|
歡迎轉(zhuǎn)載,轉(zhuǎn)載請(qǐng)注明出處和作者 | 石秀峰 一,、DSMM模型簡(jiǎn)介 數(shù)據(jù)安全能力成熟度模型(DS-CMM,,或DSMM)是由是阿里巴巴和中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院在大量實(shí)踐和研究的基礎(chǔ)上,聯(lián)合三十多家企事業(yè)單位共同研究制定的,。DSMM一份關(guān)于數(shù)據(jù)安全管理的標(biāo)準(zhǔn),,已經(jīng)將成為國(guó)家標(biāo)準(zhǔn)。注:該標(biāo)準(zhǔn)已經(jīng)正式發(fā)布,,文末有下載方式,。DSMM借鑒能力成熟度模型(CMM)的思想,將數(shù)據(jù)按照其生命周期分階段采用不同的能力評(píng)估等級(jí),,分為數(shù)據(jù)采集安全,、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全,、數(shù)據(jù)處理安全,、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全六個(gè)階段,。DSMM從組織建設(shè),、制度流程、技術(shù)工具,、人員能力四個(gè)安全能力維度的建設(shè)進(jìn)行綜合考量,。DSMM將數(shù)據(jù)安全成熟度劃分成了1-5個(gè)等級(jí),依次為非正式執(zhí)行級(jí),、計(jì)劃跟蹤級(jí),、充分定義級(jí)、量化控制級(jí),、持續(xù)優(yōu)化級(jí),,形成一個(gè)三維立體模型,,全方面對(duì)數(shù)據(jù)安全進(jìn)行能力建設(shè)。
主要特點(diǎn):數(shù)據(jù)安全工作是隨機(jī),、無序、被動(dòng)執(zhí)行的,,依賴與個(gè)人,,經(jīng)驗(yàn)無法復(fù)制。組織在數(shù)據(jù)安全領(lǐng)域未執(zhí)行有效的相關(guān)工作,,僅在部分場(chǎng)景或項(xiàng)目的臨時(shí)需求執(zhí)行相關(guān)工作,,未形成成熟的機(jī)制,來保障數(shù)據(jù)安全相關(guān)工作的持續(xù)開展,。主要特點(diǎn):在項(xiàng)目級(jí)別主動(dòng)實(shí)現(xiàn)了安全過程的計(jì)劃與執(zhí)行,,沒有形成體系化。規(guī)劃執(zhí)行,,對(duì)數(shù)據(jù)安全過程進(jìn)行規(guī)劃,,提前分配資源和責(zé)任;規(guī)范化執(zhí)行,,對(duì)安全過程進(jìn)行控制,,使用安全執(zhí)行計(jì)劃,執(zhí)行相關(guān)標(biāo)準(zhǔn)和程序的過程,,對(duì)數(shù)據(jù)安全過程實(shí)施配置管理,;驗(yàn)證執(zhí)行,確認(rèn)過程按照預(yù)定的方式執(zhí)行,,驗(yàn)證執(zhí)行過程與可應(yīng)用的計(jì)劃是一致的,,對(duì)數(shù)據(jù)安全過程進(jìn)行審計(jì);跟蹤執(zhí)行,,控制數(shù)據(jù)安全項(xiàng)目的進(jìn)展,,通過可測(cè)量的計(jì)劃跟蹤過程執(zhí)行,當(dāng)過程實(shí)踐與計(jì)劃產(chǎn)生重大的偏離時(shí)采取修正行動(dòng),。主要特點(diǎn):在組織級(jí)別實(shí)現(xiàn)了安全過程的規(guī)范定義和執(zhí)行,。定義標(biāo)準(zhǔn)過程,組織對(duì)標(biāo)準(zhǔn)過程進(jìn)行制度化,,形成標(biāo)準(zhǔn)化過程文檔,,為滿足特定用途對(duì)標(biāo)準(zhǔn)過程進(jìn)行裁剪;執(zhí)行已定義的過程,,充分定義的過程可重復(fù)執(zhí)行,針對(duì)有缺陷的過程結(jié)果和安全實(shí)踐的核查,,使用過程執(zhí)行的結(jié)果數(shù)據(jù),;協(xié)調(diào)安全實(shí)踐,,對(duì)業(yè)務(wù)系統(tǒng)和組織的協(xié)調(diào),確定業(yè)務(wù)系統(tǒng)內(nèi),,各業(yè)務(wù)系統(tǒng)之間,、組織外部活動(dòng)的協(xié)調(diào)機(jī)制。