DSMM(Data Security capability MaturityModel)认证是我国首个依据国家标准《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)开展的数据安全认证,该标准是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准,是国内第一个数据安全标准认证,于2019年8月30日发布,2020年3月1日正式实施。
DSMM认证评估是依据《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)国家标准和《数据安全能力建设实施指南V1.0》,对组织的数据安全开展能力评估。
DSMM评估以组织为单位,以数据为中心,围绕四个安全能力维度、七个安全过程维度、五个安全能力等级评价组织的数据安全能力。
四个能力维度:组织建设、制度流程、技术工具、人员能力。
七个安全过程维度:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全,共计30个数据安全能力过程域和576个基本实践;
五个安全能力等级:从低到高依次1至5级。
申请什么级别
成都DSMM认证申请什么认证的级别主要依据企业的实际情况来判断,没有强制硬性规定初次申请级别的限制。大部分组织都适合申请DSMM2级认证,DSMM3级适合具有较高数据安全实践水平的组织申请。DSMM4级适合在数据安全领域建设水平领先的组织申请。最高级DSMM5级目前暂不开放申请。
涉及的部门
管理层
高层管理层,主要了解公司有没有相应的数据安全策略和方针,以及对组织设置的建议,涉及到后面的组织能力建设工作以及数据安全战略规划有没有相应的预算。如果公司本身是把数据安全划到 IT 安全和信息安全和网络安全里面,是很小的一块,推动数据安全的能力建设就会有比较大的阻力,因为不是公司目前的一个重要重点工作。
研发部门
主要需了解系统业务定位、系统架构、业务数据范围及数据采集、传输、处理、交换过程中的数据安全保护建设情况等内容。
以及要了解重要的业务和系统,在整个生命周期什么位置,比如说它是属于采集环节,还是属于数据处理环节?然后对重要的系统,要了解系统主要的用户,用户的规模大概多少,数据的模型架构,内部数据的流转情况,以及它与外部系统的之间的数据关系;
要了解业务数据的流转过程,包括在采集环节,采集的方式、渠道范围,合规性的控制。数据在传输环节要备份恢复,能够传输加密。数据处理环节就要了解这个系统数据处理和数据分析的功能有哪些?有没有一些脱敏的场景和脱敏的规则,以及数据后台的数据管理是怎么运作的?它的功能有哪些?
业务部门
需要了从业务部门了解业务目标和需求,数据和信息资源,业务流程和日常工作如何开展。通过历史业务流程审批的留痕材料,验证数据安全的实际开展情况。
运维部门
需要了解网络架构、安全要求、安全技术工具及数据存储、数据销毁过程、数据安全保护建设情况等内容。
DSMM评估方式主要包括人员访谈、文档审核、配置检查、工具测试、旁站式验证等方式,具体情况如下:
文档审核:由被评价组织输入与数据安全相关的文档材料(如数据 安全的方针政策、制度规范流程、培训教育材料、以及 与产品技术相关的设计实施方案、配置说明、运行记录 和其他配套表单)、审核小组审核相关的文档材料是否 已涵盖完整数据生存周期的PA和控制项。
配置检查:根据被审核方提供的技术材料,登陆相关的系统工具 平台,检査配置是否与材料保持一致,对文档审核内容进行核实。
工具测试:利用技术工具对系统工具进行测试,验证是 否符合数据安全成熟度模型特定等级的技术 能力要求,也可采信第三方的测试报告。
旁站式验证:审核人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全 意识、业务操作、管理程序等方面的安全情况。
人员访谈:通过访谈的方式与被审核方进行交流、讨论 等活动,获取相关证据,了解有关信息。
评估交付物
评估结果:DSMM标准重点关注企业业务数据,以衡量组织机构安全能力,全面展示企业数据安全能力项成熟度评估等级。
评估报告:帮助企业展示数据安全能力现状,识别数据安全能力相关问题,给出评估结论、详细评估结果和阶段性安全提升建议等,给出评估等级建议。
申请什么级别
申请什么认证的级别主要依据企业的实际情况来判断,没有强制硬性规定初次申请级别的限制。大部分组织都适合申请DSMM2级认证,DSMM3级适合具有较高数据安全实践水平的组织申请。DSMM4级适合在数据安全领域建设水平领先的组织申请。最高级DSMM5级目前暂不开放申请。
涉及的部门
管理层
高层管理层,主要了解公司有没有相应的数据安全策略和方针,以及对组织设置的建议,涉及到后面的组织能力建设工作以及数据安全战略规划有没有相应的预算。如果公司本身是把数据安全划到 IT 安全和信息安全和网络安全里面,是很小的一块,推动数据安全的能力建设就会有比较大的阻力,因为不是公司目前的一个重要重点工作。
研发部门
主要需了解系统业务定位、系统架构、业务数据范围及数据采集、传输、处理、交换过程中的数据安全保护建设情况等内容。
以及要了解重要的业务和系统,在整个生命周期什么位置,比如说它是属于采集环节,还是属于数据处理环节?然后对重要的系统,要了解系统主要的用户,用户的规模大概多少,数据的模型架构,内部数据的流转情况,以及它与外部系统的之间的数据关系;
要了解业务数据的流转过程,包括在采集环节,采集的方式、渠道范围,合规性的控制。数据在传输环节要备份恢复,能够传输加密。数据处理环节就要了解这个系统数据处理和数据分析的功能有哪些?有没有一些脱敏的场景和脱敏的规则,以及数据后台的数据管理是怎么运作的?它的功能有哪些?
业务部门
需要了从业务部门了解业务目标和需求,数据和信息资源,业务流程和日常工作如何开展。通过历史业务流程审批的留痕材料,验证数据安全的实际开展情况。
运维部门
需要了解网络架构、安全要求、安全技术工具及数据存储、数据销毁过程、数据安全保护建设情况等内容。
DSMM评估方式主要包括人员访谈、文档审核、配置检查、工具测试、旁站式验证等方式,具体情况如下:
文档审核:由被评价组织输入与数据安全相关的文档材料(如数据 安全的方针政策、制度规范流程、培训教育材料、以及 与产品技术相关的设计实施方案、配置说明、运行记录 和其他配套表单)、审核小组审核相关的文档材料是否 已涵盖完整数据生存周期的PA和控制项。
配置检查:根据被审核方提供的技术材料,登陆相关的系统工具 平台,检査配置是否与材料保持一致,对文档审核内容进行核实。
工具测试:利用技术工具对系统工具进行测试,验证是 否符合数据安全成熟度模型特定等级的技术 能力要求,也可采信第三方的测试报告。
旁站式验证:审核人员在现场通过实地观察人员行为、技术设施和环境状况判断人员的安全 意识、业务操作、管理程序等方面的安全情况。
人员访谈:通过访谈的方式与被审核方进行交流、讨论 等活动,获取相关证据,了解有关信息。
评估交付物
评估结果:DSMM标准重点关注企业业务数据,以衡量组织机构安全能力,全面展示企业数据安全能力项成熟度评估等级。
评估报告:帮助企业展示数据安全能力现状,识别数据安全能力相关问题,给出评估结论、详细评估结果和阶段性安全提升建议等,给出评估等级建议。
以上是成都DSMM认证的简单介绍,数据安全管理是每个IT大数据行业必须所要重视的一个方面,还没有办理的可以评估企业是否合适,规范企业,让企业获得更大的竞争力。
