《GB/T 数据安全能力成熟度模型》

本文介绍国标《GB/T 数据安全能力成熟度模型》

• DSCMM简介
• DSCMM主要内容
• DSCMM应用

image

简介

价值

随着大数据技术的发展，组织在业务发展、企业运营等关键环节利用大数据技术对业务运营优化以挖掘更多的数据价值。大量的组织参与到大数据产业中，成为数据资源、数据计算平台、数据服务和应用的提供者等角色，组织在利用大数据技术开展新的业务运营模式下的转型变革，同时，数据安全管理也带来了挑战：

• 环境层面，包括在经济环境、公民常识、技术发展和政策法规几个方面。经济环境反映在大数据交易、大数据服务等；公民常识反映在个人隐私保护、数据确权等；技术发展反映在云计算、大数据、物联网、移动互联网等；政策法规方面反映国家安全、个人隐私保护、数据跨境等。
• 外延层面，数据在不同组织之间的流通和加工，以及相关的产业实践和标准化建设方面。
• 核心层面，数据作为组织的重要资产，面临着传统数据安全相关风险和大数据环境下的数据安全风险。以数据为中心的组织业务范围内的生命周期管理，体现出数据安全需求、数据安全保障方面应具备的数据安全能力。

标准建设

数据安全能力成熟度模型标准作为企业数据资产管理在数据安全能力成熟度方面的反映，重点考虑数据生命周期安全下的数据安全能力成熟度建设。在标准建设中考虑核心标准、配套标准、衍生标准、行业应用四个方面：

• 核心标准，国标《大数据安全能力成熟度模型》和ISO标准《Big data Security capability maturity model》；
• 配套标准，国标《大数据安全能力成熟度测评指南》和国标《大数据安全能力成熟度提升指南》；
• 衍生标准，ITU-T Security reference architecture for lifecycle management of e-commerce business data 和行业标准《面向互联网的数据安全能力框架》；
• 行业应用，数据安全能力成熟度模型结合行业特点开展细化应用，如：《电子商务行业数据安全能力成熟度提升指南》、《金融行业数据安全能力成熟度提升指南》、《物流行业数据安全能力成熟度提升指南》、《独立软件提供商数据安全能力成熟度提升指南》等。

DSCMM主要内容

DSCMM模型架构

DSCMM成熟度模型借鉴CMM思想，以CMM的通用实践衡量成熟度等级，以《信息安全技术 大数据服务安全能力要求》中相关安全要求为基础，指导组织持续提升数据安全能力，覆盖数据生命周期（数据采集、数据存储、数据传输、数据处理、数据交换、数据销毁）过程，明确各阶段数据安全能力及成熟度，获得组织整体数据安全能力。

image

image

• 数据生命周期安全，围绕数据生命周期，提炼大数据环境下，以数据为中心，针对数据生命周期各阶段的相关数据安全过程域体系；
• 数据安全能力维度，明确组织在各数据安全域所需具备的能力维度，包括：制度流程、人员能力、组织建设和技术工具四个关键维度；
• 能力成熟度等级，基于CMM的分级标准，细化组织机构在各数据安全过程域中的5个级别的能力成熟度分级要求。

数据生命周期

基于大数据环境下数据在组织业务中的流转情况，定义了数据生命周期的6个阶段，具体定义如下：

image

image

• 数据采集，指新的数据产生或现有数据内容发生显著改变或更新的阶段。对于组织而言，数据采集既包含组织内系统中生成的数据也包括组织外采集的数据。
• 数据存储，指非动态数据以任何数据格式进行物理存储的阶段。
• 数据处理，指组织在内部针对动态数据进行的一系列活动的组合。
• 数据传输，指数据在组织内从一个实体通过网络传输到另一个实体的过程。
• 数据交换，指数据经由组织内部或外部及个人交互过程中提供数据的阶段。
• 数据销毁，指通过对数据及数据存储介质相应操作过程，使数据彻底丢弃且无法通过任何手段恢复的过程。

注：组织特定的数据所经历的生命周期由实际业务场景决定，并非所有数据都经历完整的六个阶段

数据安全过程域

数据安全过程域覆盖数据生命周期六个阶段，包括数据生命周期各阶段通用安全过程域和生命周期各阶段下的安全过程域。

image

image

数据安全能力维度

通过对组织在各项安全过程中所需具备安全能力的细化，提供组织评估每项安全过程的实现能力。重点考虑组织建设、制度流程、技术工具和人员能力四个维度。

image

image

• 组织建设，数据安全组织机构的建立、职责分配和沟通协作；
• 制度流程，组织架构关键数据安全领域的制度规范和流程落地建设；
• 技术工具，通过技术手段和产品工具固化安全要求或自动化实现安全工作；
• 人员能力，执行数据安全工作的人员的意识及专业能力。

能力成熟度等级

组织的数据安全成熟度划分为5个成熟度等级

image

image

• 等级1：非正式执行，组织数据安全工作来自被动的需求或随机开展的工作，并未主动的开展数据安全工作；
• 等级2：计划跟踪，组织开始评估数据安全风险并主动开展数据安全工作，但缺乏有序的管理规范；
• 等级3：充分定义，组织已基于数据安全风险开展规范性工作，工作开展的效果可进行衡量但缺乏量化分析；
• 等级4：量化控制，组织的数据安全工作与业务发展保持一致，且可以获得持续的测量和控制；
• 等级5：持续优化，组织的数据安全工作已成为持续可控的过程，能够致力于业务价值的提升。

DSCMM 应用

评定方法

组织的数据安全能力成熟度等级取决于各项数据安全过程域的能力成熟度等级。评定方法采用"木桶效益"，即：组织的整体数据安全能力成熟度取决于各项数据安全过程域的能力成熟度级别中的最低等级。如：当所有数据安全过程域的能力成熟度都达到2级以上时，组织的数据安全能力成熟度等级方可为2级。

应用方法

组织在开展数据安全能力成熟度评估时，可根据组织的业务规模、业务对象、业务数据的依赖性及组织单元等方面的差异，对数据安全能力成熟度模型"因地制宜"。选择适合自身业务实际情况的长短期目标，开展相应数据安全能力等级方面的建设和实施工作。参考步骤如下：

image

image