0igjcl
數(shù)據(jù)要素是參與社會(huì)生產(chǎn)經(jīng)營(yíng)活動(dòng)���,帶來(lái)經(jīng)濟(jì)效益的數(shù)據(jù)資源�����,是國(guó)家發(fā)展的戰(zhàn)略性���、基礎(chǔ)性資源,也是驅(qū)動(dòng)數(shù)字經(jīng)濟(jì)發(fā)展的強(qiáng)大動(dòng)力�����。數(shù)據(jù)資產(chǎn)為企業(yè)和組織帶來(lái)發(fā)展機(jī)遇的同時(shí),也發(fā)生了大量數(shù)據(jù)安全事件���,安全威脅日益嚴(yán)重����,數(shù)據(jù)安全保護(hù)能力是網(wǎng)絡(luò)運(yùn)營(yíng)者在數(shù)據(jù)經(jīng)濟(jì)時(shí)代的緊迫議題�,也是充分釋放數(shù)據(jù)資源價(jià)值的關(guān)鍵環(huán)節(jié)。
GB/T 37988-2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(簡(jiǎn)稱DSMM)標(biāo)準(zhǔn)要求是評(píng)估的依據(jù)��。DSMM是從數(shù)據(jù)安全管理的角度���,以企業(yè)組織的數(shù)據(jù)為核心�����,圍繞數(shù)據(jù)全生命周期進(jìn)行分析���、發(fā)現(xiàn)數(shù)據(jù)安全風(fēng)險(xiǎn)。通過(guò)DSMM評(píng)估����,可以對(duì)企業(yè)或組織核心業(yè)務(wù)系統(tǒng)所面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行發(fā)現(xiàn)、識(shí)別和定性�����,幫助企業(yè)組織高效地定位自身數(shù)據(jù)安全短板���、為企業(yè)組織提出具有針對(duì)性的數(shù)據(jù)安全能力提升路徑�����、防范數(shù)據(jù)安全事件風(fēng)險(xiǎn)����,最終幫助企業(yè)組織獲得數(shù)據(jù)安全保護(hù)能力的成熟度證明�,滿足安全合規(guī)要求。DSMM評(píng)估結(jié)果代表企業(yè)組織目前的數(shù)據(jù)安全防護(hù)水平�����,從L1至L5�,級(jí)別越高代表的數(shù)據(jù)安全防護(hù)能力越強(qiáng)。DSMM評(píng)估受數(shù)據(jù)價(jià)值����、合規(guī)要求、組織發(fā)展等多方面驅(qū)動(dòng)����,各方面都有數(shù)據(jù)安全工作關(guān)注要素�。根據(jù)我們?cè)谡?wù)���、金融等多個(gè)領(lǐng)域的評(píng)估實(shí)踐來(lái)看�,DSMM評(píng)估的關(guān)鍵要素主要由以下幾個(gè)方面構(gòu)成:DSMM評(píng)估首先要確定建設(shè)目標(biāo)���,即數(shù)據(jù)安全能力成熟度級(jí)別�。DSMM定義了數(shù)據(jù)安全能力的5個(gè)級(jí)別�。L1級(jí)為隨機(jī)、無(wú)序����、被動(dòng)地執(zhí)行全過(guò)程,完全依賴于個(gè)人經(jīng)驗(yàn)�����,無(wú)法復(fù)制���;L2級(jí)為計(jì)劃跟蹤級(jí)別�����,適合多數(shù)企業(yè)數(shù)據(jù)安全能力建設(shè)的申請(qǐng)級(jí)別�����;L3級(jí)為充分定義級(jí)��,要求足夠的數(shù)據(jù)安全團(tuán)隊(duì)保障�、完善的制度流程和專業(yè)的技術(shù)工具����,因此在人力、物力��、財(cái)力等方面投入要遠(yuǎn)高于L2級(jí)���,適合具有較高數(shù)據(jù)安全實(shí)踐水平的企業(yè)組織申請(qǐng)�;L4級(jí)為量化控制級(jí)�����,適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平領(lǐng)先的企業(yè)組織申請(qǐng)��;L5級(jí)根據(jù)企業(yè)組織的整體目標(biāo),不斷改進(jìn)和優(yōu)化組織能力和數(shù)據(jù)安全過(guò)程����。? 要素二:數(shù)據(jù)資產(chǎn)范圍
