学习
实践
活动
工具
TVP
写文章

数据安全能力成熟度模型》实践指南:数据采集管理

2019年8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020 DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全数据传输安全数据存储安全数据处理安全数据交换安全数据销毁安全六个阶段。 DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。 随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落地标准和衡量指标,对于中国企业而言,以DSMM为数据安全治理思路方案选型,可以更好的实现数据安全治理的制度合规。 本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为本系列第二篇文章,将介绍数据采集安全阶段的数据采集安全管理过程域(PA02)。

79397

DSMM数据安全能力成熟度模型总结与交流

DSMM(Data security capability maturity model)数据安全能力成熟度模型,由阿里巴巴作为主要起草单位编制的一份关于数据安全管理的标准,目前是报批稿状态,即将成为国家标准 DSMM借鉴能力成熟度模型(CMM)的思想,将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全数据传输安全数据存储安全数据处理安全数据交换安全数据销毁安全六个阶段。 DSMM划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。 下图为引用的标准的模型图: ? (数据安全治理的指南) 技术工具:通过技术手段和产品工具落实安全要求或自动化实现安全工作。(数据安全治理的具体实现) 人员能力:执行数据安全工作的人员的安全意识及相关专业能力。 DSMM是对数据全生命周期进行安全防护,提高数据安全保护能力,如果都能很好地落地,那么对企业数据安全能力将是极大地提升。

2.1K21
  • 广告
    关闭

    OpenSSL突发漏洞

    OpenSSL曝出“严重”级别漏洞,影响范围OpenSSL3.0.0~3.0.6,使用云安全产品已支持对该漏洞进行检测和防护,现已限时开放七天免费试用

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    数据安全能力成熟度模型》实践指南:数据分级分类

    2019年8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020 DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全数据传输安全数据存储安全数据处理安全数据交换安全数据销毁安全六个阶段。 DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。 本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为开篇,将介绍数据采集安全阶段的数据分类分级过程域(PA01)。 人员能力 针对数据分类分级岗位的相关人员,需要具备良好的数据安全风险意识,熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求,在采集数据的过程中严格按照《网络安全法》、《个人信息安全规范》等相关国家法律法规和行业规范执行

    1.4K31

    【学习】大数据成熟度模型

    为了回答这类问题,有人提出了“大数据成熟度模型”。[与前次的《大数据故事地图》一样,它的来源是EMC(就是去IOE的那个E)。] 企业采用大数据及先进分析技术来创造竞争优势时,采用了各不相同的节奏。 用大数据分析来改进现有业务,企业需要找出大数据能够创造优势的业务机会,它们可能是: 销售数据(及数据洞察)给客户 将先进分析技术集成到产品中,以创造智能产品 利用大数据分析来提升客户关系及客户体验 下图是大数据业务模型成熟度框架 它既可以用于评估企业的当前现状,也可以描绘大数据提升业务的实施蓝图。 ? 大数据成熟度模型包含以下五个阶段。 :基于当前购买模式、采购水平、以及从社交媒体得到的产品兴趣洞察 算法优化:基于大数据模式优化金融系统的交易算法 四、数据盈利(Data Monetization) 在大数据成熟度数据变现阶段,企业可以 将当前及在购库存与顾客购买模式进行比较,为中小电商作出销售及价格策略推荐 通过评估投资目标、当前收入状况及当前投资组合,为投资者提供特定投资分配的策略推荐 五、业务重塑(Business Metamorphosis) 业务重塑是大数据成熟度模型的最高阶段

    1.1K60

    软件安全构建成熟度模型 (BSIMM) 介绍

    应用安全负责收集三类数据:评估公司面向架构师、测试、开发、PM的培训效果(培训前后的产品缺陷数);事中指标用来确认安全流程合规性(各部门合规应用数量、历史漏洞修复情况);发布后数据(漏报数据、覆盖面数据 组织的安全计划总是动态变化的。 ,可以覆盖软件安全计划的方方面面,以可量化的业界数据为基准,通过一系列的指标权重来可视化地评估软件安全计划成熟度。 样本数据来源方面,bsimm9由120家世界各地具备一定安全成熟度的企业(包括NVIDIA、联想、华为、Adobe、阿里巴巴、思科等)共同建立了116项活动指标,各项指标具备不同的权重。 同OpenSAMM的区别 都用来衡量软件安全成熟度,OpenSAMM(软件保证成熟度模型)是规范性的通用框架,由经验丰富的专家评估告诉合理的企业应当做到什么;BSIMM(软件安全构建成熟度模型) 还记得我们的目标吗-观察评估软件安全计划的成熟度,有了相对准确的结果,才有理性数据支撑提升下一阶段的资源投入准确性、发现痛点持续改进、“追赶跨越”达到业界领先水平。

