成功开展DSMM评估的关键要素

随着数字经济的发展,数据在驱动经济发展以及人们生活进步的同时,也出现了许多数据安全事故,数据的安全保护能力成为社会所关注的事情。DSMM是从数据安全管理的角度,以企业组织的数据为核心,围绕数据全生命周期进行分析、发现数据安全风险的评估。成功开展DSMM评估的关键要素:

要素一:能力建设目标

DSMM评估首先要确定建设目标,即数据安全能力成熟度级别。  

DSMM定义了数据安全能力的5个级别:

L1级为随机、无序、被动地执行全过程,完全依赖于个人经验,无法复制;

L2级为计划跟踪级别,适合多数企业数据安全能力建设的申请级别;

L3级为充分定义级,要求足够的数据安全团队保障、完善的制度流程和专业的技术工具,因此在人力、物力、财力等方面投入要远高于L2级,适合具有较高数据安全实践水平的企业组织申请;

L4级为量化控制级,适合在数据安全领域建设水平领先的企业组织申请;

L5根据企业组织的整体目标,不断改进和优化组织能力和数据安全过程。  

要素二:数据资产范围  

数据资产是为组织产生价值的数据资源,是指可以提升企业组织效益、提高管理水平或通过出售、租赁数据的方式获得经济收益。

核心业务数据、敏感数据、密钥资产数据等重要数据应纳入数据资产评估范围。对于有些企业组织,业务系统未进行集成化管理,具备几十甚至上百个系统,大大增加了DSMM评估企业的整改成本,在明确数据资产范围过程中,可暂不纳入辅助业务系统。评估人员有义务帮助企业组织平衡业务系统数据安全整改成本与数据资产收益。

要素三:数据安全风险

在DSMM评估工作过程中,评估人员应帮助企业组织对自身数据资产的业务系统在数据的采集、传输、存储、处理、交换和销毁过程,梳理数据安全风险点,并记录所有风险点,全面掌握企业组织的数据安全能力现状与建设目标的差距。

为了更好地识别数据安全风险,有效有条不紊地通过数据安全能力成熟度,评估人员应熟练掌握GB∕T37988-2019《信息安全技术数据安全能力成熟度模型》、GB∕T35274-2017《信息安全技术大数据服务安全能力要求》等技术框架,以及《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等上位法,必要时应对企业组织所属行业规范、合规要求进行了解。

要素四:数据安全意识

评估人员具备丰富的数据安全风险意识是DSMM评估工作的前提。评估人员需要帮助企业组织依据数据安全风险,根据数据流转过程、企业组织运作方式,形成数据安全风险知识库。依据知识库,企业组织数据安全法律法规、数据泄漏案例等培训,提高员工数据安全风险意识。

要素五:数据安全团队

评估人员具备丰富的数据安全风险意识是DSMM评估工作的前提。评估人员需要帮助企业组织依据数据安全风险,根据数据流转过程、企业组织运作方式,形成数据安全风险知识库。依据知识库,企业组织数据安全法律法规、数据泄漏案例等培训,提高员工数据安全风险意识。

综上所述,要素三至要素五在DSMM评估过程中存在很多主观内容,因此评估人员的专业度、经验积累和引导能力非常重要。上海擎标拥有一批经验丰富的专业人员,可以为企业提供更多关于DSMM评估的引导和咨询服务,助企业更加快速的通过DSMM评估。