本文介紹國標(biāo)《GB/T 數(shù)據(jù)安全能力成熟度模型》

• DSCMM簡介
• DSCMM主要內(nèi)容
• DSCMM應(yīng)用

image

簡介

價值

隨著大數(shù)據(jù)技術(shù)的發(fā)展诈胜，組織在業(yè)務(wù)發(fā)展、企業(yè)運(yùn)營等關(guān)鍵環(huán)節(jié)利用大數(shù)據(jù)技術(shù)對業(yè)務(wù)運(yùn)營優(yōu)化以挖掘更多的數(shù)據(jù)價值顾瞻。大量的組織參與到大數(shù)據(jù)產(chǎn)業(yè)中，成為數(shù)據(jù)資源德绿、數(shù)據(jù)計(jì)算平臺荷荤、數(shù)據(jù)服務(wù)和應(yīng)用的提供者等角色退渗，組織在利用大數(shù)據(jù)技術(shù)開展新的業(yè)務(wù)運(yùn)營模式下的轉(zhuǎn)型變革，同時蕴纳，數(shù)據(jù)安全管理也帶來了挑戰(zhàn)：

• 環(huán)境層面会油，包括在經(jīng)濟(jì)環(huán)境、公民常識古毛、技術(shù)發(fā)展和政策法規(guī)幾個方面翻翩。經(jīng)濟(jì)環(huán)境反映在大數(shù)據(jù)交易、大數(shù)據(jù)服務(wù)等稻薇；公民常識反映在個人隱私保護(hù)嫂冻、數(shù)據(jù)確權(quán)等；技術(shù)發(fā)展反映在云計(jì)算塞椎、大數(shù)據(jù)桨仿、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等案狠；政策法規(guī)方面反映國家安全服傍、個人隱私保護(hù)、數(shù)據(jù)跨境等骂铁。
• 外延層面吹零，數(shù)據(jù)在不同組織之間的流通和加工，以及相關(guān)的產(chǎn)業(yè)實(shí)踐和標(biāo)準(zhǔn)化建設(shè)方面拉庵。
• 核心層面灿椅，數(shù)據(jù)作為組織的重要資產(chǎn)，面臨著傳統(tǒng)數(shù)據(jù)安全相關(guān)風(fēng)險(xiǎn)和大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全風(fēng)險(xiǎn)名段。以數(shù)據(jù)為中心的組織業(yè)務(wù)范圍內(nèi)的生命周期管理，體現(xiàn)出數(shù)據(jù)安全需求泣懊、數(shù)據(jù)安全保障方面應(yīng)具備的數(shù)據(jù)安全能力伸辟。

標(biāo)準(zhǔn)建設(shè)

數(shù)據(jù)安全能力成熟度模型標(biāo)準(zhǔn)作為企業(yè)數(shù)據(jù)資產(chǎn)管理在數(shù)據(jù)安全能力成熟度方面的反映，重點(diǎn)考慮數(shù)據(jù)生命周期安全下的數(shù)據(jù)安全能力成熟度建設(shè)馍刮。在標(biāo)準(zhǔn)建設(shè)中考慮核心標(biāo)準(zhǔn)信夫、配套標(biāo)準(zhǔn)、衍生標(biāo)準(zhǔn)卡啰、行業(yè)應(yīng)用四個方面：

• 核心標(biāo)準(zhǔn)静稻，國標(biāo)《大數(shù)據(jù)安全能力成熟度模型》和ISO標(biāo)準(zhǔn)《Big data Security capability maturity model》；
• 配套標(biāo)準(zhǔn)匈辱，國標(biāo)《大數(shù)據(jù)安全能力成熟度測評指南》和國標(biāo)《大數(shù)據(jù)安全能力成熟度提升指南》振湾；
• 衍生標(biāo)準(zhǔn)，ITU-T Security reference architecture for lifecycle management of e-commerce business data 和行業(yè)標(biāo)準(zhǔn)《面向互聯(lián)網(wǎng)的數(shù)據(jù)安全能力框架》亡脸；
• 行業(yè)應(yīng)用押搪，數(shù)據(jù)安全能力成熟度模型結(jié)合行業(yè)特點(diǎn)開展細(xì)化應(yīng)用树酪，如：《電子商務(wù)行業(yè)數(shù)據(jù)安全能力成熟度提升指南》、《金融行業(yè)數(shù)據(jù)安全能力成熟度提升指南》大州、《物流行業(yè)數(shù)據(jù)安全能力成熟度提升指南》续语、《獨(dú)立軟件提供商數(shù)據(jù)安全能力成熟度提升指南》等。

