《信息安全技术 数据安全能力成熟度模型》(GB/T 37988- 2019)(以下简称“DSMM”)是由阿里巴巴联合中国电子技术标准 化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等 业内权威机构联合编写的国家标准,于2019年8月30日发布,2020年3 月1日正式实施。 DSMM国家标准以组织的数据为中心,围绕数据的采集、传输、 存储、处理、交换、销毁全生命周期,从组织建设、制度流程、技术工 具、人员能力4个能力维度,按照1-5级成熟度,评价组织的数据安全能 力。
北京四方远望企业管理咨询有限公司1小时前
在线咨询评估内容 DSMM评估以组织为单位,以数据为中心,围绕数据的生命周期, 对组织建设、制度流程、技术工具以及人员能力4个能力维度进行评估, 涵盖5个成熟度级别、30个数据安全能力过程域和576个基本实践。 组织建设:数据安全组织架构对组织业务的适用性;数据安全组织承担的工作职责的明确性;数据安全组织运作、沟通协调的有效性。 制度流程:数据生存周期关键控制阶段授权审批的明确性;相关流程制度的制定、发布、修订的规范性;制度流程实施的一致性和有效性。 技术工具:数据安全技术在数据全生命周期过程中的利用情况,应对数据全生命周期安全风险的能力;利用技术工具对数据安全工作的自动化支持能力,对数据安全制度流程固化执行的实现能力。 人员能力:数据安全人员所具备的数据安全能力是否能满足实现安全目标的能力要求(对数据相关业务的理解能力以及数据安全专业能力);数据安全人员的数据安全意识以及关键数据安全岗位员工的数据安全能力的培养。
数据采集安全:在组织内部系统中产生的数据,以及从外部系统收 集数据的过程中,需明确采集数据的目的和用途, 对数据源进行身份鉴别,做好质量管控,并依据法 律法规和业务需求对数据进行分类分级。 数据传输安全:在数据从一个实体传输到另一个实体的过程中,根据数 据传输要求,采用适当的加密措施和网络技术,保证传 输通道、传输节点和传输数据的安全,实现网络的高可 用性,保证数据传输过程的稳定性。 数据存储安全:在数据存储的过程中,需对数据储存媒体进行访问和 使用场景采取技术管控措施,防止存储媒体不当使用 引发数据泄漏风险。同时,对数据逻辑储存、储存容 器的安全管理控制,执行定期数据备份,实现对储存 数据的冗余管理。 数据处理安全:在组织对数据进行计算、分析和可视化等操作过程中,依 照法律规范和实际需求,采取技术手段监测数据处理环境 的安全,防止重要数据在数据处理过程中泄漏,确保数据 导入导出过程中的可用性和完整性。同时,对敏感数据采 取脱敏处理,采取安全措施。