您現(xiàn)在的位置：首頁(yè) > IT資訊 > 大數(shù)據(jù) > DSCM數(shù)據(jù)安全能力成熟度模型

DSCM數(shù)據(jù)安全能力成熟度模型

2020-07-17 10:45:57　|　來(lái)源：中培企業(yè)IT培訓(xùn)網(wǎng)

致力于數(shù)據(jù)領(lǐng)域的研究與實(shí)踐，不斷提升數(shù)據(jù)認(rèn)知能力，為大家分享數(shù)據(jù)思維、數(shù)據(jù)知識(shí)、數(shù)據(jù)實(shí)踐的成長(zhǎng)經(jīng)驗(yàn)。

本文介紹國(guó)標(biāo)《GB/T 數(shù)據(jù)安全能力成熟度模型》

DSCM簡(jiǎn)介

DSCM主要內(nèi)容

DSCM應(yīng)用

一、DSCM簡(jiǎn)介

隨著大數(shù)據(jù)技術(shù)的發(fā)展，組織在業(yè)務(wù)發(fā)展、企業(yè)運(yùn)營(yíng)等關(guān)鍵環(huán)節(jié)利用大數(shù)據(jù)技術(shù)對(duì)業(yè)務(wù)運(yùn)營(yíng)優(yōu)化以挖掘更多的數(shù)據(jù)價(jià)值。大量的組織參與到大數(shù)據(jù)產(chǎn)業(yè)中，成為數(shù)據(jù)資源、數(shù)據(jù)計(jì)算平臺(tái)、數(shù)據(jù)服務(wù)和應(yīng)用的提供者等角色，組織在利用大數(shù)據(jù)技術(shù)開(kāi)展新的業(yè)務(wù)運(yùn)營(yíng)模式下的轉(zhuǎn)型變革，同時(shí)，數(shù)據(jù)安全管理也帶來(lái)了挑戰(zhàn)：

1.價(jià)值

　　環(huán)境層面，包括在經(jīng)濟(jì)環(huán)境、公民常識(shí)、技術(shù)發(fā)展和政策法規(guī)幾個(gè)方面。經(jīng)濟(jì)環(huán)境反映在大數(shù)據(jù)交易、大數(shù)據(jù)服務(wù)等；公民常識(shí)反映在個(gè)人隱私保護(hù)、數(shù)據(jù)確權(quán)等；技術(shù)發(fā)展反映在云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)等;政策法規(guī)方面反映國(guó)家安全、個(gè)人隱私保護(hù)、數(shù)據(jù)跨境等。

外延層面，數(shù)據(jù)在不同組織之間的流通和加工，以及相關(guān)的產(chǎn)業(yè)實(shí)踐和標(biāo)準(zhǔn)化建設(shè)方面。

核心層面，數(shù)據(jù)作為組織的重要資產(chǎn)，面臨著傳統(tǒng)數(shù)據(jù)安全相關(guān)風(fēng)險(xiǎn)和大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全風(fēng)險(xiǎn)。以數(shù)據(jù)為中心的組織業(yè)務(wù)范圍內(nèi)的生命周期管理，體現(xiàn)出數(shù)據(jù)安全需求、數(shù)據(jù)安全保障方面應(yīng)具備的數(shù)據(jù)安全能力。

　　2.標(biāo)準(zhǔn)建設(shè)

數(shù)據(jù)安全能力成熟度模型標(biāo)準(zhǔn)作為企業(yè)數(shù)據(jù)資產(chǎn)管理在數(shù)據(jù)安全能力成熟度方面的反映，重點(diǎn)考慮數(shù)據(jù)生命周期安全下的數(shù)據(jù)安全能力成熟度建設(shè)。在標(biāo)準(zhǔn)建設(shè)中考慮核心標(biāo)準(zhǔn)、配套標(biāo)準(zhǔn)、衍生標(biāo)準(zhǔn)、行業(yè)應(yīng)用四個(gè)方面：

核心標(biāo)準(zhǔn)，國(guó)標(biāo)《大數(shù)據(jù)安全能力成熟度模型》和ISO標(biāo)準(zhǔn)《Big data Security capability maturity model》；

