下载掌阅APP,畅读海量书库
立即打开
数据安全能力成熟度模型(Data Security Maturity Model,DSMM)基于数据在组织的业务场景中的数据生命周期,从组织建设、制度与流程、技术与工具、人员能力四个方面构建了数据安全过程的规范性数据安全能力成熟度模型及评估方法。DSMM架构图如图4-6所示。
图4-6 DSMM架构图
DSMM架构主要包括以下维度。
(1)数据安全过程维度:以数据为中心,针对数据生命周期各阶段建立的相关数据安全过程体系,包括数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全等过程。
(2)安全能力维度:明确组织在各数据安全领域所需要具备的能力,包括组织建设、制度与流程、技术与工具、人员能力四个维度。
(3)能力成熟度等级维度:基于统一的分级标准,细化组织在各数据安全过程域的五个级别的数据安全能力成熟度分级要求。五个级别分别是非正式执行、计划跟踪、充分定义、量化控制、持续优化。
DSMM评估的是整个组织的数据安全能力成熟度,而不仅局限于某一系统。依据组织的业务复杂度、数据规模,按照业务部门进行拆分;从组织建设、制度与流程、技术与工具、人员能力展开。通过对各项安全过程所需具备的安全能力的评估,可评估组织在每项安全过程的实现能力属于哪个等级。DSMM评估流程如图4-7所示。
图4-7 DSMM评估流程
在实际应用中,应根据不同业务部门进行分组评估。首先,确定业务部门负责人,辅助评估过程的资源协调工作。随后,与业务部门负责人一同梳理基本的业务流程,结合PA(过程域),根据线上生产数据和线下离线数据两条线,确定各过程域(Process Area,PA)访谈部门和访谈对象,并根据评估工作的展开动态调整。
数据安全能力成熟度等级评估流程如图4-8所示。
图4-8 数据安全能力成熟度等级评估流程
由于各组织在业务规模、业务对数据的依赖性,以及组织对数据安全工作定位等方面的差异,组织对该模型的使用应“因地制宜”。
DSMM在组织中的应用如图4-9所示。首先,组织应明确其目标的数据安全能力成熟度等级。根据对组织整体的数据安全成熟度等级的定义,组织可以选择适合自己业务实际情况的数据安全能力成熟度等级目标。3级目标适用于所有具备数据安全保障需求的组织作为自己的短期目标或长期目标,达到3级标准者意味着组织能够针对数据安全的各方面风险进行有效的控制。然而,对于业务中尚未大量依赖于大数据技术的组织而言,数据仍然倾向于在固有的业务环节中流动,对数据安全保障的需求整体弱于强依赖大数据技术的组织,因此其短期目标可先定位为2级,待达到2级的目标之后再进一步提升到3级。
图4-9 DSMM在组织中的应用
在确定目标数据安全能力成熟度等级的前提下,组织根据数据生命周期所覆盖的业务场景挑选适用于组织的数据安全过程域。例如,组织不存在数据交换的情况,数据交换过程域就可以从评估范围中剔除掉。组织基于对DSMM内容的理解,识别数据安全能力现状并分析与目标能力等级之间的差异,在此基础上执行数据安全能力的改进与提升计划。伴随着组织业务的发展变化,还需要定期复核、明确自己的目标数据安全能力成熟度等级,然后进行新一轮评估与工作。