主要特點(diǎn):建立了量化目標(biāo),,安全過程可量化度量和預(yù)測(cè),。建立可測(cè)的目標(biāo),為組織數(shù)據(jù)安全建立可測(cè)量的目標(biāo),;客觀的管理執(zhí)行,,確定過程能力的量化測(cè)量來管理安全過程,以量化測(cè)量作為修正行動(dòng)的基礎(chǔ),。主要特點(diǎn):根據(jù)組織的整理戰(zhàn)略和目標(biāo),,不斷改進(jìn)和優(yōu)化數(shù)據(jù)安全過程。改進(jìn)組織能力,,在整個(gè)組織范圍內(nèi)的標(biāo)準(zhǔn)過程使用情況進(jìn)行比較,,尋找改進(jìn)標(biāo)準(zhǔn)過程的機(jī)會(huì),分析對(duì)標(biāo)準(zhǔn)過程的可能變更,。改進(jìn)過程有效性,,制定處于連續(xù)受控改進(jìn)狀態(tài)下的標(biāo)準(zhǔn)過程,提出消除標(biāo)準(zhǔn)過程產(chǎn)生缺陷的原因和持續(xù)改進(jìn)的標(biāo)準(zhǔn)過程,。DSMM模型將數(shù)據(jù)生命周期分為了數(shù)據(jù)采集、數(shù)據(jù)傳輸,、數(shù)據(jù)存儲(chǔ),、數(shù)據(jù)處理、數(shù)據(jù)交換和數(shù)據(jù)銷毀六大階段,,40個(gè)過程域(PA),,其中包含16個(gè)通用安全過程域,和24個(gè)數(shù)據(jù)生命周期各階段安全過程域,,如下圖所示:
四,、數(shù)據(jù)安全能力構(gòu)成—— 數(shù)據(jù)安全組織架構(gòu)對(duì)組織業(yè)務(wù)的適應(yīng)性,;—— 數(shù)據(jù)安全組織架構(gòu)承擔(dān)的工作職責(zé)的明確性,;—— 數(shù)據(jù)安全組織架構(gòu)運(yùn)作、協(xié)調(diào),、溝通的有效性,;—— 數(shù)據(jù)生命周期的關(guān)鍵控制節(jié)點(diǎn)授權(quán)審批流程的明確性,;—— 相關(guān)流程,、制度的制定,、發(fā)布、修訂的規(guī)范性,;—— 安全要求及落地執(zhí)行的一致性和有效性,。—— 數(shù)據(jù)安全技術(shù)在數(shù)據(jù)全生命周期過程中的使用情況,,針對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)的檢測(cè)及相應(yīng)能力,;—— 利用技術(shù)工具對(duì)數(shù)據(jù)安全工作的自動(dòng)化和持續(xù)支持能力,對(duì)數(shù)據(jù)安全制度流程的固化執(zhí)行能力,。—— 數(shù)據(jù)安全人員所具備的安全技能是否能滿足復(fù)合型能力要求;—— 數(shù)據(jù)安全人員的數(shù)據(jù)安全意識(shí)以及關(guān)鍵數(shù)據(jù)安全崗位員工的數(shù)據(jù)安全能力培養(yǎng),。作為企業(yè)數(shù)據(jù)治理的一部分,數(shù)據(jù)安全管理重點(diǎn)建設(shè)內(nèi)容也分為“組織建設(shè)--制度流程--技術(shù)工具--人員能力”四個(gè)方面,,這點(diǎn)DSMM模型給了準(zhǔn)確的描述,。DSMM模型從數(shù)據(jù)安全能力維度、數(shù)據(jù)安全等級(jí),、數(shù)據(jù)全生命周期安全形成了一個(gè)三位一體模型,,并且給出了非常詳細(xì)的評(píng)估內(nèi)容和評(píng)估項(xiàng)。對(duì)于DSMM模型,,筆者給出以下幾點(diǎn)不成熟建議:1,、DSMM模型中將數(shù)據(jù)的生命分為周期劃分了六個(gè)階段,分別是數(shù)據(jù)采集,、數(shù)據(jù)傳輸,、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)處理,、數(shù)據(jù)交換和數(shù)據(jù)銷毀,。