致力于數(shù)據(jù)領域的研究與實踐，不斷提升數(shù)據(jù)認知能力，為大家分享數(shù)據(jù)思維、數(shù)據(jù)知識、數(shù)據(jù)實踐的成長經(jīng)驗。

本文介紹國標《GB/T 數(shù)據(jù)安全能力成熟度模型》

DSCM簡介

DSCM主要內(nèi)容

DSCM應用

一、DSCM簡介

隨著大數(shù)據(jù)技術的發(fā)展，組織在業(yè)務發(fā)展、企業(yè)運營等關鍵環(huán)節(jié)利用大數(shù)據(jù)技術對業(yè)務運營優(yōu)化以挖掘更多的數(shù)據(jù)價值。大量的組織參與到大數(shù)據(jù)產(chǎn)業(yè)中，成為數(shù)據(jù)資源、數(shù)據(jù)計算平臺、數(shù)據(jù)服務和應用的提供者等角色，組織在利用大數(shù)據(jù)技術開展新的業(yè)務運營模式下的轉(zhuǎn)型變革，同時，數(shù)據(jù)安全管理也帶來了挑戰(zhàn)：

1.價值

隨著大數(shù)據(jù)技術的發(fā)展，組織在業(yè)務發(fā)展、企業(yè)運營等關鍵環(huán)節(jié)利用大數(shù)據(jù)技術對業(yè)務運營優(yōu)化以挖掘更多的數(shù)據(jù)價值。大量的組織參與到大數(shù)據(jù)產(chǎn)業(yè)中，成為數(shù)據(jù)資源、數(shù)據(jù)計算平臺、數(shù)據(jù)服務和應用的提供者等角色，組織在利用大數(shù)據(jù)技術開展新的業(yè)務運營模式下的轉(zhuǎn)型變革，同時，數(shù)據(jù)安全管理也帶來了挑戰(zhàn)：

　　環(huán)境層面，包括在經(jīng)濟環(huán)境、公民常識、技術發(fā)展和政策法規(guī)幾個方面。經(jīng)濟環(huán)境反映在大數(shù)據(jù)交易、大數(shù)據(jù)服務等；公民常識反映在個人隱私保護、數(shù)據(jù)確權等；技術發(fā)展反映在云計算、大數(shù)據(jù)、物聯(lián)網(wǎng)、移動互聯(lián)網(wǎng)等;政策法規(guī)方面反映國家安全、個人隱私保護、數(shù)據(jù)跨境等。

外延層面，數(shù)據(jù)在不同組織之間的流通和加工，以及相關的產(chǎn)業(yè)實踐和標準化建設方面。

核心層面，數(shù)據(jù)作為組織的重要資產(chǎn)，面臨著傳統(tǒng)數(shù)據(jù)安全相關風險和大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全風險。以數(shù)據(jù)為中心的組織業(yè)務范圍內(nèi)的生命周期管理，體現(xiàn)出數(shù)據(jù)安全需求、數(shù)據(jù)安全保障方面應具備的數(shù)據(jù)安全能力。

　　2.標準建設

數(shù)據(jù)安全能力成熟度模型標準作為企業(yè)數(shù)據(jù)資產(chǎn)管理在數(shù)據(jù)安全能力成熟度方面的反映，重點考慮數(shù)據(jù)生命周期安全下的數(shù)據(jù)安全能力成熟度建設。在標準建設中考慮核心標準、配套標準、衍生標準、行業(yè)應用四個方面：

核心標準，國標《大數(shù)據(jù)安全能力成熟度模型》和ISO標準《Big data Security capability maturity model》；

配套標準，國標《大數(shù)據(jù)安全能力成熟度測評指南》和國標《大數(shù)據(jù)安全能力成熟度提升指南》；

　　衍生標準，ITU-T Security reference architecture for lifecycle management of e-commerce business data 和行業(yè)標準《面向互聯(lián)網(wǎng)的數(shù)據(jù)安全能力框架》；

行業(yè)應用，數(shù)據(jù)安全能力成熟度模型結合行業(yè)特點開展細化應用，如：《電子商務行業(yè)數(shù)據(jù)安全能力成熟度提升指南》、《金融行業(yè)數(shù)據(jù)安全能力成熟度提升指南》、《物流行業(yè)數(shù)據(jù)安全能力成熟度提升指南》、《獨立軟件提供商數(shù)據(jù)安全能力成熟度提升指南》等。

二、DSCM主要內(nèi)容

　　1.DSCM模型架構

DSCM成熟度模型借鑒CMM思想，以CMM的通用實踐衡量成熟度等級，以《信息安全技術 大數(shù)據(jù)服務安全能力要求》中相關安全要求為基礎，指導組織持續(xù)提升數(shù)據(jù)安全能力，覆蓋數(shù)據(jù)生命周期(數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀)過程，明確各階段數(shù)據(jù)安全能力及成熟度，獲得組織整體數(shù)據(jù)安全能力。

數(shù)據(jù)生命周期安全，圍繞數(shù)據(jù)生命周期，提煉大數(shù)據(jù)環(huán)境下，以數(shù)據(jù)為中心，針對數(shù)據(jù)生命周期各階段的相關數(shù)據(jù)安全過程域體系；