    1.5K20

    国家网络安全能力成熟度模型(五)

    作为回应,各国需要在发展网络安全和网络防御领域的能力、韧性方面,进行全面且综合的加强。众所周知,比如,北约组织承认网络空间是与陆、海、空、航同等关键的第五大军事领域。 这可能包括以下几个领域: 被动网络防御 (Passive Cyber Defence),考虑到检测网络攻击、保护网络和计算机系统免遭攻击、监控内部数据流量以发现受损的系统,以及减轻成功网络攻击的影响所需的应对措施 该类别所涵盖的范围包括: 专业技能(Professinal Skills),指的是招募、保留和培训技能熟练的网络安全专业人员; ? ? 网络防御和网络安全本质上是跨部门、跨领域的。此外,军队、国家政府、私营企业和国际参与者在很多方面都相互依赖安全的信息通信技术。 然而,在网络安全方面,这些基本原则还不太成熟,这在一定程度上可能是由于网络空间的相对新颖性、复杂性和变化速度及其在国防领域的应用。

    81720

    DSMM数据安全能力成熟度模型试点评估实践体会

    前言:笔者所在公司有幸作为首批十家试点单位之一,受邀参加国家标准《DSMM 数据安全能力成熟度模型》(报批稿)(以下简称 DSMM)的试点自评估项目,并作为试点企业代表参加了信安标委召开的试点工作总结会 DSMM 标准关注企业自身业务产生的数据和与外部第三方组织交互的数据,以衡量组织机构的数据安全能力,促进组织机构了解并提升自身的数据安全水平。 DSMM 标准原文数据安全能力成熟度模型架构如图 1 如示: ? 图 1:数据安全能力成熟度模型架构图 PS:本文对 DSMM 标准的介绍如无特别说明,均依据 2018.11.09 报批稿版本。 如图 1 所示,DSMM 标准包括: 四大安全能力维度(组织建设、制度流程、技术工具、人员能力); 七大数据安全过程维度(数据采集安全数据传输安全数据存储安全数据处理安全数据交换安全数据销毁安全 ,如图 2 所示,在 6.1 PA01 PA01 数据分类分级这一过程域中,仅 3 级要求包含完整的 4 个维度的要求; 对于每个数据安全过程域,高等级的能力要求包括所有低等级能力要求,针对某一具体数据安全过程域

    1.2K10

    数据安全能力成熟度模型》实践指南:数据源鉴别及记录

    2019年8月30日,《信息安全技术数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020 DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。 技术工具简述 在数据安全能力成熟度模型,对于数据源鉴别及记录的描述是:对产生数据数据源进行身份鉴别和记录,防止数据仿冒和数据伪造。这段描述的核心就是溯源,保证数据可以被安全地溯源。 下图为异构数据溯源模型图: 异构数据溯源模型 2)数据溯源安全技术 保护溯源信息的意义在于防止溯源信息被破坏、篡改等造成恶意后果的行为,一旦溯源依赖的关键数据被破坏或者篡改,那么数据溯源工作将无法进行 在数据溯源模型中也有一种数据溯源安全模型,就是为了防止有人恶意篡改数据溯源中起源链的相关信息。

    1.4K41

    【分享】数据仓库成熟度模型

    今天又很多数据仓库项目经理都在问以上的问题。不幸的是,没有一个容易的解答。TDWI开发了一个数据仓库成熟度模型,以供参照。 这个模型提供了一个便捷的方式来衡量你的数据仓库解决方案,现在在哪,下一步该怎么做。 ? 数据仓库成熟度模型 图1:商业价值随着各个阶段上升。大多数的组织如今处于儿童和少年阶段。 数据仓库成熟度模型 图2. Spreadmarts 很难消除,因为使用方便,自由。只有在企业到达了最后两个阶段时,本地控制和整个组织的数据才能有效的整合在一起。 3. 而且,这时候用户开始发现数据仓库的新的用途,这些用途甚至当时的开发人员都没有预料到,这又进一步提高了投资回报率。 ? 数据仓库成熟度模型 图3. 结论 不论你是否已经达到了“长者期”的特性,或者你还在努力从婴儿期向少年期跨越,这个成熟度模型都能给你一些参考。

