DSMM标准内容
DSMM 标准以数据为中心,重点围绕数据生命周期,从组织建设、制度流程、技术工具和人员能力4个方面进行安全保障。
DSMM 标准关注企业自身业务产生的数据和与外部第三方组织交互的数据,以衡量组织机构的数据安全能力,促进组织机构了解并提升自身的数据安全水平。
DSMM 标准包含:
4 大安全能力维度(组织建设、制度流程、技术工具、人员能力);
7 大数据安全过程维度(数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全);
5级(从低到高依次 1-5 级),DSMM 标准对不同等级进行了定义和描述,3 级标准共计 282 个评估项。
7大过程维度又可细分为共 30 个过程域,每个过程域均区划为 5 级,每级从 4 个安全能力维度(组织建设、制度流程、技术工具、人员能力)提出具体的能力要求; 对于每个数据安全过程域,高等级的能力要求包含所有低等级能力要求,针对某一具体数据安全过程域,假如 5 级的能力要求中未涉及某一关键能力的内容,则默认需达成在 4 级的能力要求中的该关键能力的内容,依此内推。
DSMM实践中的难点与挑战
在DSMM数据安全能力模型实践过程中,通常会遇到如下挑战。
(1)高层重视度不足
负责人的层级不够,难以协调;提供的资源投入有限,力度不够;仅仅作为合规需求,响应被动;缺乏前瞻性的布局,前瞻性的数据安全技术研究与投入缺乏或者不足。
(2)业务部门配合意愿度低
其他业务部门认为是安全部门的事情,主动性不强,业务要素的输入不足,导致数据安全政策不够贴近业务,既影响落地,又可能造成数据安全一刀切的局面,影响业务的发展。
(3)内部系统繁多,数据庞杂
业务的IT化促成了大量的系统产生,沉淀了大量的数据,应用系统的梳理、系统间的数据接口以及数据的盘点成为了基础治理工作的重中之重,日常实践中,基础治理工作往往得不到应有的重视,管理者往往急功近利,忽视基础治理工作的重要性。
(4)政策落地难
由于历史因素,组织里存在着大量的历史业务,大数据环境下的数据安全政策难免与现有业务流程产生冲突,冲突发生时的取舍容易导致数据安全为业务让路,造成数据安全政策落地难的局面。
(5)业务快速发展
互联网+大数据+引发业务创新的加速,业务出现快速发展的势头,频繁迭代升级,数据安全政策及技术手段更新容易滞后。
(6)组织的关联公司多
大数据环境下,组织间的业务合作促进了数据的共享,怎样安全可控地分享数据是大型组织常见的挑战。