最近在搞DSMM，問(wèn)了很多人，也沒(méi)有具體的、系統(tǒng)的、完整的落地實(shí)施方案，也都是在摸石頭過(guò)河，所以根據(jù)自己的理解簡(jiǎn)單總結(jié)下吧。如果哪位朋友在這方面做了一些工作或者對(duì)這個(gè)感興趣的，可以一起交流下。

DSMM(Data security capability maturity model)數(shù)據(jù)安全能力成熟度模型，由阿里巴巴作為主要起草單位編制的一份關(guān)于數(shù)據(jù)安全管理的標(biāo)準(zhǔn)，目前是報(bào)批稿狀態(tài)，即將成為國(guó)家標(biāo)準(zhǔn)。反觀現(xiàn)在大規(guī)模數(shù)據(jù)泄露事件不斷發(fā)生，對(duì)用戶個(gè)人和企業(yè)都造成了惡劣的影響，導(dǎo)致經(jīng)濟(jì)損失，甚至有生命危險(xiǎn)，DSMM必將成為各企業(yè)數(shù)據(jù)安全建設(shè)的依據(jù)指南。

DSMM借鑒能力成熟度模型(CMM)的思想，將數(shù)據(jù)按照其生命周期分階段采用不同的能力評(píng)估等級(jí)，分為數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全六個(gè)階段。DSMM從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個(gè)安全能力維度的建設(shè)進(jìn)行綜合考量。DSMM劃分成了1-5個(gè)等級(jí)，依次為非正式執(zhí)行級(jí)、計(jì)劃跟蹤級(jí)、充分定義級(jí)、量化控制級(jí)、持續(xù)優(yōu)化級(jí)，形成一個(gè)三維立體模型，全方面對(duì)數(shù)據(jù)安全進(jìn)行能力建設(shè)。

下圖為引用的標(biāo)準(zhǔn)的模型圖：

組織建設(shè)：數(shù)據(jù)安全組織機(jī)構(gòu)的架構(gòu)建立、職責(zé)分配和溝通協(xié)作。(數(shù)據(jù)安全治理的領(lǐng)導(dǎo)決策機(jī)構(gòu))

制度流程：組織機(jī)構(gòu)數(shù)據(jù)安全領(lǐng)域的制度規(guī)范和流程執(zhí)行。(數(shù)據(jù)安全治理的指南)

技術(shù)工具：通過(guò)技術(shù)手段和產(chǎn)品工具落實(shí)安全要求或自動(dòng)化實(shí)現(xiàn)安全工作。(數(shù)據(jù)安全治理的具體實(shí)現(xiàn))

人員能力：執(zhí)行數(shù)據(jù)安全工作的人員的安全意識(shí)及相關(guān)專業(yè)能力。(數(shù)據(jù)安全治理的相關(guān)人員)

下圖為引用的標(biāo)準(zhǔn)的等級(jí)描述：

數(shù)據(jù)生命周期各階段

數(shù)據(jù)采集階段：組織機(jī)構(gòu)內(nèi)部系統(tǒng)中新產(chǎn)生數(shù)據(jù)，以及從外部系統(tǒng)收集數(shù)據(jù)的階段。

數(shù)據(jù)傳輸階段：數(shù)據(jù)從一個(gè)實(shí)體通過(guò)網(wǎng)絡(luò)流動(dòng)到另一個(gè)實(shí)體的階段。

數(shù)據(jù)存儲(chǔ)階段：數(shù)據(jù)以任何數(shù)字格式進(jìn)行物理存儲(chǔ)或云存儲(chǔ)的階段。

數(shù)據(jù)處理階段：組織機(jī)構(gòu)在內(nèi)部針對(duì)數(shù)據(jù)進(jìn)行計(jì)算、分析、可視化等操作的階段。

數(shù)據(jù)交換階段：組織機(jī)構(gòu)與組織機(jī)構(gòu)及個(gè)人進(jìn)行數(shù)據(jù)交互的階段。

數(shù)據(jù)銷毀階段：通過(guò)對(duì)數(shù)據(jù)及數(shù)據(jù)存儲(chǔ)介質(zhì)通過(guò)相應(yīng)的操作手段，使數(shù)據(jù)徹底消除且無(wú)法通過(guò)任何手段恢復(fù)的過(guò)程。

