什么是DSMM
DSMM 标准以数据为中心,重点围绕数据生命周期,从组织建设、制度流程、技术工具和人员能力四个方面进行安全保障。
DSMM 标准关注企业自身业务产生的数据和与外部第三方组织交互的数据,以衡量组织机构的数据安全能力,促进组织机构了解并提升自身的数据安全水平。
本标准适用于组织机构数据安全能力的自身评估,也适用于第三方机构对组织机构的数据安全保障能力进行评估
本标准借鉴能力成熟度模型(CMM)的思想,以CMM的通用实践来衡量能力成熟度等级,以《要求》中的安全要求为基础,定义数据安全过程域和基本实践,指导组织机构如何持续达到所对应的安全要求。
DSMM 标准和 ISO27000 标准、等保标准有何相同,又有何不同?
等保标准以备案系统为主要评估对象,偏向传统基础安全管理,侧重于物理安全、网络安全、安全建设管理等方面的安全保护。
ISO27000 侧重于信息安全管理体系的建设,作为体系化的指导文件帮助企业建立、实施和文件化信息安全管理体系(ISMS)的要求。
DSMM 强调数据保护,以数据为中心,在数据备份、数据销毁等方面与等保和 ISO27000 有重合,但是 DSMM 关注的数据采集、溯源、分析等视角,等保和 ISO27000 均未涉及,DSMM 对制度流程的要求均建立在具体的数据保护过程之上,DSMM 还强调对人员能力的评估。
DSMM 标准与等保一样有分级的概念,但关注的是数据整个生命周期的安全控制,与业务贴合更紧密。
安全能力维度
通过对各项安全过程所需具备安全能力的量化,可供组织机构评估每项安全过程的实现能力。安全能力从组织建设、制度流程、技术工具及人员能力四个维度展开。
——组织建设:数据安全组织机构的架构建立、职责分配和沟通协作。
——制度流程:组织机构关键数据安全领域的制度规范和流程落地建设。
——技术工具:通过技术手段和产品工具固化安全要求或自动化实现安全工作。
——人员能力:执行数据安全工作的人员的意识及专业能力。
本标准适用于组织机构数据安全能力的自身评估,也适用于第三方机构对组织机构的数据安全保障能力进行评估
本标准借鉴能力成熟度模型(CMM)的思想,以CMM的通用实践来衡量能力成熟度等级,以《要求》中的安全要求为基础,定义数据安全过程域和基本实践,指导组织机构如何持续达到所对应的安全要求。
本标准阐述了数据安全能力评估的成熟度模型及方法论,在过程域层面与《要求》完全一致,在基本实践层面与《要求》进行映射,两标准可以相互支撑调用。《要求》中定义了大数据服务?供者?供大数据服务所需要满足的基线要求,本标准定义了组织机构持续实现安全过程、满足安全要求的能力等级的评估方法,来指导组织机构?升自身的数据安全能力水平。
本标准主要根据《信息安全技术 大数据服务安全能力要求》(以下简称为《要求》)中的数据安全要求对组织机构?供的数据安全能力?出评估的模型框架及方法论。《要求》中定义了大数据服务?供者应具有的组织相关基础安全能力和数据生命周期相关的数据服务安全能力,本标准针对《要求》中定义的每个安全要求定义基本实践,并根据本标准定义的成熟度等级的通用实践,对基本实践进行等级评估。
数据安全能力成熟度模型(DS-CMM)的模型架构由以下三方面构成(如图1所示):
——数据生命周期安全:围绕数据生命周期,?炼出大数据环境下,以数据为中心,针对数据生命周期各阶段建立的相关数据安全过程域体系。
——安全能力维度:明确组织机构在各数据安全领域所需要具备的能力维度,明确为组织建设、制度流程、技术工具和人员能力四个关键能力的维度。
——能力成熟度等级:基于统一的分级标准,细化组织机构在各数据安全过程域的五个级别的能力成熟度分级要求。
数据生命周期安全
|声明|
本文所用视频、图片、文字部分来源于互联网,版权属原作者所有。本文章仅做分享使用,别无他意。另文章仅代表作者观点,不代表本网站立场,如涉及到版权问题,请及时和我们联系删除,感恩,感谢。
