致力于數(shù)據(jù)領(lǐng)域的研究與實(shí)踐，不斷提升數(shù)據(jù)認(rèn)知能力，為大家分享數(shù)據(jù)思維、數(shù)據(jù)知識、數(shù)據(jù)實(shí)踐的成長經(jīng)驗(yàn)。

本文介紹國標(biāo)《GB/T 數(shù)據(jù)安全能力成熟度模型》

DSCM簡介

DSCM主要內(nèi)容

DSCM應(yīng)用

一、DSCM簡介

隨著大數(shù)據(jù)技術(shù)的發(fā)展，組織在業(yè)務(wù)發(fā)展、企業(yè)運(yùn)營等關(guān)鍵環(huán)節(jié)利用大數(shù)據(jù)技術(shù)對業(yè)務(wù)運(yùn)營優(yōu)化以挖掘更多的數(shù)據(jù)價值。大量的組織參與到大數(shù)據(jù)產(chǎn)業(yè)中，成為數(shù)據(jù)資源、數(shù)據(jù)計(jì)算平臺、數(shù)據(jù)服務(wù)和應(yīng)用的提供者等角色，組織在利用大數(shù)據(jù)技術(shù)開展新的業(yè)務(wù)運(yùn)營模式下的轉(zhuǎn)型變革，同時，數(shù)據(jù)安全管理也帶來了挑戰(zhàn)：

1.價值

隨著大數(shù)據(jù)技術(shù)的發(fā)展，組織在業(yè)務(wù)發(fā)展、企業(yè)運(yùn)營等關(guān)鍵環(huán)節(jié)利用大數(shù)據(jù)技術(shù)對業(yè)務(wù)運(yùn)營優(yōu)化以挖掘更多的數(shù)據(jù)價值。大量的組織參與到大數(shù)據(jù)產(chǎn)業(yè)中，成為數(shù)據(jù)資源、數(shù)據(jù)計(jì)算平臺、數(shù)據(jù)服務(wù)和應(yīng)用的提供者等角色，組織在利用大數(shù)據(jù)技術(shù)開展新的業(yè)務(wù)運(yùn)營模式下的轉(zhuǎn)型變革，同時，數(shù)據(jù)安全管理也帶來了挑戰(zhàn)：

　　環(huán)境層面，包括在經(jīng)濟(jì)環(huán)境、公民常識、技術(shù)發(fā)展和政策法規(guī)幾個方面。經(jīng)濟(jì)環(huán)境反映在大數(shù)據(jù)交易、大數(shù)據(jù)服務(wù)等；公民常識反映在個人隱私保護(hù)、數(shù)據(jù)確權(quán)等；技術(shù)發(fā)展反映在云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等;政策法規(guī)方面反映國家安全、個人隱私保護(hù)、數(shù)據(jù)跨境等。

外延層面，數(shù)據(jù)在不同組織之間的流通和加工，以及相關(guān)的產(chǎn)業(yè)實(shí)踐和標(biāo)準(zhǔn)化建設(shè)方面。

核心層面，數(shù)據(jù)作為組織的重要資產(chǎn)，面臨著傳統(tǒng)數(shù)據(jù)安全相關(guān)風(fēng)險和大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全風(fēng)險。以數(shù)據(jù)為中心的組織業(yè)務(wù)范圍內(nèi)的生命周期管理，體現(xiàn)出數(shù)據(jù)安全需求、數(shù)據(jù)安全保障方面應(yīng)具備的數(shù)據(jù)安全能力。

　　2.標(biāo)準(zhǔn)建設(shè)

數(shù)據(jù)安全能力成熟度模型標(biāo)準(zhǔn)作為企業(yè)數(shù)據(jù)資產(chǎn)管理在數(shù)據(jù)安全能力成熟度方面的反映，重點(diǎn)考慮數(shù)據(jù)生命周期安全下的數(shù)據(jù)安全能力成熟度建設(shè)。在標(biāo)準(zhǔn)建設(shè)中考慮核心標(biāo)準(zhǔn)、配套標(biāo)準(zhǔn)、衍生標(biāo)準(zhǔn)、行業(yè)應(yīng)用四個方面：

