,以及从外部系统收集数据的阶段。
       数据传输阶段:数据从一个实体通过网络流动到另一个实体的阶段。
       数据存储阶段:数据以任何数字格式进行物理存储或云存储的阶段。
       数据处理阶段:组织机构在内部针对数据进行计算、分析、可视化等操作的阶段。
       数据交换阶段:组织机构与组织机构及个人进行数据交互的阶段。
       数据销毁阶段:通过对数据及数据存储介质通过相应的操作手段,使数据彻底消除且无法通过任何手段恢复的过程。
注:各个企业在进行北京DSMM认证落地时可根据具体的业务场景决定需要经历的生命周期阶段,不一定都会完整经历六个,也可以把其中的阶段进行合并。
       每个阶段又细分了几个过程域,再加上一些通用的过程域就构成了数据安全过程域体系。
       在这里我想对标准的起草者提个意见,图中把PA14数据导入导出安全归到了数据处理安全阶段,但是在下面的具体阐述中,又把PA14数据导入导出安全归到了数据交换安全阶段,希望起草者能看到并给个合理解释。我个人理解应归到数据交换安全,然后我们也是这么归类的。
       数据作为企业最具有核心价值的资产,一直以来是网络安全工作的重点,所有的安全工作也都是围绕数据安全开展的。北京DSMM认证是对数据全生命周期进行安全防护,提高数据安全保护能力,如果都能很好地落地,那么对企业数据安全能力将是极大地提升。
    
本文标签:DSMM认证数据管理能力成熟度认证DCMM认证数据安全能力成熟度认证