《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(GB/T 37988-2019)(以下簡稱“DSMM”)是由阿里巴巴聯(lián)合中國電子技術(shù)標(biāo)準(zhǔn)化研究院、國家信息安全工程技術(shù)研究中心、中國信息安全測評中心等業(yè)內(nèi)權(quán)威機(jī)構(gòu)聯(lián)合編寫的國家標(biāo)準(zhǔn),于2019年8月30日發(fā)布,2020年3月1日正式實施。
(相關(guān)資料圖)
近年來,隨著信息技術(shù)和人類生產(chǎn)生活交匯融合,通過網(wǎng)絡(luò)收集、存儲、傳輸、處理和產(chǎn)生的各種數(shù)據(jù)迅猛增長。為了便于大家可以快速了解DSMM,擎標(biāo)給大家將常見的問題做了匯總。
一、DSMM的基礎(chǔ)申報條件
具有獨(dú)立企業(yè)法人地位,屬于數(shù)據(jù)擁有方或數(shù)據(jù)方案提供方;
社會信譽(yù)良好,有良好的知識產(chǎn)權(quán)保護(hù)意識,近三年無觸犯國家法律法規(guī)的行為,無經(jīng)營異常或嚴(yán)重違法失信行為,無不正當(dāng)競爭行為;
滿足《GB_T 37988-2019 信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》相應(yīng)級別要求;
有5人左右參與相關(guān)數(shù)據(jù)安全管理工作的人員。
二、DSMM的等級劃分有哪些?
DSMM將數(shù)據(jù)管理能力成熟度劃分為五個等級,自低向高依次為
1級:非正式執(zhí)行、2級:計劃跟蹤、3級:充分定義、4級:量化控制、5級:持續(xù)優(yōu)化,不同等級代表企業(yè)數(shù)據(jù)安全管理和應(yīng)用的成熟度水平不同。
數(shù)據(jù)安全過程維度——數(shù)據(jù)生命周期全過程,包括數(shù)據(jù) 采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、 數(shù)據(jù)銷毀安全,以及通用安全過程。
三、DSMM每個級別有什么區(qū)別?
L1非正式執(zhí)行:執(zhí)行非正式過程,隨機(jī)、無序、被動執(zhí)行安全過程,依賴個人經(jīng)驗,無法復(fù)制。
L2計劃跟蹤:在業(yè)務(wù)系統(tǒng)級別主動實現(xiàn)了安全過程的計劃與執(zhí)行,但沒有形成體系化,可驗證過程執(zhí)行與計劃一致,跟蹤、控制執(zhí)行的進(jìn)展。
L3充分定義:在組織級別實現(xiàn)了安全過程的規(guī)范執(zhí)行,標(biāo)準(zhǔn)過程進(jìn)行制度化,過程可重復(fù)執(zhí)行,執(zhí)行結(jié)果可核查。
L4量化控制:建立了量化目標(biāo),安全過程可度量。
L5持續(xù)優(yōu)化:根據(jù)組織的整體目標(biāo),不斷改進(jìn)和優(yōu)化組織能力和安全過程有效性。
四、DSMM的架構(gòu)
DSMM的架構(gòu)由四個安全能力維度、七個安全過程維度、五個安全能力等級構(gòu)成。四個安全能力維度:組織建設(shè)、制度流程、技術(shù)工具、人員能力;
七個安全過程維度:數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全、通用安全,共計30個過程域;
五個安全能力等級:從低到高依次1至5級。
七、DSMM評估方式有哪些?
DSMM評估方式主要包括人員訪談、文檔審 核、配置檢查、工具測試、旁站式驗證等方式,具體情況如下:
(1)文檔審核:由被評價組織輸入與數(shù)據(jù)安全相關(guān)的文檔材料(如數(shù)據(jù) 安全的方針政策、制度規(guī)范流程、培訓(xùn)教育材料、以及 與產(chǎn)品技術(shù)相關(guān)的設(shè)計實施方案、配置說明、運(yùn)行記錄 和其他配套表單)、審核小組審核相關(guān)的文檔材料是否 已涵蓋完整數(shù)據(jù)生存周期的PA和控制項。
(2)配置檢查:根據(jù)被審核方提供的技術(shù)材料,登陸相關(guān)的系統(tǒng)工具 平臺,檢査配置是否與材料保持一致,對文檔審核內(nèi)容進(jìn)行核實。
(3)工具測試:利用技術(shù)工具對系統(tǒng)工具進(jìn)行測試,驗證是 否符合數(shù)據(jù)安全成熟度模型特定等級的技術(shù) 能力要求,也可采信第三方的測試報告。
(4)旁站式驗證:審核人員在現(xiàn)場通過實地觀察人員行為、技術(shù)設(shè)施和環(huán)境狀況判斷人員的安全 意識、業(yè)務(wù)操作、管理程序等方面的安全情況。
(5)人員訪談:通過訪談的方式與被審核方進(jìn)行交流、討論 等活動,獲取相關(guān)證據(jù),了解有關(guān)信息。
擎標(biāo)信息技術(shù)服務(wù)有限公司是一家致力于科技風(fēng)險與合規(guī)內(nèi)控領(lǐng)域提供解決方案的咨詢服務(wù)機(jī)構(gòu)。公司主要從事ITSS、CMMI、ISO27001、ISO27701、ISO22301、ISO20000、CCRC、涉密資質(zhì)等領(lǐng)域的管理規(guī)劃、體系建設(shè)、工具支持及咨詢評估服務(wù)。
關(guān)鍵詞:
擎標(biāo)解析|DSMM數(shù)據(jù)安全能力成熟度模型 《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》(GB T37988-2019)(以下簡稱
14年來首次,中國銀聯(lián)大幅增資至99.63億元 14年來首次,中國銀聯(lián)大幅增資至99 63億元,借記卡,銀行卡,中國銀聯(lián),中
俄羅斯駐丹麥大使:不要向烏克蘭提供戰(zhàn)斗機(jī) 俄羅斯駐丹麥大使:不要向烏克蘭提供戰(zhàn)斗機(jī),梅特,烏克蘭,弗雷澤,丹麥大
宇守(關(guān)于宇守簡述) ,你們好,今天0471房產(chǎn)來聊聊一篇守,守簡述的文章,網(wǎng)友們對這件事情
積成電子(002339)6月30日股東戶數(shù)6.35萬戶,較上期減少3.22% 近日積成電子披露,截至2023年6月30日公司股東戶數(shù)為6 35萬戶,較3月31
老科魯茲的藍(lán)牙放歌方法是什么樣的(老科魯茲的藍(lán)牙放歌方法是什么?) 相信大家對老科魯茲的藍(lán)牙放歌方法是什么樣的,老科魯茲的藍(lán)牙放歌方法
最浪漫的堅持,“兵哥哥”干燒烤要還老婆一個店丨尋味三湘·煙火夜市 紅網(wǎng)時刻新聞記者張俊文建美蘇茜大通湖融媒體中心記者徐鋼涂丹益陽報道