DSCMM主要內(nèi)容

DSCMM模型架構(gòu)

DSCMM成熟度模型借鑒CMM思想厦画，以CMM的通用實(shí)踐衡量成熟度等級疮茄，以《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》中相關(guān)安全要求為基礎(chǔ)，指導(dǎo)組織持續(xù)提升數(shù)據(jù)安全能力根暑，覆蓋數(shù)據(jù)生命周期（數(shù)據(jù)采集力试、數(shù)據(jù)存儲、數(shù)據(jù)傳輸购裙、數(shù)據(jù)處理懂版、數(shù)據(jù)交換、數(shù)據(jù)銷毀）過程躏率，明確各階段數(shù)據(jù)安全能力及成熟度躯畴，獲得組織整體數(shù)據(jù)安全能力。

image

image

• 數(shù)據(jù)生命周期安全薇芝，圍繞數(shù)據(jù)生命周期蓬抄，提煉大數(shù)據(jù)環(huán)境下，以數(shù)據(jù)為中心夯到，針對數(shù)據(jù)生命周期各階段的相關(guān)數(shù)據(jù)安全過程域體系嚷缭；
• 數(shù)據(jù)安全能力維度，明確組織在各數(shù)據(jù)安全域所需具備的能力維度耍贾，包括：制度流程阅爽、人員能力、組織建設(shè)和技術(shù)工具四個關(guān)鍵維度荐开；
• 能力成熟度等級付翁，基于CMM的分級標(biāo)準(zhǔn)，細(xì)化組織機(jī)構(gòu)在各數(shù)據(jù)安全過程域中的5個級別的能力成熟度分級要求晃听。

數(shù)據(jù)生命周期

基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織業(yè)務(wù)中的流轉(zhuǎn)情況百侧，定義了數(shù)據(jù)生命周期的6個階段，具體定義如下：

image

image

• 數(shù)據(jù)采集能扒，指新的數(shù)據(jù)產(chǎn)生或現(xiàn)有數(shù)據(jù)內(nèi)容發(fā)生顯著改變或更新的階段佣渴。對于組織而言，數(shù)據(jù)采集既包含組織內(nèi)系統(tǒng)中生成的數(shù)據(jù)也包括組織外采集的數(shù)據(jù)初斑。
• 數(shù)據(jù)存儲辛润，指非動態(tài)數(shù)據(jù)以任何數(shù)據(jù)格式進(jìn)行物理存儲的階段。
• 數(shù)據(jù)處理见秤，指組織在內(nèi)部針對動態(tài)數(shù)據(jù)進(jìn)行的一系列活動的組合频蛔。
• 數(shù)據(jù)傳輸灵迫，指數(shù)據(jù)在組織內(nèi)從一個實(shí)體通過網(wǎng)絡(luò)傳輸?shù)搅硪粋€實(shí)體的過程。
• 數(shù)據(jù)交換晦溪，指數(shù)據(jù)經(jīng)由組織內(nèi)部或外部及個人交互過程中提供數(shù)據(jù)的階段瀑粥。
• 數(shù)據(jù)銷毀，指通過對數(shù)據(jù)及數(shù)據(jù)存儲介質(zhì)相應(yīng)操作過程三圆，使數(shù)據(jù)徹底丟棄且無法通過任何手段恢復(fù)的過程狞换。