核心標(biāo)準(zhǔn)，國標(biāo)《大數(shù)據(jù)安全能力成熟度模型》和ISO標(biāo)準(zhǔn)《Big data Security capability maturity model》；

配套標(biāo)準(zhǔn)，國標(biāo)《大數(shù)據(jù)安全能力成熟度測評指南》和國標(biāo)《大數(shù)據(jù)安全能力成熟度提升指南》；

　　衍生標(biāo)準(zhǔn)，ITU-T Security reference architecture for lifecycle management of e-commerce business data 和行業(yè)標(biāo)準(zhǔn)《面向互聯(lián)網(wǎng)的數(shù)據(jù)安全能力框架》；

行業(yè)應(yīng)用，數(shù)據(jù)安全能力成熟度模型結(jié)合行業(yè)特點(diǎn)開展細(xì)化應(yīng)用，如：《電子商務(wù)行業(yè)數(shù)據(jù)安全能力成熟度提升指南》、《金融行業(yè)數(shù)據(jù)安全能力成熟度提升指南》、《物流行業(yè)數(shù)據(jù)安全能力成熟度提升指南》、《獨(dú)立軟件提供商數(shù)據(jù)安全能力成熟度提升指南》等。

二、DSCM主要內(nèi)容

　　1.DSCM模型架構(gòu)

DSCM成熟度模型借鑒CMM思想，以CMM的通用實(shí)踐衡量成熟度等級，以《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》中相關(guān)安全要求為基礎(chǔ)，指導(dǎo)組織持續(xù)提升數(shù)據(jù)安全能力，覆蓋數(shù)據(jù)生命周期(數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀)過程，明確各階段數(shù)據(jù)安全能力及成熟度，獲得組織整體數(shù)據(jù)安全能力。

數(shù)據(jù)生命周期安全，圍繞數(shù)據(jù)生命周期，提煉大數(shù)據(jù)環(huán)境下，以數(shù)據(jù)為中心，針對數(shù)據(jù)生命周期各階段的相關(guān)數(shù)據(jù)安全過程域體系；

　　數(shù)據(jù)安全能力維度，明確組織在各數(shù)據(jù)安全域所需具備的能力維度，包括：制度流程、人員能力、組織建設(shè)和技術(shù)工具四個關(guān)鍵維度；

能力成熟度等級，基于CMM的分級標(biāo)準(zhǔn)，細(xì)化組織機(jī)構(gòu)在各數(shù)據(jù)安全過程域中的5個級別的能力成熟度分級要求。

　　2.數(shù)據(jù)生命周期

基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織業(yè)務(wù)中的流轉(zhuǎn)情況，定義了數(shù)據(jù)生命周期的6個階段，具體定義如下：

數(shù)據(jù)采集，指新的數(shù)據(jù)產(chǎn)生或現(xiàn)有數(shù)據(jù)內(nèi)容發(fā)生顯著改變或更新的階段。對于組織而言，數(shù)據(jù)采集既包含組織內(nèi)系統(tǒng)中生成的數(shù)據(jù)也包括組織外采集的數(shù)據(jù)。

　　數(shù)據(jù)存儲，指非動態(tài)數(shù)據(jù)以任何數(shù)據(jù)格式進(jìn)行物理存儲的階段。

　　數(shù)據(jù)處理，指組織在內(nèi)部針對動態(tài)數(shù)據(jù)進(jìn)行的一系列活動的組合。

　　數(shù)據(jù)傳輸，指數(shù)據(jù)在組織內(nèi)從一個實(shí)體通過網(wǎng)絡(luò)傳輸?shù)搅硪粋€實(shí)體的過程。

　　數(shù)據(jù)交換，指數(shù)據(jù)經(jīng)由組織內(nèi)部或外部及個人交互過程中提供數(shù)據(jù)的階段。

　　數(shù)據(jù)銷毀，指通過對數(shù)據(jù)及數(shù)據(jù)存儲介質(zhì)相應(yīng)操作過程，使數(shù)據(jù)徹底丟棄且無法通過任何手段恢復(fù)的過程。

（注：組織特定的數(shù)據(jù)所經(jīng)歷的生命周期由實(shí)際業(yè)務(wù)場景決定，并非所有數(shù)據(jù)都經(jīng)歷完整的六個階段）

