隨著我國經濟與科技水平的進步,數據已成為驅動各行各業創新發展的重要資源之一。在國家大力推廣數據戰略的形勢下,數據安全相關法律相繼出臺。其中,我國數據安全領域的首部專門律法——《數據安全法》中提到:國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動。
信息安全相關認證業務主要包含信息安全、數據安全、個人信息安全、云計算安全、工控安全5大方面。 《信息安全技術數據安全能力成熟度模型》(GB/T 37988-2019) (以下簡稱“DSMM”)是由阿里巴巴聯合中國電子技術標準化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心等業內權威機構聯合編寫的國家標準,于2019年8月30日發布,2020年3月1日正式實施。 。 隨著信息技術的發展,人類社會已經進入數字時代,數據的指數級增長已經成為常態。數據具有極大的價值變現特點,世界各國都強烈意識到數據的重要性。然而,數據的價值變現、有效利用的前提是數據是安全的,所以,數據安全的保護能力,是數據有效利用的基礎。 數據安全與網絡安全密切相關,是國家主權、國家安全的重要組成部分。習近平總書記指出,數據作為新型生產要素,對傳統生產方式變革具有重大影響。 2020年4月9日,中共中央、國務院發布《關于構建更加完善的要素市場化配置體制機制的意見》,數據首次被作為要素寫入《意見》,要求推進政府數據開放共享,提升社會數據資源價值,同時也要加強數據資源整合和安全保護,探索建立統一規范的數據管理制度。我國從國家層面,制定了相關法律法規,明確要求要合規、合法、有效的做好數據安全的保護。 2021年9月1日,《中華人民共和國數據安全法》(以下簡稱《數據安全法》)正式施行,此項立法進一步確保了數據處于有效保護和合法利用的狀態,以更好保護個人和組織的合法權益,維護國家主權、安全和發展利益。基于此,需要采取技術與管理雙管齊下的方法,提出系統化的應對措施和解決方案,并制定相關標準和實施辦法。 法律: 《網絡安全法》 《數據安全法》 《個人信息保護法》 國標: 《GB∕T 37988-2019 信息安全技術 數據安全能力成熟度模型》 《GB∕T 35273-2020 信息安全技術 個人信息安全規范》 《GB∕T 41479-2022 信息安全技術 網絡數據處理安全要求》 《GB∕T 35274-2017 信息安全技術 大數據服務安全能力要求》 《GB∕T 37973-2019 信息安全技術 大數據安全管理指南》 行標: 《JR∕T 0223-2021 金融數據安全 數據生命周期安 全規范》 《JR∕T 0171-2020 個人金融信息保護技術規范》 《JR∕T 0185-2020 商業銀行應用程序接口安全管理規范》 《JR∕T 0071-2020 金融行業網絡安全等級保護實施指引》 1、ISO27001是信息安全管理體系。ISO27001標準是以組織為對象,偏向信息安全管理,側重于指導組織依據信息安全風險評估的結果選擇合適的控制措施,設計構建信息安全管理體系。 2、DSMM是Data Security capability MaturityModel的縮寫,中文名為數據安全能力成熟度模型。是以2019-08-30 發布,2020-03-01 實施的GB/T 37988-2019 《信息安全技術數據安全能力成熟度模型》為依據的數據安全保護體系。DSMM標準也是以組織為評估對象,聚焦數據全生命周期的防護,從四個安全能力維度提出分級要求,幫助組織打造與業務貼合緊密的數據安全架構。 3、DCMM即《數據管理能力成熟度評估模型》,是我國在數據管理領域首個正式發布的國家標準。DCMM標準以組織為評估對象,DCMM數據管理能力成熟度評估模型定義了數據戰略、數據治理、數據架構、數據應用、數據安全、數據質量、數據標準和數據生存周期八個核心能力域及28個能力項,并以組織、制度、流程和技術作為八個核心域評價維度。幫助企業利用先進的數據管理理念和方法,建立和評價自身數據管理能力,持續完善數據管理組織、程序和制度,充分發揮數據在促進企業向信息化、數字化、智能化發展方面的價值。 1、理清企業數據安全現狀,發現企業和組織的數據安全能力短板。 2、帶來差異化競爭力:數據安全能力成熟度的認證能向企業的客戶及合作伙伴表明組織保障數據安全的能力,令其對組織的信心加強,有助于增加組織在同行業內的競爭優勢,穩固市場地位。 3、減少可能的損失:數據安全能力的提升,能在一定程度上降低數據安全事件給組織帶來的不良聲譽影響和可能的經濟損失。增強員工的意識和相關技能:提升組織數據安全管理人員的技能,增強全體員工的數據安全意識。 4、確保已建立的數據安全保障體系有效運轉和持續提升,從而整體上提升企業的數據安全水平。 5、從數據的安全保護、合規使用到數據的開發利用,數據安全能力成熟度的認證和持續監督審核是組織數據安全的體檢措施,能為數據生產要素價值的實現打好基礎。 DSMM評估以組織為單位,以數據為中心,圍繞數據的生命周期,對組織建設、制度流程、技術工具以及人員能力4個能力維度進行評估,涵蓋5個成熟度級別、30個數據安全能力過程域和576個基本實踐。 1級(非正式執行)主要特點:數據安全工作是隨機、無序、被動執行的,依賴與個人,經驗無法復制。組織在數據安全領域未執行有效的相關工作,僅在部分場景或項目的臨時需求執行相關工作,未形成成熟的機制,來保障數據安全相關工作的持續開展。 2級(計劃跟蹤)主要特點:在項目級別主動實現了安全過程的計劃與執行,沒有形成體系化。規劃執行,對數據安全過程進行規劃,提前分配資源和責任;規范化執行,對安全過程進行控制,使用安全執行計劃,執行相關標準和程序的過程,對數據安全過程實施配置管理;驗證執行,確認過程按照預定的方式執行,驗證執行過程與可應用的計劃是一致的,對數據安全過程進行審計;跟蹤執行,控制數據安全項目的進展,通過可測量的計劃跟蹤過程執行,當過程實踐與計劃產生重大的偏離時采取修正行動。 3級(充分定義)主要特點:在組織級別實現了安全過程的規范定義和執行。定義標準過程,組織對標準過程進行制度化,形成標準化過程文檔,為滿足特定用途對標準過程進行裁剪;執行已定義的過程,充分定義的過程可重復執行,針對有缺陷的過程結果和安全實踐的核查,使用過程執行的結果數據;協調安全實踐,對業務系統和組織的協調,確定業務系統內,各業務系統之間、組織外部活動的協調機制。 4級(量化控制)主要特點:建立了量化目標,安全過程可量化度量和預測。建立可測的目標,為組織數據安全建立可測量的目標;客觀的管理執行,確定過程能力的量化測量來管理安全過程,以量化測量作為修正行動的基礎。 5級(持續優化)主要特點:根據組織的整理戰略和目標,不斷改進和優化數據安全過程。改進組織能力,在整個組織范圍內的標準過程使用情況進行比較,尋找改進標準過程的機會,分析對標準過程的可能變更。改進過程有效性,制定處于連續受控改進狀態下的標準過程,提出消除標準過程產生缺陷的原因和持續改進的標準過程。 大部分組織都適合申請DSMM2級認證 DSMM3級適合具有較高數據安全實踐水平的組織申請 DSMM4級適合在數據安全領域建設水平領先的組織申請 最高級DSMM5級目前暫不開放申請。