龙空技术网

数据安全能力成熟度模型介绍

数字港 137

前言:

此时兄弟们对“数据安全模型的三个核心要素”可能比较关心,同学们都需要剖析一些“数据安全模型的三个核心要素”的相关内容。那么小编在网络上收集了一些有关“数据安全模型的三个核心要素””的相关资讯,希望朋友们能喜欢,小伙伴们快快来了解一下吧!

DSMM的架构由以下三个维度构成:

1.安全能力维度

安全能力维度明确了组织在数据安全领域应具备的能力,包括组织建设、制度流程、技术工具和人员能力。

2.能力成熟度等级维度

数据安全能力成熟度等级划分为五级,具体包括:1级是非正式执行级,2级是计划跟踪级3级是充分定义级,4级是量化控制级5级是持续优化级。

3.数据安全过程维度

数据安全过程包括数据生存周期安全过程和通用安全过程;

数据生存周期安全过程具体包括:数据采集安全、数据传输安全、数据存储安全数据处理安全、数据交换安全数据销毁安全6个阶段。过程域体系分为数据生存周期安全过程通用安全过程两部分。

一、评估流程

1.确定模型适用范围:分析需要保护的数据资产及业务范围,确定模型使用或评估范围。

2.确定能力成熟度级别目标:分析组织机构数据安全风险,确定能力成熟度等级建设目标。

3. 选取安全安全过程域:针对组织机构的数据相关的业务现状,选取适当的数据安全安全过程域。例如,对于有的组织机构而言,不存在数据对外共享的处理,则无需选择共享安全的安全过程域。

4.执行基本实践:依据标准对各等级数据安全实践要求,从4个关键能力进行落地和不断改进提升。

5.安全过程域安全评估:基于选择的安全安全过程域范针对各项安全安全过程域对组织机构的数据安全实践情况进行现状的调研和分析。

6.确定组织机构整体等级:所有安全过程域的等级确定组织机构整体的数据安全能力成熟度等级,对数据安全能力进行持续建设和改进。

二、评估方法

数据安全能力成熟度等级的评估从组织建设、制度流程、技术工具和人员能力4个关键能力展开。通过对各项安全过程所需具备安全能力的评估,可评估组织在每项安全过程的实现能力属于哪一等级能力成熟度等级评估要素如下:

1.组织建设:评估是否具有开展工作的专职/兼职岗位、团队或人员,其工作职责是否通过规范要求或其他手段得到确认和保障。

2.制度流程:检查是否有关键数据安全领域的制度规范和流程及其在组织机构内的落地执行情况。

3.技术工具:检查组织机构内的各项安全技术手段、通过产品工具固化安全要求或自动化的3安全作业的实施运作情况。

4.人员能力:执行数据安全工作的人员是否经过专业的技能和安全意识教育培训。

三、评估手段:

1. 人员访谈:通过访谈的方式与被评估方进行交流、讨论等活动,获取相关证据,了解有关信息:

2. 文档审核:由被评估方输入与数据安全相关的文档材料(如数据安全的方针政策、制度规范流程、培训教育材料、以及与产品技术相关的设计实施方案、配置说明、运行记录和其他配套表单),评估小组审核相关的文档材料是否已涵盖完整数据生存周期的安全过程域和控制项:

3. 配置检查:根据被评估方提供的技术材料,登录相关的系统工具平台,检查配置是否与材料保持一致,对文档审核内容进行核实:

4. 工具测试:利用技术工具对系统工具进行测试,验证是否符合数据安全成熟度模型特定等级的技术能力要求。

5. 旁站式验证:评估人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全意识、业务操作、管理程序等方面的安全情况。

标签: #数据安全模型的三个核心要素