    85430

    郑斌:企业数据安全能力框架——数据安全能力成熟度模型的构建及应用

    本文探讨了这种组织所面临的数据问题及其挑战,介绍了大数据环境下数据安全发展的趋势和完整的组织级数据安全能力框架,阐述了数据安全保护能力的实现路径及实践过程中可能遇到的难点,最后分析了利用数据安全能力成熟度模型指导企业进行数据安全保护能力建设的过程和方法 数据安全能力成熟度模型简介 数据安全能力成熟度模型(DSMM)以数据生命周期为主线,聚焦数据安全相关的四大能力:组织建设、制度流程、技术工具、人员能力,针对组织机构的数据安全能力进行评级(如图1所示)。 组织的数据安全成熟度模型具有5个成熟度等级,分别是非正式执行、计划跟踪、充分定义、量化控制、持续优化。 图1 数据安全能力成熟度模型数据生命周期的6个阶段 基于大数据环境下数据在组织机构业务中的流转情况,定义了数据生命周期的六个阶段:数据采集阶段、数据存储阶段、数据传输阶段、数据处理阶段、数据交换阶段 五、数据安全成熟度模型的行业实践情况 数据安全成熟度模型的适用范围非常广泛,企业在实践过程中就数据安全能力构建达成了以下共识: 1.数据安全是商业落地的重要基石; 2.以“数据”为中心的安全:大部分组织机构的安全工作集中于对网络系统的边界防护层面

    1K00

    国家网络安全能力成熟度模型(六)

    最重要的是要建立有效的语音通信(通常称为“关键任务语音”),尽管数据通信(关键任务数据)和地理信息系统(GIS)在应急响应中越来越重要。 作为国家战略和行动计划的一部分,列入一项要求可能也有好处,即要求申请者证明所设想的紧急通讯项目是如何确保安全的,其中包括提供关于资产、网络和系统的资料,以协助筹划进程。 对应急响应资产进行标准化标识和映射,这将有助于对参与地区的应急响应能力和需求的响应级别通信能力进行评估,使公共安全机构能够对可用的应急通信资源进行战略监督。 最后,美国国土安全部建议实施备份通信解决方案,以确保系统冗余。 ? 结语 至此,对于国家网络安全成熟度模型政策和战略维度的介绍就结束了。

    42220

    IBM 数据治理成熟度评估模型

    本文介绍IBM 数据治理成熟度评估模型 简介 成熟度等级 模型介绍 演进路线 总结 ? 简介 数据被认为是推动企业增长和商业创新引擎的燃料。 IBM 数据治理成熟度模型是由55人专家组成的专家委员会,通过计划、设计、实施、验证阶段开展数据治理业务、技术、方法和最佳实践,提出通过数据治理获得一致性和高质量数据成熟度模型,帮助组织有效改善数据管理环境 模型介绍 IBM 数据治理委员会提出数据治理能力成熟度模型,高阶能力体现在四个方面: 成效 支持要素 核心准则 支撑准则 ? 数据治理成熟度工作的推进者通常为企业的信息管理者,他们关注需要跨职能、跨流程、跨功能边界的标准化,考虑信息生命周期中数据质量、数据安全的需求,针对组织级数据治理规程开展成熟度评估和管理,进而通过管理实现有效的协同一致性 IBM数据治理成熟度模型提供了一组基准和里程碑,帮助组织度量数据治理成熟度,通过成熟度级别、业务实践和组织活动等要素,帮助组织利用成熟度模型开展整体的数据治理能力提升,确定今天我们在哪里?

    3.9K20

    解读《数据库服务能力成熟度模型

    针对这种新的变化,过去按单一产品作为衡量标准就不太合适,急需一种通用的行业标准来度量数据库服务能力。 近期,信通院发表的《数据库服务能力成熟度模型》,由此应运而生。 成熟度模型概述 人生基本上就是两件事,选题和解题。最好的人生是在每个关键点上,既选对题,又解好题。人生最大的痛苦在于解对了题,但选错了题,而且还不知道自己选错了题。 1).评估标准:能力框架与能力域 此次发布的数据库服务成熟度模型,将能力框架划分为三个能力域,分别是:规划设计能力、实施部署能力和运维运营能力。 7).数据模型物理化设计 数据模型物理化设计是指在开发部门完成业务模型、逻辑模型设计后,数据库服务方根据所选数据库的特性,结合各个逻辑模型的业务特性,如并发、读写、数据特征等,进行数据模型的物理化设计, 评估要点:标准化、规范化、文档化、平台化 2).云化运维 云化运维,重点是在于对云端资源的管理、安全及开放能力。 评估要点:成熟度 3).数据库监控 数据库监控,对于数据库稳定运行非常重要。