配套標(biāo)準(zhǔn)，國(guó)標(biāo)《大數(shù)據(jù)安全能力成熟度測(cè)評(píng)指南》和國(guó)標(biāo)《大數(shù)據(jù)安全能力成熟度提升指南》；

　　衍生標(biāo)準(zhǔn)，ITU-T Security reference architecture for lifecycle management of e-commerce business data 和行業(yè)標(biāo)準(zhǔn)《面向互聯(lián)網(wǎng)的數(shù)據(jù)安全能力框架》；

行業(yè)應(yīng)用，數(shù)據(jù)安全能力成熟度模型結(jié)合行業(yè)特點(diǎn)開(kāi)展細(xì)化應(yīng)用，如：《電子商務(wù)行業(yè)數(shù)據(jù)安全能力成熟度提升指南》、《金融行業(yè)數(shù)據(jù)安全能力成熟度提升指南》、《物流行業(yè)數(shù)據(jù)安全能力成熟度提升指南》、《獨(dú)立軟件提供商數(shù)據(jù)安全能力成熟度提升指南》等。

二、DSCM主要內(nèi)容

　　1.DSCM模型架構(gòu)

DSCM成熟度模型借鑒CMM思想，以CMM的通用實(shí)踐衡量成熟度等級(jí)，以《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》中相關(guān)安全要求為基礎(chǔ)，指導(dǎo)組織持續(xù)提升數(shù)據(jù)安全能力，覆蓋數(shù)據(jù)生命周期(數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷(xiāo)毀)過(guò)程，明確各階段數(shù)據(jù)安全能力及成熟度，獲得組織整體數(shù)據(jù)安全能力。

數(shù)據(jù)生命周期安全，圍繞數(shù)據(jù)生命周期，提煉大數(shù)據(jù)環(huán)境下，以數(shù)據(jù)為中心，針對(duì)數(shù)據(jù)生命周期各階段的相關(guān)數(shù)據(jù)安全過(guò)程域體系；

　　數(shù)據(jù)安全能力維度，明確組織在各數(shù)據(jù)安全域所需具備的能力維度，包括：制度流程、人員能力、組織建設(shè)和技術(shù)工具四個(gè)關(guān)鍵維度；

能力成熟度等級(jí)，基于CMM的分級(jí)標(biāo)準(zhǔn)，細(xì)化組織機(jī)構(gòu)在各數(shù)據(jù)安全過(guò)程域中的5個(gè)級(jí)別的能力成熟度分級(jí)要求。

　　2.數(shù)據(jù)生命周期

基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織業(yè)務(wù)中的流轉(zhuǎn)情況，定義了數(shù)據(jù)生命周期的6個(gè)階段，具體定義如下：

數(shù)據(jù)采集，指新的數(shù)據(jù)產(chǎn)生或現(xiàn)有數(shù)據(jù)內(nèi)容發(fā)生顯著改變或更新的階段。對(duì)于組織而言，數(shù)據(jù)采集既包含組織內(nèi)系統(tǒng)中生成的數(shù)據(jù)也包括組織外采集的數(shù)據(jù)。

　　數(shù)據(jù)存儲(chǔ)，指非動(dòng)態(tài)數(shù)據(jù)以任何數(shù)據(jù)格式進(jìn)行物理存儲(chǔ)的階段。

　　數(shù)據(jù)處理，指組織在內(nèi)部針對(duì)動(dòng)態(tài)數(shù)據(jù)進(jìn)行的一系列活動(dòng)的組合。

　　數(shù)據(jù)傳輸，指數(shù)據(jù)在組織內(nèi)從一個(gè)實(shí)體通過(guò)網(wǎng)絡(luò)傳輸?shù)搅硪粋€(gè)實(shí)體的過(guò)程。

　　數(shù)據(jù)交換，指數(shù)據(jù)經(jīng)由組織內(nèi)部或外部及個(gè)人交互過(guò)程中提供數(shù)據(jù)的階段。

　　數(shù)據(jù)銷(xiāo)毀，指通過(guò)對(duì)數(shù)據(jù)及數(shù)據(jù)存儲(chǔ)介質(zhì)相應(yīng)操作過(guò)程，使數(shù)據(jù)徹底丟棄且無(wú)法通過(guò)任何手段恢復(fù)的過(guò)程。

