根據(jù)我們?cè)谡?wù)、金"/>
單價(jià): | 面議 |
發(fā)貨期限: | 自買(mǎi)家付款之日起 天內(nèi)發(fā)貨 |
所在地: | 江蘇 南京 |
有效期至: | 長(zhǎng)期有效 |
發(fā)布時(shí)間: | 2023-11-22 19:20 |
最后更新: | 2023-11-22 19:20 |
瀏覽次數(shù): | 151 |
采購(gòu)咨詢: |
請(qǐng)賣(mài)家聯(lián)系我
|
DSMM評(píng)估的關(guān)鍵要素
DSMM評(píng)估受數(shù)據(jù)價(jià)值、合規(guī)要求、組織發(fā)展等多方面驅(qū)動(dòng),各方面都有數(shù)據(jù)安全工作關(guān)注要素。根據(jù)我們?cè)谡?wù)、金融等多個(gè)領(lǐng)域的評(píng)估實(shí)踐來(lái)看,DSMM評(píng)估的關(guān)鍵要素主要由以下幾個(gè)方面構(gòu)成:
? 要素一:能力建設(shè)目標(biāo)
DSMM評(píng)估首先要確定建設(shè)目標(biāo),即數(shù)據(jù)安全能力成熟度級(jí)別。
DSMM定義了數(shù)據(jù)安全能力的5個(gè)級(jí)別。L1級(jí)為隨機(jī)、無(wú)序、被動(dòng)地執(zhí)行全過(guò)程,完全依賴于個(gè)人經(jīng)驗(yàn),無(wú)法復(fù)制;L2級(jí)為計(jì)劃跟蹤級(jí)別,適合多數(shù)企業(yè)數(shù)據(jù)安全能力建設(shè)的申請(qǐng)級(jí)別;L3級(jí)為充分定義級(jí),要求足夠的數(shù)據(jù)安全團(tuán)隊(duì)保障、完善的制度流程和專(zhuān)業(yè)的技術(shù)工具,因此在人力、物力、財(cái)力等方面投入要遠(yuǎn)高于L2級(jí),適合具有較高數(shù)據(jù)安全實(shí)踐水平的企業(yè)組織申請(qǐng);L4級(jí)為量化控制級(jí),適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平lingxian的企業(yè)組織申請(qǐng);L5根據(jù)企業(yè)組織的整體目標(biāo),不斷改進(jìn)和優(yōu)化組織能力和數(shù)據(jù)安全過(guò)程。
? 要素二:數(shù)據(jù)資產(chǎn)范圍
數(shù)據(jù)資產(chǎn)是為組織產(chǎn)生價(jià)值的數(shù)據(jù)資源,是指可以提升企業(yè)組織效益、提高管理水平或通過(guò)出售、租賃數(shù)據(jù)的方式獲得經(jīng)濟(jì)收益。
核心業(yè)務(wù)數(shù)據(jù)、敏感數(shù)據(jù)、密鑰資產(chǎn)數(shù)據(jù)等重要數(shù)據(jù)應(yīng)納入數(shù)據(jù)資產(chǎn)評(píng)估范圍。對(duì)于有些企業(yè)組織,業(yè)務(wù)系統(tǒng)未進(jìn)行集成化管理,具備幾十甚至上百個(gè)系統(tǒng),大大增加了DSMM評(píng)估企業(yè)的整改成本,在明確數(shù)據(jù)資產(chǎn)范圍過(guò)程中,可暫不納入輔助業(yè)務(wù)系統(tǒng)。評(píng)估人員有義務(wù)幫助企業(yè)組織平衡業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全整改成本與數(shù)據(jù)資產(chǎn)收益。
? 要素三:數(shù)據(jù)安全風(fēng)險(xiǎn)
在DSMM評(píng)估工作過(guò)程中,評(píng)估人員應(yīng)幫助企業(yè)組織對(duì)自身數(shù)據(jù)資產(chǎn)的業(yè)務(wù)系統(tǒng)在數(shù)據(jù)的采集、傳輸、存儲(chǔ)、處理、交換和銷(xiāo)毀過(guò)程,梳理數(shù)據(jù)安全風(fēng)險(xiǎn)點(diǎn),并記錄所有風(fēng)險(xiǎn)點(diǎn),全面掌握企業(yè)組織的數(shù)據(jù)安全能力現(xiàn)狀與建設(shè)目標(biāo)的差距。
▲數(shù)據(jù)安全風(fēng)險(xiǎn)分布
為了更好地識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn),有效有條不紊地通過(guò)數(shù)據(jù)安全能力成熟度,評(píng)估人員應(yīng)熟練掌握GB∕T 《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》、GB∕T 《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》等技術(shù)框架,以及《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)數(shù)據(jù)安全法》和《中華人民共和國(guó)個(gè)人信息保護(hù)法》等上位法,必要時(shí)應(yīng)對(duì)企業(yè)組織所屬行業(yè)規(guī)范、合規(guī)要求進(jìn)行了解。
? 要素四:數(shù)據(jù)安全意識(shí)
評(píng)估人員具備豐富的數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)是DSMM評(píng)估工作的前提。評(píng)估人員需要幫助企業(yè)組織依據(jù)數(shù)據(jù)安全風(fēng)險(xiǎn),根據(jù)數(shù)據(jù)流轉(zhuǎn)過(guò)程、企業(yè)組織運(yùn)作方式,形成數(shù)據(jù)安全風(fēng)險(xiǎn)知識(shí)庫(kù)。依據(jù)知識(shí)庫(kù),企業(yè)組織數(shù)據(jù)安全法律法規(guī)、數(shù)據(jù)泄漏案例等培訓(xùn),提高員工數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)。
? 要素五:數(shù)據(jù)安全團(tuán)隊(duì)
,要素三至要素五在DSMM評(píng)估過(guò)程中存在很多主觀內(nèi)容,因此評(píng)估人員的專(zhuān)業(yè)度、經(jīng)驗(yàn)積累和引導(dǎo)能力非常重要。