　　數(shù)據(jù)安全能力維度，明確組織在各數(shù)據(jù)安全域所需具備的能力維度，包括：制度流程、人員能力、組織建設和技術工具四個關鍵維度；

能力成熟度等級，基于CMM的分級標準，細化組織機構在各數(shù)據(jù)安全過程域中的5個級別的能力成熟度分級要求。

　　2.數(shù)據(jù)生命周期

基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織業(yè)務中的流轉(zhuǎn)情況，定義了數(shù)據(jù)生命周期的6個階段，具體定義如下：

數(shù)據(jù)采集，指新的數(shù)據(jù)產(chǎn)生或現(xiàn)有數(shù)據(jù)內(nèi)容發(fā)生顯著改變或更新的階段。對于組織而言，數(shù)據(jù)采集既包含組織內(nèi)系統(tǒng)中生成的數(shù)據(jù)也包括組織外采集的數(shù)據(jù)。

　　數(shù)據(jù)存儲，指非動態(tài)數(shù)據(jù)以任何數(shù)據(jù)格式進行物理存儲的階段。

　　數(shù)據(jù)處理，指組織在內(nèi)部針對動態(tài)數(shù)據(jù)進行的一系列活動的組合。

　　數(shù)據(jù)傳輸，指數(shù)據(jù)在組織內(nèi)從一個實體通過網(wǎng)絡傳輸?shù)搅硪粋€實體的過程。

　　數(shù)據(jù)交換，指數(shù)據(jù)經(jīng)由組織內(nèi)部或外部及個人交互過程中提供數(shù)據(jù)的階段。

　　數(shù)據(jù)銷毀，指通過對數(shù)據(jù)及數(shù)據(jù)存儲介質(zhì)相應操作過程，使數(shù)據(jù)徹底丟棄且無法通過任何手段恢復的過程。

（注：組織特定的數(shù)據(jù)所經(jīng)歷的生命周期由實際業(yè)務場景決定，并非所有數(shù)據(jù)都經(jīng)歷完整的六個階段）

　　3.數(shù)據(jù)安全過程域

數(shù)據(jù)安全過程域覆蓋數(shù)據(jù)生命周期六個階段，包括數(shù)據(jù)生命周期各階段通用安全過程域和生命周期各階段下的安全過程域。

　　4.數(shù)據(jù)安全能力維度

通過對組織在各項安全過程中所需具備安全能力的細化，提供組織評估每項安全過程的實現(xiàn)能力。重點考慮組織建設、制度流程、技術工具和人員能力四個維度。

　　組織建設，數(shù)據(jù)安全組織機構的建立、職責分配和溝通協(xié)作；

　　制度流程，組織架構關鍵數(shù)據(jù)安全領域的制度規(guī)范和流程落地建設；

　　技術工具，通過技術手段和產(chǎn)品工具固化安全要求或自動化實現(xiàn)安全工作；

　　人員能力，執(zhí)行數(shù)據(jù)安全工作的人員的意識及專業(yè)能力。

　　5.能力成熟度等級

組織的數(shù)據(jù)安全成熟度劃分為5個成熟度等級，具體如下：

　　等級1：非正式執(zhí)行，組織數(shù)據(jù)安全工作來自被動的需求或隨機開展的工作，并未主動的開展數(shù)據(jù)安全工作；

　　等級2：計劃跟蹤，組織開始評估數(shù)據(jù)安全風險并主動開展數(shù)據(jù)安全工作，但缺乏有序的管理規(guī)范；

　　等級3：充分定義，組織已基于數(shù)據(jù)安全風險開展規(guī)范性工作，工作開展的效果可進行衡量但缺乏量化分析；

　　等級4：量化控制，組織的數(shù)據(jù)安全工作與業(yè)務發(fā)展保持一致，且可以獲得持續(xù)的測量和控制；

　　等級5：持續(xù)優(yōu)化，組織的數(shù)據(jù)安全工作已成為持續(xù)可控的過程，能夠致力于業(yè)務價值的提升。

三、DSCM 應用

　　1.評定方法

組織的數(shù)據(jù)安全能力成熟度等級取決于各項數(shù)據(jù)安全過程域的能力成熟度等級。評定方法采用“木桶效益”，即：組織的整體數(shù)據(jù)安全能力成熟度取決于各項數(shù)據(jù)安全過程域的能力成熟度級別中的最低等級。如：當所有數(shù)據(jù)安全過程域的能力成熟度都達到2級以上時，組織的數(shù)據(jù)安全能力成熟度等級方可為2級。

2.應用方法

組織在開展數(shù)據(jù)安全能力成熟度評估時，可根據(jù)組織的業(yè)務規(guī)模、業(yè)務對象、業(yè)務數(shù)據(jù)的依賴性及組織單元等方面的差異，對數(shù)據(jù)安全能力成熟度模型“因地制宜”。選擇適合自身業(yè)務實際情況的長短期目標，開展相應數(shù)據(jù)安全能力等級方面的建設和實施工作。參考步驟如下：

四、DSCM 快速評估模型

　　1.DSCM快速評估模型介紹

本模型基于DSCM 數(shù)據(jù)安全能力成熟度的核心域及過程域主要內(nèi)容框架設計；

通過選定不同過程域能力成熟度等級歸屬狀態(tài)，快速獲得組織的數(shù)據(jù)安全管理能力成熟度初步現(xiàn)狀；

組織可以根據(jù)本模型框架進行裁剪和擴展，形成本企業(yè)特定環(huán)境下定制化數(shù)據(jù)安全能力成熟度快速自評估模型。

　　2.獲得評估結果(示例)

本文來源于微信公眾號“CDO首席數(shù)據(jù)官”，轉(zhuǎn)載請聯(lián)系原作者。