DSMM标准内容,DSMM实践中的难点与挑战

DSMM标准内容

DSMM 标准以数据为中心，重点围绕数据生命周期，从组织建设、制度流程、技术工具和人员能力4个方面进行安全保障。

DSMM 标准关注企业自身业务产生的数据和与外部第三方组织交互的数据，以衡量组织机构的数据安全能力，促进组织机构了解并提升自身的数据安全水平。

DSMM 标准包含：

4 大安全能力维度（组织建设、制度流程、技术工具、人员能力）；

7 大数据安全过程维度（数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全）；

5级（从低到高依次 1-5 级），DSMM 标准对不同等级进行了定义和描述，3 级标准共计 282 个评估项。

7大过程维度又可细分为共 30 个过程域，每个过程域均区划为 5 级，每级从 4 个安全能力维度（组织建设、制度流程、技术工具、人员能力）提出具体的能力要求； 对于每个数据安全过程域，高等级的能力要求包含所有低等级能力要求，针对某一具体数据安全过程域，假如 5 级的能力要求中未涉及某一关键能力的内容，则默认需达成在 4 级的能力要求中的该关键能力的内容，依此内推。

DSMM实践中的难点与挑战

在DSMM数据安全能力模型实践过程中，通常会遇到如下挑战。

（1）高层重视度不足

负责人的层级不够，难以协调；提供的资源投入有限，力度不够；仅仅作为合规需求，响应被动；缺乏前瞻性的布局，前瞻性的数据安全技术研究与投入缺乏或者不足。

（2）业务部门配合意愿度低

其他业务部门认为是安全部门的事情，主动性不强，业务要素的输入不足，导致数据安全政策不够贴近业务，既影响落地，又可能造成数据安全一刀切的局面，影响业务的发展。

（3）内部系统繁多，数据庞杂

业务的IT化促成了大量的系统产生，沉淀了大量的数据，应用系统的梳理、系统间的数据接口以及数据的盘点成为了基础治理工作的重中之重，日常实践中，基础治理工作往往得不到应有的重视，管理者往往急功近利，忽视基础治理工作的重要性。

（4）政策落地难

由于历史因素，组织里存在着大量的历史业务，大数据环境下的数据安全政策难免与现有业务流程产生冲突，冲突发生时的取舍容易导致数据安全为业务让路，造成数据安全政策落地难的局面。

（5）业务快速发展

互联网+大数据+引发业务创新的加速，业务出现快速发展的势头，频繁迭代升级，数据安全政策及技术手段更新容易滞后。

（6）组织的关联公司多

大数据环境下，组织间的业务合作促进了数据的共享，怎样安全可控地分享数据是大型组织常见的挑战。