數(shù)據(jù)資產(chǎn)是為組織產(chǎn)生價(jià)值的數(shù)據(jù)資源,是指可以提升企業(yè)組織效益����、提高管理水平或通過(guò)出售、租賃數(shù)據(jù)的方式獲得經(jīng)濟(jì)收益����。核心業(yè)務(wù)數(shù)據(jù)、敏感數(shù)據(jù)��、密鑰資產(chǎn)數(shù)據(jù)等重要數(shù)據(jù)應(yīng)納入數(shù)據(jù)資產(chǎn)評(píng)估范圍��。對(duì)于有些企業(yè)組織���,業(yè)務(wù)系統(tǒng)未進(jìn)行集成化管理�,具備幾十甚至上百個(gè)系統(tǒng)�,大大增加了DSMM評(píng)估企業(yè)的整改成本,在明確數(shù)據(jù)資產(chǎn)范圍過(guò)程中����,可暫不納入輔助業(yè)務(wù)系統(tǒng)。評(píng)估人員有義務(wù)幫助企業(yè)組織平衡業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全整改成本與數(shù)據(jù)資產(chǎn)收益。? 要素三:數(shù)據(jù)安全風(fēng)險(xiǎn)
在DSMM評(píng)估工作過(guò)程中���,評(píng)估人員應(yīng)幫助企業(yè)組織對(duì)自身數(shù)據(jù)資產(chǎn)的業(yè)務(wù)系統(tǒng)在數(shù)據(jù)的采集�、傳輸�����、存儲(chǔ)����、處理����、交換和銷毀過(guò)程,梳理數(shù)據(jù)安全風(fēng)險(xiǎn)點(diǎn)���,并記錄所有風(fēng)險(xiǎn)點(diǎn)��,全面掌握企業(yè)組織的數(shù)據(jù)安全能力現(xiàn)狀與建設(shè)目標(biāo)的差距�����。▲數(shù)據(jù)安全風(fēng)險(xiǎn)分布
為了更好地識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn)�����,有效有條不紊地通過(guò)數(shù)據(jù)安全能力成熟度�,評(píng)估人員應(yīng)熟練掌握GB∕T 37988-2019 《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》、GB∕T 35274-2017《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》等技術(shù)框架���,以及《中華人民共和國(guó)網(wǎng)絡(luò)安全法》���、《中華人民共和國(guó)數(shù)據(jù)安全法》和《中華人民共和國(guó)個(gè)人信息保護(hù)法》等上位法,必要時(shí)應(yīng)對(duì)企業(yè)組織所屬行業(yè)規(guī)范��、合規(guī)要求進(jìn)行了解����。? 要素四:數(shù)據(jù)安全意識(shí)
評(píng)估人員具備豐富的數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)是DSMM評(píng)估工作的前提。評(píng)估人員需要幫助企業(yè)組織依據(jù)數(shù)據(jù)安全風(fēng)險(xiǎn)��,根據(jù)數(shù)據(jù)流轉(zhuǎn)過(guò)程����、企業(yè)組織運(yùn)作方式,形成數(shù)據(jù)安全風(fēng)險(xiǎn)知識(shí)庫(kù)��。依據(jù)知識(shí)庫(kù)��,企業(yè)組織數(shù)據(jù)安全法律法規(guī)、數(shù)據(jù)泄漏案例等培訓(xùn)�,提高員工數(shù)據(jù)安全風(fēng)險(xiǎn)意識(shí)。? 要素五:數(shù)據(jù)安全團(tuán)隊(duì)
