推广 热搜: 其他  集装箱厂家  定制集装箱  活动板房  办公文教  农林牧渔  假山雕塑  建材装修  五金及配件  灯具照明 

数据安全隐患频现成都DSMM认证筑牢全方位安全防线

 
单价: 面议
起订:
供货总量:
发货期限: 自买家付款之日起 天内发货
所在地: 四川 成都市
有效期至: 长期有效
最后更新: 2023-04-14 23:15
浏览次数: 0
 
公司基本资料信息
详细说明
J38uQ0T

近些年,数据要素的重要性日益凸显,为保护数据安全,国家制定了一系列法律法规。企业在开展工作时,需要特别关注数据安全法相关合规要求的落地实施。其中,《中华人民共和国数据安全法》(以下简称为《数据安全法》)强调总体国家安全观,明确国家和监管部门应建立数据分级、风险监测、应急响应、安全审查、出口管制等五大机制和制度,是数据领域的基础性法律。

从个人信息安全,到企业数据安全、上云安全,进而到国家安全,只要有数据应用,安全问题就会伴随其中。如何保障数据要素合法安全、有效流通,充分发挥数据要素价值,是数字化转型过程中,企业面临的重要课题和挑战。与《数据安全法》相对应,企业层面需要从数据安全的管理制度、安全措施、风险监测和评估、出境管理、合法采集等维度履行数据安全保护义务。

数据安全能力成熟度模型(简称DSMM)发布于2019年,早于《数据安全法》的颁布,但DSMM中有关数据生命周期的概念和相关要求与《数据安全法》有对应关系。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。

该标准能够用来衡量一个组织的数据安全能力成熟度水平,可以帮助行业、企业和组织发现数据安全能力短板,相关主管部门也可以用于数据安全管理,根据数据安全能力水平高低决定企业拥有数据的类型和范围,最终提升全社会的数据安全水平和行业竞争力,确保大数据产业及数字经济的发展。

数据安全相较于传统网络安全,更加聚焦数据内容本身的保护,关注数据防泄漏、防滥用,注重防范数据风险与数据应用之间的平衡,具有跨组织联动,技术风险、操作风险、商业风险和法律风险并存的特点。

01、DSMM评估的价值

GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》(简称DSMM)标准要求是评估的依据。DSMM是从数据安全管理的角度,以企业组织的数据为核心,围绕数据全生命周期进行分析、发现数据安全风险。

通过DSMM评估,可以对企业或组织核心业务系统所面临的数据安全风险进行发现、识别和定性,帮助企业组织高效地定位自身数据安全短板、为企业组织提出具有针对性的数据安全能力提升路径、防范数据安全事件风险,最终帮助企业组织获得数据安全保护能力的成熟度证明,满足安全合规要求。DSMM评估结果代表企业组织目前的数据安全防护水平,从L1至L5,级别越高代表的数据安全防护能力越强。

02、DSMM评估的关键要素

DSMM评估受数据价值、合规要求、组织发展等多方面驱动,各方面都有数据安全工作关注要素。根据我们在政务、金融等多个领域的评估实践来看,DSMM评估的关键要素主要由以下几个方面构成:

► 要素一:能力建设目标

DSMM评估首先要确定建设目标,即数据安全能力成熟度级别。

DSMM定义了数据安全能力的5个级别。L1级为随机、无序、被动地执行全过程,完全依赖于个人经验,无法复制;L2级为计划跟踪级别,适合多数企业数据安全能力建设的申请级别;L3级为充分定义级,要求足够的数据安全团队保障、完善的制度流程和专业的技术工具,因此在人力、物力、财力等方面投入要远高于L2级,适合具有较高数据安全实践水平的企业组织申请;L4级为量化控制级,适合在数据安全领域建设水平领先的企业组织申请;L5根据企业组织的整体目标,不断改进和优化组织能力和数据安全过程。

► 要素二:数据资产范围

数据资产是为组织产生价值的数据资源,是指可以提升企业组织效益、提高管理水平或通过出售、租赁数据的方式获得经济收益。

核心业务数据、敏感数据、密钥资产数据等重要数据应纳入数据资产评估范围。对于有些企业组织,业务系统未进行集成化管理,具备几十甚至上百个系统,大大增加了DSMM评估企业的整改成本,在明确数据资产范围过程中,可暂不纳入辅助业务系统。评估人员有义务帮助企业组织平衡业务系统数据安全整改成本与数据资产收益。

► 要素三:数据安全风险

在DSMM评估工作过程中,评估人员应帮助企业组织对自身数据资产的业务系统在数据的采集、传输、存储、处理、交换和销毁过程,梳理数据安全风险点,并记录所有风险点,全面掌握企业组织的数据安全能力现状与建设目标的差距。

▲数据安全风险分布

为了更好地识别数据安全风险,有效有条不紊地通过数据安全能力成熟度,评估人员应熟练掌握GB∕T 37988-2019 《信息安全技术 数据安全能力成熟度模型》、GB∕T 35274-2017《信息安全技术 大数据服务安全能力要求》等技术框架,以及《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》等上位法,必要时应对企业组织所属行业规范、合规要求进行了解。

► 要素四:数据安全意识

评估人员具备丰富的数据安全风险意识是DSMM评估工作的前提。评估人员需要帮助企业组织依据数据安全风险,根据数据流转过程、企业组织运作方式,形成数据安全风险知识库。依据知识库,企业组织数据安全法律法规、数据泄漏案例等培训,提高员工数据安全风险意识。

► 要素五:数据安全团队

评估人员具备丰富的数据安全风险意识是DSMM评估工作的前提。评估人员需要帮助企业组织依据数据安全风险,根据数据流转过程、企业组织运作方式,形成数据安全风险知识库。依据知识库,企业组织数据安全法律法规、数据泄漏案例等培训,提高员工数据安全风险意识。

综上所述,要素三至要素五在DSMM评估过程中存在很多主观内容,因此评估人员的专业度、经验积累和引导能力非常重要。

03评估服务

中国软件评测中心DSMM评估团队具有数据安全领域丰富的第三方服务经验,帮助企业组织梳理自身的数据安全能力现状,识别数据安全潜在风险,通过组织、制度、人员和技术工具的落地,提升企业组织数据安全能力建设水平,达到数据资源价值最大化。

数字经济第三方公共服务平台,正在全省范围内开展DSMM咨询及评估工作,客户覆盖行业包括政府、金融、电力、通信等多个领域。


反对 0举报 0 收藏 0 评论 0
更多>本企业其它产品
2023年推荐:CCID信息系统交付能力的的等级证书 今日浅析:成都CCRC认证信息安全服务资质证书办理解读! (近日对比)解读成都ITSS认证信息技术服务标准 (2023年已更新)信息系统建设和服务能力评估体系资质 服务详解:ITSS信息技术服务标准等级评估过程的区别。 (近日浅析)信息系统建设和服务能力成都CS认证! 数据管理能力成熟度北京DCMM认证评估到底是什么? 服务详解:成都CMMM认证四级需要准备哪些材料?
申请链接  |  更多>
友情链接
网站首页  |  关于我们  |  联系方式  |  使用协议  |  版权隐私  |  网站地图  |  排名推广  |  广告服务  |  积分换礼  |  网站留言  |  RSS订阅  |  违规举报  |  陕ICP备18006902号