注：組織特定的數(shù)據(jù)所經(jīng)歷的生命周期由實(shí)際業(yè)務(wù)場景決定，并非所有數(shù)據(jù)都經(jīng)歷完整的六個階段

數(shù)據(jù)安全過程域

數(shù)據(jù)安全過程域覆蓋數(shù)據(jù)生命周期六個階段舟肉，包括數(shù)據(jù)生命周期各階段通用安全過程域和生命周期各階段下的安全過程域修噪。

image

image

數(shù)據(jù)安全能力維度

通過對組織在各項(xiàng)安全過程中所需具備安全能力的細(xì)化，提供組織評估每項(xiàng)安全過程的實(shí)現(xiàn)能力路媚。重點(diǎn)考慮組織建設(shè)黄琼、制度流程、技術(shù)工具和人員能力四個維度整慎。

image

image

• 組織建設(shè)脏款，數(shù)據(jù)安全組織機(jī)構(gòu)的建立、職責(zé)分配和溝通協(xié)作裤园；
• 制度流程撤师，組織架構(gòu)關(guān)鍵數(shù)據(jù)安全領(lǐng)域的制度規(guī)范和流程落地建設(shè)；
• 技術(shù)工具拧揽，通過技術(shù)手段和產(chǎn)品工具固化安全要求或自動化實(shí)現(xiàn)安全工作剃盾；
• 人員能力，執(zhí)行數(shù)據(jù)安全工作的人員的意識及專業(yè)能力淤袜。

能力成熟度等級

組織的數(shù)據(jù)安全成熟度劃分為5個成熟度等級

image

image

• 等級1：非正式執(zhí)行痒谴，組織數(shù)據(jù)安全工作來自被動的需求或隨機(jī)開展的工作，并未主動的開展數(shù)據(jù)安全工作铡羡；
• 等級2：計(jì)劃跟蹤积蔚，組織開始評估數(shù)據(jù)安全風(fēng)險(xiǎn)并主動開展數(shù)據(jù)安全工作，但缺乏有序的管理規(guī)范蓖墅；
• 等級3：充分定義库倘，組織已基于數(shù)據(jù)安全風(fēng)險(xiǎn)開展規(guī)范性工作临扮，工作開展的效果可進(jìn)行衡量但缺乏量化分析论矾；
• 等級4：量化控制，組織的數(shù)據(jù)安全工作與業(yè)務(wù)發(fā)展保持一致杆勇，且可以獲得持續(xù)的測量和控制贪壳；
• 等級5：持續(xù)優(yōu)化，組織的數(shù)據(jù)安全工作已成為持續(xù)可控的過程蚜退，能夠致力于業(yè)務(wù)價值的提升闰靴。

DSCMM 應(yīng)用

評定方法

組織的數(shù)據(jù)安全能力成熟度等級取決于各項(xiàng)數(shù)據(jù)安全過程域的能力成熟度等級彪笼。評定方法采用"木桶效益"，即：組織的整體數(shù)據(jù)安全能力成熟度取決于各項(xiàng)數(shù)據(jù)安全過程域的能力成熟度級別中的最低等級蚂且。如：當(dāng)所有數(shù)據(jù)安全過程域的能力成熟度都達(dá)到2級以上時配猫，組織的數(shù)據(jù)安全能力成熟度等級方可為2級。

應(yīng)用方法

組織在開展數(shù)據(jù)安全能力成熟度評估時杏死，可根據(jù)組織的業(yè)務(wù)規(guī)模泵肄、業(yè)務(wù)對象、業(yè)務(wù)數(shù)據(jù)的依賴性及組織單元等方面的差異淑翼，對數(shù)據(jù)安全能力成熟度模型"因地制宜"腐巢。選擇適合自身業(yè)務(wù)實(shí)際情況的長短期目標(biāo)，開展相應(yīng)數(shù)據(jù)安全能力等級方面的建設(shè)和實(shí)施工作玄括。參考步驟如下：

image

image