數(shù)據(jù)安全團(tuán)隊(duì)是決策層與執(zhí)行層的橋梁�����,是評(píng)估過(guò)程重點(diǎn)考察的對(duì)象���?��?疾靸?nèi)容包括團(tuán)隊(duì)對(duì)決策層數(shù)據(jù)安全建設(shè)目標(biāo)的理解、相關(guān)數(shù)據(jù)安全制度的完善性��、崗位設(shè)計(jì)的科學(xué)性�����、分工(權(quán)����、責(zé)��、利)合理性以及獎(jiǎng)懲機(jī)制執(zhí)行效果等����,數(shù)據(jù)安全團(tuán)隊(duì)整體體現(xiàn)企業(yè)人員的數(shù)據(jù)安全能力�����。綜上所述�,要素三至要素五在DSMM評(píng)估過(guò)程中存在很多主觀內(nèi)容����,因此評(píng)估人員的專業(yè)度、經(jīng)驗(yàn)積累和引導(dǎo)能力非常重要�。中國(guó)軟件評(píng)測(cè)中心DSMM評(píng)估團(tuán)隊(duì)具有數(shù)據(jù)安全領(lǐng)域豐富的第三方服務(wù)經(jīng)驗(yàn),幫助企業(yè)組織梳理自身的數(shù)據(jù)安全能力現(xiàn)狀�����,識(shí)別數(shù)據(jù)安全潛在風(fēng)險(xiǎn)���,通過(guò)組織���、制度、人員和技術(shù)工具的落地���,提升企業(yè)組織數(shù)據(jù)安全能力建設(shè)水平��,達(dá)到數(shù)據(jù)資源價(jià)值最大化���。
當(dāng)前�,全球范圍內(nèi)數(shù)據(jù)安全監(jiān)管趨嚴(yán)���,我國(guó)也相繼發(fā)布了相關(guān)法律法規(guī)�����,如何在數(shù)據(jù)安全監(jiān)管框架下實(shí)現(xiàn)數(shù)據(jù)安全合規(guī)�,成為了企業(yè)����,尤其是掌握重要數(shù)據(jù)和個(gè)人信息的企業(yè)最為關(guān)注的問(wèn)題。GB/T 37988《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》(以下簡(jiǎn)稱DSMM)是由業(yè)內(nèi)權(quán)威機(jī)構(gòu)聯(lián)合編寫的國(guó)家標(biāo)準(zhǔn)�,于2019年8月30日發(fā)布���,2020年3月1日正式實(shí)施�����。DSMM國(guó)家標(biāo)準(zhǔn)以組織的數(shù)據(jù)為中心�����,圍繞數(shù)據(jù)的采集���、傳輸��、存儲(chǔ)�、處理���、交換���、銷毀全生命周期,從組織建設(shè)�����、制度流程����、技術(shù)工具���、人員能力4個(gè)能力維度,按照1-5級(jí)成熟度���,評(píng)判組織的數(shù)據(jù)安全能力��。·《中華人民共和國(guó)網(wǎng)絡(luò)安全法》·《中華人民共和國(guó)數(shù)據(jù)安全法》·《中華人民共和國(guó)個(gè)人信息保護(hù)法》·《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》·GB/T 37988-2019《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》DSMM評(píng)估以組織為單位�,以數(shù)據(jù)為中心,圍繞數(shù)據(jù)的生命周期����,對(duì)組織建設(shè)、制度流程��、技術(shù)工具以及人員能力4個(gè)能力維度進(jìn)行評(píng)估��,涵蓋5個(gè)成熟度級(jí)別��、30個(gè)數(shù)據(jù)安全能力過(guò)程域和576個(gè)基本實(shí)踐�。
燃?xì)庥娩X合金襯塑PE管" width="160" height="152">
鋁合金襯PE-RT" width="160" height="152">