這里,筆者不清楚DSMM模型作者是出于什么原因考慮的,,在筆者看來數(shù)據(jù)的生命周期應(yīng)該從數(shù)據(jù)規(guī)劃算起,,分為數(shù)據(jù)規(guī)劃、數(shù)據(jù)設(shè)計(jì),、數(shù)據(jù)運(yùn)營(yíng),、數(shù)據(jù)退役四大階段,而數(shù)據(jù)的采集安全,、數(shù)據(jù)存儲(chǔ)安全,、數(shù)據(jù)傳輸安全、數(shù)據(jù)處理安全和數(shù)據(jù)銷毀安全是數(shù)據(jù)生命周期中的六個(gè)重要的數(shù)據(jù)安全控制點(diǎn),。結(jié)合數(shù)據(jù)生命周期和數(shù)據(jù)安全控制點(diǎn),,形成數(shù)據(jù)全生命周期安全控制圖,,如下圖所示:
2,、數(shù)據(jù)安全應(yīng)從源頭抓起,在做數(shù)據(jù)規(guī)劃設(shè)計(jì)的時(shí)候,,需要將數(shù)據(jù)安全設(shè)計(jì)作為系統(tǒng)設(shè)計(jì)的一個(gè)重要部分,,描述出每項(xiàng)數(shù)據(jù)的結(jié)構(gòu)、數(shù)據(jù)來源,、敏感字段,、以及對(duì)應(yīng)的管理部門、維護(hù)人員,,做好數(shù)據(jù)安全認(rèn)責(zé),。做好敏感數(shù)據(jù)的識(shí)別和分類、分級(jí)管理,,從數(shù)據(jù)的源頭抓起,,理清楚敏感數(shù)據(jù)的使用路徑,從數(shù)據(jù)源到數(shù)據(jù)目的的全鏈路的控制和跟蹤,。3,、針對(duì)DSMM模型,作為一項(xiàng)信息安全的技術(shù)標(biāo)準(zhǔn),,目前還在研制階段,,還未正式發(fā)布。目前的DSMM評(píng)估指南,,還存在一些瑕疵,。例如:評(píng)估項(xiàng)晦澀難懂,描述不清晰等問題,。希望這些問題能夠解決或改進(jìn),。數(shù)據(jù)安全能力成熟度模型,,關(guān)注于組織開展數(shù)據(jù)安全工作時(shí)應(yīng)具備的數(shù)據(jù)安全能力,,定義數(shù)據(jù)安全保障的模型框架和方法論。提出對(duì)組織的數(shù)據(jù)安全能力成熟度的分級(jí)評(píng)估方法,,來衡量自主的數(shù)據(jù)安全能力,,促進(jìn)組織了解并提升自身的數(shù)據(jù)安全水平,促進(jìn)數(shù)據(jù)在組織機(jī)構(gòu)之間的交換與共享,,發(fā)揮數(shù)據(jù)的價(jià)值,。DSMM模型借鑒了CMM思想將數(shù)據(jù)安全管理劃分了40個(gè)過程域(PA),160個(gè)評(píng)估項(xiàng),,每個(gè)PA都從組織建設(shè),、制度流程,、技術(shù)與工具、人員能力四個(gè)維度進(jìn)行能力成熟度的評(píng)估,。國(guó)家信息安全標(biāo)準(zhǔn)技術(shù)委員會(huì)提供了數(shù)據(jù)安全的評(píng)估指南,,可供企業(yè)進(jìn)行數(shù)據(jù)安全能力評(píng)估時(shí)進(jìn)行參考。按照CMM的思想,,企業(yè)在做數(shù)據(jù)安全能力成熟度評(píng)估時(shí),,應(yīng)根據(jù)企業(yè)的自身的行業(yè)特點(diǎn)和安全需求對(duì)40個(gè)PA和相關(guān)評(píng)估項(xiàng)進(jìn)行適當(dāng)裁剪,以適應(yīng)企業(yè)自身的需求,。在評(píng)估之前,,可以將評(píng)估過程域(PA)、成熟度等級(jí)和評(píng)估項(xiàng)結(jié)合起來,,形成一個(gè)二維的《評(píng)估工具檢查表》,。
在具體的實(shí)踐中,如果企業(yè)規(guī)模較大,、業(yè)務(wù)復(fù)雜,,可以根據(jù)按照不同的業(yè)務(wù)域進(jìn)行拆分,逐個(gè)評(píng)估,。企業(yè)進(jìn)行數(shù)據(jù)安全能力的評(píng)估,,應(yīng)充分做好相關(guān)業(yè)務(wù)部門核心骨干的宣貫,讓參與評(píng)估的人員充分理解數(shù)據(jù)安全評(píng)估的價(jià)值,,并給予積極的配合,,這樣才能取得一個(gè)相對(duì)準(zhǔn)確的評(píng)估結(jié)果。
|
