0igjcl
數據要素是參與社會生產經營活動,帶來經濟效益的數據資源,是國家發展的戰略性、基礎性資源,也是驅動數字經濟發展的強大動力。數據資產為企業和組織帶來發展機遇的同時,也發生了大量數據安全事件,安全威脅日益嚴重,數據安全保護能力是網絡運營者在數據經濟時代的緊迫議題,也是充分釋放數據資源價值的關鍵環節。
GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》(簡稱DSMM)標準要求是評估的依據。DSMM是從數據安全管理的角度,以企業組織的數據為核心,圍繞數據全生命周期進行分析、發現數據安全風險。通過DSMM評估,可以對企業或組織核心業務系統所面臨的數據安全風險進行發現、識別和定性,幫助企業組織高效地定位自身數據安全短板、為企業組織提出具有針對性的數據安全能力提升路徑、防范數據安全事件風險,最終幫助企業組織獲得數據安全保護能力的成熟度證明,滿足安全合規要求。DSMM評估結果代表企業組織目前的數據安全防護水平,從L1至L5,級別越高代表的數據安全防護能力越強。DSMM評估受數據價值、合規要求、組織發展等多方面驅動,各方面都有數據安全工作關注要素。根據我們在政務、金融等多個領域的評估實踐來看,DSMM評估的關鍵要素主要由以下幾個方面構成:DSMM評估首先要確定建設目標,即數據安全能力成熟度級別。L1級為隨機、無序、被動地執行全過程,完全依賴于個人經驗,無法復制;L2級為計劃跟蹤級別,適合多數企業數據安全能力建設的申請級別;L3級為充分定義級,要求足夠的數據安全團隊保障、完善的制度流程和專業的技術工具,因此在人力、物力、財力等方面投入要遠高于L2級,適合具有較高數據安全實踐水平的企業組織申請;L4級為量化控制級,適合在數據安全領域建設水平領先的企業組織申請;L5級根據企業組織的整體目標,不斷改進和優化組織能力和數據安全過程。數據資產是為組織產生價值的數據資源,是指可以提升企業組織效益、提高管理水平或通過出售、租賃數據的方式獲得經濟收益。核心業務數據、敏感數據、密鑰資產數據等重要數據應納入數據資產評估范圍。對于有些企業組織,業務系統未進行集成化管理,具備幾十甚至上百個系統,大大增加了DSMM評估企業的整改成本,在明確數據資產范圍過程中,可暫不納入輔助業務系統。評估人員有義務幫助企業組織平衡業務系統數據安全整改成本與數據資產收益。在DSMM評估工作過程中,評估人員應幫助企業組織對自身數據資產的業務系統在數據的采集、傳輸、存儲、處理、交換和銷毀過程,梳理數據安全風險點,并記錄所有風險點,全面掌握企業組織的數據安全能力現狀與建設目標的差距。
為了更好地識別數據安全風險,有效有條不紊地通過數據安全能力成熟度,評估人員應熟練掌握GB∕T 37988-2019 《信息安全技術 數據安全能力成熟度模型》、GB∕T 35274-2017《信息安全技術 大數據服務安全能力要求》等技術框架,以及《中華人民共和國網絡安全法》、《中華人民共和國數據安全法》和《中華人民共和國個人信息保護法》等上位法,必要時應對企業組織所屬行業規范、合規要求進行了解。評估人員具備豐富的數據安全風險意識是DSMM評估工作的前提。評估人員需要幫助企業組織依據數據安全風險,根據數據流轉過程、企業組織運作方式,形成數據安全風險知識庫。依據知識庫,企業組織數據安全法律法規、數據泄漏案例等培訓,提高員工數據安全風險意識。數據安全團隊是決策層與執行層的橋梁,是評估過程重點考察的對象。考察內容包括團隊對決策層數據安全建設目標的理解、相關數據安全制度的完善性、崗位設計的科學性、分工(權、責、利)合理性以及獎懲機制執行效果等,數據安全團隊整體體現企業人員的數據安全能力。綜上所述,要素三至要素五在DSMM評估過程中存在很多主觀內容,因此評估人員的專業度、經驗積累和引導能力非常重要。中國軟件評測中心DSMM評估團隊具有數據安全領域豐富的第三方服務經驗,幫助企業組織梳理自身的數據安全能力現狀,識別數據安全潛在風險,通過組織、制度、人員和技術工具的落地,提升企業組織數據安全能力建設水平,達到數據資源價值最大化。
當前,全球范圍內數據安全監管趨嚴,我國也相繼發布了相關法律法規,如何在數據安全監管框架下實現數據安全合規,成為了企業,尤其是掌握重要數據和個人信息的企業最為關注的問題。GB/T 37988《信息安全技術 數據安全能力成熟度模型》(以下簡稱DSMM)是由業內權威機構聯合編寫的國家標準,于2019年8月30日發布,2020年3月1日正式實施。DSMM國家標準以組織的數據為中心,圍繞數據的采集、傳輸、存儲、處理、交換、銷毀全生命周期,從組織建設、制度流程、技術工具、人員能力4個能力維度,按照1-5級成熟度,評判組織的數據安全能力。·GB/T 37988-2019《信息安全技術 數據安全能力成熟度模型》DSMM評估以組織為單位,以數據為中心,圍繞數據的生命周期,對組織建設、制度流程、技術工具以及人員能力4個能力維度進行評估,涵蓋5個成熟度級別、30個數據安全能力過程域和576個基本實踐。
張老師
點擊圖片查看原圖