注：各個(gè)企業(yè)在進(jìn)行DSMM落地時(shí)可根據(jù)具體的業(yè)務(wù)場(chǎng)景決定需要經(jīng)歷的生命周期階段，不一定都會(huì)完整經(jīng)歷六個(gè)，也可以把其中的階段進(jìn)行合并。

每個(gè)階段又細(xì)分了幾個(gè)過(guò)程域，再加上一些通用的過(guò)程域就構(gòu)成了數(shù)據(jù)安全過(guò)程域體系，見(jiàn)下圖(引用)

在這里我想對(duì)標(biāo)準(zhǔn)的起草者提個(gè)意見(jiàn)，圖中把PA14數(shù)據(jù)導(dǎo)入導(dǎo)出安全歸到了數(shù)據(jù)處理安全階段，但是在下面的具體闡述中，又把PA14數(shù)據(jù)導(dǎo)入導(dǎo)出安全歸到了數(shù)據(jù)交換安全階段，希望起草者能看到并給個(gè)合理解釋。我個(gè)人理解應(yīng)歸到數(shù)據(jù)交換安全，然后我們也是這么歸類的。

數(shù)據(jù)作為企業(yè)最具有核心價(jià)值的資產(chǎn)，一直以來(lái)是網(wǎng)絡(luò)安全工作的重點(diǎn)，所有的安全工作也都是圍繞數(shù)據(jù)安全開(kāi)展的。DSMM是對(duì)數(shù)據(jù)全生命周期進(jìn)行安全防護(hù)，提高數(shù)據(jù)安全保護(hù)能力，如果都能很好地落地，那么對(duì)企業(yè)數(shù)據(jù)安全能力將是極大地提升。

從DSMM的體系來(lái)看，在數(shù)據(jù)安全領(lǐng)域需要“組織-制度-工具-人”這四類能力結(jié)合才能更好地實(shí)現(xiàn)數(shù)據(jù)安全治理，當(dāng)然其他安全這個(gè)一個(gè)層次架構(gòu)應(yīng)用到其他安全方面也是可行的。組織和領(lǐng)導(dǎo)重視安全是第一位，我在甲方安全建設(shè)規(guī)劃那篇文章的討論區(qū)中和很多人都討論了領(lǐng)導(dǎo)的作用，領(lǐng)導(dǎo)不重視，你就得不到應(yīng)有的資源支持，所有的規(guī)劃和理想都只是泡影;再說(shuō)制度和工具，有人說(shuō)“三分技術(shù)，七分管理”，也有人說(shuō)“三分管理，七分技術(shù)”，這大概是做管理和做技術(shù)人互相爭(zhēng)奪存在感的一個(gè)說(shuō)辭吧，就好像在論壇中有人說(shuō)“PHP是世界上最好的開(kāi)發(fā)語(yǔ)言”，馬上就會(huì)有人站出來(lái)不服氣，認(rèn)為Java、C、C++等等是最好的開(kāi)發(fā)語(yǔ)言，我認(rèn)為不應(yīng)該厚此薄彼，應(yīng)該五五開(kāi)(瞬間想到某魚(yú)游戲主播)，兩者同等重要，管理是技術(shù)的指導(dǎo)，技術(shù)是管理的實(shí)現(xiàn)，要想做的好，兩者皆不可少;最后談下人，這就涉及太多了，我還記得好像是2017年ISC大會(huì)的主題就是“人，是安全的尺度”，安全本質(zhì)是人與人的對(duì)抗，同時(shí)人也是影響安全的重要因素，人員的能力決定了安全的高度，人員的意識(shí)決定了安全的水平。集齊這四種因素就可以召喚神龍了，就可以將DSMM做好了。

今天就是先簡(jiǎn)單的聊下DSMM這么個(gè)東西，針對(duì)具體的生命周期階段中應(yīng)該完成的工作內(nèi)容放在后續(xù)的文章中吧。

也希望有DSMM具體落地的或感興趣的朋友來(lái)一起交流，共同提高!

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://bqlw.net/zs/202303/ccaa_48229.html