数据安全能力成熟度模型分析
首先该标准将数据安全能力根据数据安全的使用场景分为以下几类:
数据安全能力模型(简称DSMM)从三个维度来架构,分别是第一个维度安全能力维度,安全能力维度明确了组织在数据安全领域应具备的能力,包括组织建设、制度流程、技术工具和人员能力。第二个维度是能力成熟度等级维度,数据安全能力成熟度等级划分为五级,具体包括:1级——是非正式执行级、,2级——是计划跟踪级、,3 级——是充分定义级、,4级是——量化控制级、,5级——是持续优化级。第三个维度是数据安全过程维度,数据安全过程包括数据生存周期安全过程和通用安全过程。数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全、数据处理 安全、数据交换安全、数据销毁安全6个阶段。
以下是具体的架构图:
在安全能力维度,主要考核的以下四点:
一个是组织建设,企业内部是否存在有关数据安全的组织机构,该组织机构是否有负责人,是否有正式文件来公布组织架构。
第二个就是制度建设,也就是企业有没有数据安全方面的制度,比如数据分级分类的制度,数据采集制度,数据脱敏制度,数据加密的制度等等。这个不同的DSMM等级制度要求是不一样的,等级越高制度要求越高。
第三个就是人员能力,这个主要是指数据安全管理人员的水平,比如通过了哪些认证,比如CISP-DSG认证,CIPO认证等。
第四个是技术工具,这部分块其实是数据安全DSMM的核心,涉及到每个等级有不同的工具(功能)的要求,类似等保中的不同等级有不同安全策略的要求。
DSMM五个等级的划分原则:
1、 等级1:非正式执行,也就是数据安全目前还是无序状态,没有组织没有制度,仅仅靠个人能力,无法积累和继承。
2、 等级2:计划跟踪,也就是在个别阶段有了数据安全能力和制度,但是没有体系化。
3、 等级3:充分定义,也就是在数据安全各个阶段都有了体系化的制度和组织,有了一定的技术工具。
4、 等级4:量化控制,也就是在数据安全各个阶段都有了量化目标,技术工具进一步成熟化,可量化。
5、 等级5:持续优化,这一阶段要达到不断改进组织、制度的目标,这一点几乎目前阶段没有人能够完成。
因此这五个等级,第一等级等于什么啥都没完成做,第二等级也只是初步有点工作,第三等级是绝大多数单位目前要达到的目标,第四等级应该在第三等级达到后逐步完善,第五等级是未来长期目标,我认为绝大多数企业达到第三等级意味着已经在数据安全方面前进了一大步。
为了进一步细化每个等级的要求,DSMM还将上述的七个场景进一步细化为30个PA,但是DSMM奇怪的是他不是根据1-5个等级来定义30个PA各做什么样的要求,反而是通过30个PA来说明每个等级要求做什么,这个和等保明显有明显不同。
总而言之,采用这种方式后相当于至少有30个考核点,而且每个考核点还可能根据组织机构、制度建设、人员要求、技术工具有四大类别的要求,30*4=120,这个对于企业而言,达到DSMM中的规定难度比等保高很多。
其中30个PA如下:
我们以P0,数据分级分类要求为例,要达到3级,在组织机构上应设立负责数据安全分类分级工作的管理岗位和人员,主要负责定义组织整体 的数据分类分级的安全原则。在制度上应明确数据分类分级原则、方法和操作指南;应对组织的数据进行分类分级标识和管理; 3) 应对不同类别和级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施。在人员要求负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感 数据。在技术工具上应建立数据分类分级打标或数据资产管理工具,实现对数据的分类分级自动标识、 标识结果发布、审核等功能。
所以我们认为DSMM从控制点来看超过等级保护3级的要求,而且有些控制点实现起来难度很大,至少目前来看真正要达到DSMM3级都不容易。
