DSMM数据安全能力成熟度企业到底要不要做?

近几年,数据安全因全球数字化转型步伐的加快变得越来越重要,及时地进行数据安全技术建设,促进企业尽早发现数据安全能力短板,有效的保证数据安全技术建设的落地实施,进而挖掘数据价值,推动企业数字化转型。

目前在数据安全领域推广最为广泛的标准理论是《GT/B 37988-2019信息安全技术 数据安全能力成熟度模型》(简称DSMM)。DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,从六个阶段、四个安全能力维度对数据安全能力建设进行综合考量。

该标准能够用来衡量一个组织的数据安全能力成熟度水平,相关主管部门也可以用于数据安全管理,最终提升全社会的数据安全水平和行业竞争力,确保大数据产业及数字经济的发展。数据安全能力成熟度模型(简称DSMM)发布于2019年,早于《数据安全法》的颁布,但DSMM中有关数据生命周期的概念和相关要求与《数据安全法》有对应关系。通过DSMM模型建立数据安全管理体系,企业可以找到提升数据安全能力,增强企业数据安全意识,保证《数据安全法》等合规要求在企业内部落地实施的有效途径。

数据安全技术建设可以分为三层:

其中,基础安全技术层包括密码技术、访问控制、可信计算等共性安全技术,是网络安全与数据安全技术体系构建的基础。

数据安全技术层是以数据为核心,围绕数据要素在数据的全生命周期中的安全需求,对数据实施识别、变形、标记、计算等操作的技术集合。

数据安全技术应用层利用一种或多种数据安全技术组合,实现数据安全保护、安全检测/监测、隐私保护、追踪溯源等应用场景下的数据安全功能。

由此可见,技术是解决问题的重要手段,数据安全建设以管理建设为思想,以技术建设为支撑,保障企业的数据体系建设安全落地。

目前隐私信息相关的安全事件频发,其本质原因是隐私信息是重要的市场资源,同时信息系统和人存在脆弱性。

通过科学合理的管理方法和措施可以降低隐私信息安全事件的发生,其中,建立隐私信息管理体系(PIMS)是很多组织已经采纳的解决方案,隐私信息管理体系建立在信息安全管理体系(ISMS)(ISO/IEC 27001)基础之上,已经建立ISMS的组织需要在ISMS基础上进行完善,增加ISO/IEC 27018:2019等特定要求,没有建立ISMS的组织需要依据ISO/IEC 27001和ISO/IEC 27701建立ISMS和PIMS。建立PIMS体系将减少组织的损失,在一定程度上保障隐私信息的安全性。

擎标信息有数十年的数字安全管理实施经验,打造企业的数字能力,为企业的数据管理和数据安全保驾护航。