　　3.數(shù)據(jù)安全過程域

數(shù)據(jù)安全過程域覆蓋數(shù)據(jù)生命周期六個階段，包括數(shù)據(jù)生命周期各階段通用安全過程域和生命周期各階段下的安全過程域。

　　4.數(shù)據(jù)安全能力維度

通過對組織在各項(xiàng)安全過程中所需具備安全能力的細(xì)化，提供組織評估每項(xiàng)安全過程的實(shí)現(xiàn)能力。重點(diǎn)考慮組織建設(shè)、制度流程、技術(shù)工具和人員能力四個維度。

　　組織建設(shè)，數(shù)據(jù)安全組織機(jī)構(gòu)的建立、職責(zé)分配和溝通協(xié)作；

　　制度流程，組織架構(gòu)關(guān)鍵數(shù)據(jù)安全領(lǐng)域的制度規(guī)范和流程落地建設(shè)；

　　技術(shù)工具，通過技術(shù)手段和產(chǎn)品工具固化安全要求或自動化實(shí)現(xiàn)安全工作；

　　人員能力，執(zhí)行數(shù)據(jù)安全工作的人員的意識及專業(yè)能力。

　　5.能力成熟度等級

組織的數(shù)據(jù)安全成熟度劃分為5個成熟度等級，具體如下：

　　等級1：非正式執(zhí)行，組織數(shù)據(jù)安全工作來自被動的需求或隨機(jī)開展的工作，并未主動的開展數(shù)據(jù)安全工作；

　　等級2：計(jì)劃跟蹤，組織開始評估數(shù)據(jù)安全風(fēng)險并主動開展數(shù)據(jù)安全工作，但缺乏有序的管理規(guī)范；

　　等級3：充分定義，組織已基于數(shù)據(jù)安全風(fēng)險開展規(guī)范性工作，工作開展的效果可進(jìn)行衡量但缺乏量化分析；

　　等級4：量化控制，組織的數(shù)據(jù)安全工作與業(yè)務(wù)發(fā)展保持一致，且可以獲得持續(xù)的測量和控制；

　　等級5：持續(xù)優(yōu)化，組織的數(shù)據(jù)安全工作已成為持續(xù)可控的過程，能夠致力于業(yè)務(wù)價值的提升。

三、DSCM 應(yīng)用

　　1.評定方法

組織的數(shù)據(jù)安全能力成熟度等級取決于各項(xiàng)數(shù)據(jù)安全過程域的能力成熟度等級。評定方法采用“木桶效益”，即：組織的整體數(shù)據(jù)安全能力成熟度取決于各項(xiàng)數(shù)據(jù)安全過程域的能力成熟度級別中的最低等級。如：當(dāng)所有數(shù)據(jù)安全過程域的能力成熟度都達(dá)到2級以上時，組織的數(shù)據(jù)安全能力成熟度等級方可為2級。

2.應(yīng)用方法

組織在開展數(shù)據(jù)安全能力成熟度評估時，可根據(jù)組織的業(yè)務(wù)規(guī)模、業(yè)務(wù)對象、業(yè)務(wù)數(shù)據(jù)的依賴性及組織單元等方面的差異，對數(shù)據(jù)安全能力成熟度模型“因地制宜”。選擇適合自身業(yè)務(wù)實(shí)際情況的長短期目標(biāo)，開展相應(yīng)數(shù)據(jù)安全能力等級方面的建設(shè)和實(shí)施工作。參考步驟如下：

四、DSCM 快速評估模型

　　1.DSCM快速評估模型介紹

本模型基于DSCM 數(shù)據(jù)安全能力成熟度的核心域及過程域主要內(nèi)容框架設(shè)計(jì)；

通過選定不同過程域能力成熟度等級歸屬狀態(tài)，快速獲得組織的數(shù)據(jù)安全管理能力成熟度初步現(xiàn)狀；

組織可以根據(jù)本模型框架進(jìn)行裁剪和擴(kuò)展，形成本企業(yè)特定環(huán)境下定制化數(shù)據(jù)安全能力成熟度快速自評估模型。

　　2.獲得評估結(jié)果(示例)

本文來源于微信公眾號“CDO首席數(shù)據(jù)官”，轉(zhuǎn)載請聯(lián)系原作者。