（注：組織特定的數(shù)據(jù)所經(jīng)歷的生命周期由實(shí)際業(yè)務(wù)場(chǎng)景決定，并非所有數(shù)據(jù)都經(jīng)歷完整的六個(gè)階段）

　　3.數(shù)據(jù)安全過(guò)程域

數(shù)據(jù)安全過(guò)程域覆蓋數(shù)據(jù)生命周期六個(gè)階段，包括數(shù)據(jù)生命周期各階段通用安全過(guò)程域和生命周期各階段下的安全過(guò)程域。

　　4.數(shù)據(jù)安全能力維度

通過(guò)對(duì)組織在各項(xiàng)安全過(guò)程中所需具備安全能力的細(xì)化，提供組織評(píng)估每項(xiàng)安全過(guò)程的實(shí)現(xiàn)能力。重點(diǎn)考慮組織建設(shè)、制度流程、技術(shù)工具和人員能力四個(gè)維度。

　　組織建設(shè)，數(shù)據(jù)安全組織機(jī)構(gòu)的建立、職責(zé)分配和溝通協(xié)作；

　　制度流程，組織架構(gòu)關(guān)鍵數(shù)據(jù)安全領(lǐng)域的制度規(guī)范和流程落地建設(shè)；

　　技術(shù)工具，通過(guò)技術(shù)手段和產(chǎn)品工具固化安全要求或自動(dòng)化實(shí)現(xiàn)安全工作；

　　人員能力，執(zhí)行數(shù)據(jù)安全工作的人員的意識(shí)及專(zhuān)業(yè)能力。

　　5.能力成熟度等級(jí)

組織的數(shù)據(jù)安全成熟度劃分為5個(gè)成熟度等級(jí)，具體如下：

　　等級(jí)1：非正式執(zhí)行，組織數(shù)據(jù)安全工作來(lái)自被動(dòng)的需求或隨機(jī)開(kāi)展的工作，并未主動(dòng)的開(kāi)展數(shù)據(jù)安全工作；

　　等級(jí)2：計(jì)劃跟蹤，組織開(kāi)始評(píng)估數(shù)據(jù)安全風(fēng)險(xiǎn)并主動(dòng)開(kāi)展數(shù)據(jù)安全工作，但缺乏有序的管理規(guī)范；

　　等級(jí)3：充分定義，組織已基于數(shù)據(jù)安全風(fēng)險(xiǎn)開(kāi)展規(guī)范性工作，工作開(kāi)展的效果可進(jìn)行衡量但缺乏量化分析；

　　等級(jí)4：量化控制，組織的數(shù)據(jù)安全工作與業(yè)務(wù)發(fā)展保持一致，且可以獲得持續(xù)的測(cè)量和控制；

　　等級(jí)5：持續(xù)優(yōu)化，組織的數(shù)據(jù)安全工作已成為持續(xù)可控的過(guò)程，能夠致力于業(yè)務(wù)價(jià)值的提升。

三、DSCM 應(yīng)用

　　1.評(píng)定方法

組織的數(shù)據(jù)安全能力成熟度等級(jí)取決于各項(xiàng)數(shù)據(jù)安全過(guò)程域的能力成熟度等級(jí)。評(píng)定方法采用“木桶效益”，即：組織的整體數(shù)據(jù)安全能力成熟度取決于各項(xiàng)數(shù)據(jù)安全過(guò)程域的能力成熟度級(jí)別中的最低等級(jí)。如：當(dāng)所有數(shù)據(jù)安全過(guò)程域的能力成熟度都達(dá)到2級(jí)以上時(shí)，組織的數(shù)據(jù)安全能力成熟度等級(jí)方可為2級(jí)。

2.應(yīng)用方法

組織在開(kāi)展數(shù)據(jù)安全能力成熟度評(píng)估時(shí)，可根據(jù)組織的業(yè)務(wù)規(guī)模、業(yè)務(wù)對(duì)象、業(yè)務(wù)數(shù)據(jù)的依賴(lài)性及組織單元等方面的差異，對(duì)數(shù)據(jù)安全能力成熟度模型“因地制宜”。選擇適合自身業(yè)務(wù)實(shí)際情況的長(zhǎng)短期目標(biāo)，開(kāi)展相應(yīng)數(shù)據(jù)安全能力等級(jí)方面的建設(shè)和實(shí)施工作。參考步驟如下：