DSMM評(píng)估的關(guān)鍵要素

DSMM評(píng)估受數(shù)據(jù)價(jià)值,、合規(guī)要求、組織發(fā)展等多方面驅(qū)動(dòng),，各方面都有數(shù)據(jù)安全工作關(guān)注要素,。根據(jù)我們?cè)谡?wù)、金融等多個(gè)領(lǐng)域的評(píng)估實(shí)踐來看,，DSMM評(píng)估的關(guān)鍵要素主要由以下幾個(gè)方面構(gòu)成：

DSMM定義了數(shù)據(jù)安全能力的5個(gè)級(jí)別,。L1級(jí)為隨機(jī),、無序、被動(dòng)地執(zhí)行全過程,，完全依賴于個(gè)人經(jīng)驗(yàn),，無法復(fù)制,；L2級(jí)為計(jì)劃跟蹤級(jí)別，適合多數(shù)企業(yè)數(shù)據(jù)安全能力建設(shè)的申請(qǐng)級(jí)別,；L3級(jí)為充分定義級(jí),，要求足夠的數(shù)據(jù)安全團(tuán)隊(duì)保障、完善的制度流程和專業(yè)的技術(shù)工具,，因此在人力,、物力、財(cái)力等方面投入要遠(yuǎn)高于L2級(jí),，適合具有較高數(shù)據(jù)安全實(shí)踐水平的企業(yè)組織申請(qǐng),；L4級(jí)為量化控制級(jí)，適合在數(shù)據(jù)安全領(lǐng)域建設(shè)水平lingxian的企業(yè)組織申請(qǐng),；L5根據(jù)企業(yè)組織的整體目標(biāo),，不斷改進(jìn)和優(yōu)化組織能力和數(shù)據(jù)安全過程。

核心業(yè)務(wù)數(shù)據(jù),、敏感數(shù)據(jù)、密鑰資產(chǎn)數(shù)據(jù)等重要數(shù)據(jù)應(yīng)納入數(shù)據(jù)資產(chǎn)評(píng)估范圍,。對(duì)于有些企業(yè)組織,，業(yè)務(wù)系統(tǒng)未進(jìn)行集成化管理，具備幾十甚至上百個(gè)系統(tǒng),，大大增加了DSMM評(píng)估企業(yè)的整改成本,，在明確數(shù)據(jù)資產(chǎn)范圍過程中，可暫不納入輔助業(yè)務(wù)系統(tǒng),。評(píng)估人員有義務(wù)幫助企業(yè)組織平衡業(yè)務(wù)系統(tǒng)數(shù)據(jù)安全整改成本與數(shù)據(jù)資產(chǎn)收益,。

為了更好地識(shí)別數(shù)據(jù)安全風(fēng)險(xiǎn)，有效有條不紊地通過數(shù)據(jù)安全能力成熟度，評(píng)估人員應(yīng)熟練掌握GB∕T 《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》,、GB∕T 《信息安全技術(shù) 大數(shù)據(jù)服務(wù)安全能力要求》等技術(shù)框架,，以及《中華人民共和國網(wǎng)絡(luò)安全法》、《中華人民共和國數(shù)據(jù)安全法》和《中華人民共和國個(gè)人信息保護(hù)法》等上位法,，必要時(shí)應(yīng)對(duì)企業(yè)組織所屬行業(yè)規(guī)范,、合規(guī)要求進(jìn)行了解。