    59730

    精准测试的成熟度模型

    笔者通过整理腾讯、酷家乐 、网易、有赞、信也等互联网行业的精准测试实践分享,以及与星云等解决方案厂家的介绍,尝试给精准测试的成熟度模型做一个提炼, 首先,从定义上讲,精准测试是一种与代码变动量化分析相结合的变更影响分析方法和策略 当然,除了接口间的依赖之外,方法之间应用之间还有一些之间或者间接的依赖,如数据库表和字段以及消息中间件中数据生产和消费者之间的依赖。 还需要通过数据库的血缘分析以及消息中间件topic订阅的数据来补充完善。 L4: 应用于架构优化 到了这个阶段,主要是上述数据的应用扩展。

    9230

    工业互联网联盟发布新物联网安全成熟度模型

    工业互联网联盟(IIC)基于其自身的安全框架和参考架构开发了一种新型物联网安全成熟度模型(SMM),有助于企业利用现有的安全框架达到他们自己定义的物联网安全成熟度目标级别。 本周 IIC 发布了两篇报告中的第一篇 — 《物联网安全成熟度模型:描述和预期用途》,该篇主要是针对较少技术的物联网利益相关者的高级概述。 根据 Ron Zahavi 的说法,《物联网安全成熟度模型:描述和预期用途》是为商人准备的,因为可以帮助他们了解安全所需要的东西,并帮助他们将其转化为自己业务所需的成熟度等级(所需的成熟度级别成为目标成熟度级别 支持包括传统安全技术的操作和管理,如身份和访问管理、数据保护、资产管理、物理管理等。强化则是关于漏洞和补丁管理的运营方面,以及事件响应和审计等。” ? 成熟度模型

    46010

    中国ICT 技术成熟度曲线安全观察:零信任、数据安全、云原生安全的兴起

    一、技术成熟度曲线简介 Gartner于近日发布了2020年的中国信息与通信技术(ICT)的成熟度曲线(Hype Cycle[1]) [2],笔者在此与大家分享一下读后感,特别是从安全方面的视角观察相关技术的发展 图1 GartnerICT 2020年技术成熟度曲线 与2019年的ICT技术成熟度曲线相比,2020年的技术成熟度曲线中云安全相关的技术有两个变化情况:第一,用容器即服务替换私有云,说明容器的流行度大大提高 零信任兴起 随着零信任的理念西风东渐,越来越多的国家机构和大型企业在考虑通过零信任重新构建新的业务访问模型和体系。 数据安全将成为新热点 随着数据安全法等相关的法律法规落地,数据安全也会成为一个重要的细分安全领域。Gartner将隐私单独列为一个技术点,也值得重视。 国外已经存在GDPR和CCPA等数据安全法规,其中最重要的保护内容就是个人数据和隐私。

    94820

    云原生应用的成熟度模型探讨

    云原生应用体系结构与为数据中心设计的传统分层应用程序非常不同。在本文中,我将讨论来自开放数据中心联盟(ODCA)的成熟度模型,用于评估应用程序的云本地性。 该文章提供了一些开发和运行云应用程序的原则,模式和实践,还包括这个云应用程序成熟度模型: 来自:http : //www.opendatacenteralliance.org/docs/architecting_cloud_aware_applications.pdf 你能安全地测试生产吗? 如果一个应用程序的一部分失败,其他部分是否会继续运行? 基于用户负载或其他因素,应用程序的某些部分是否可以自动放大和缩小? 你能否跨云提供商部署应用程序组件? →Level 1 如果您回答“是”,则从1到3的所有问题→Level 2 如果你回答所有问题的答案是“1”到7→Level 3 如果您回答“是”,则从1到10的所有问题→Level 4 概要 来自开放数据中心联盟的云应用程序成熟度模型提供了评估应用程序的原生性 请记住,该模型仅评估应用程序的成熟度。要获得成功,您还需要构建DevOps文化。也许我们也需要一个DevOps成熟度模型? 你如何看待你的应用程序映射到这个模型?很想听听你的想法和反馈!

    2.1K101

    中大型组织 DevOps 成熟度模型

    而传统的 DevOps 成熟度模型过于撕裂与分散,无法适用于大型组织。DevOps 厂商与云厂商的 DevOps 成熟度模型过于关注如何卖云基础设施,无助于企业进行高效的协作。 为此,我决定在 Ledge 的基础上,设计上开源的、面向大型组织的 DevOps 能力成熟度模型。它是基于我们所提炼的一系列研发效能模型,抽象而成的成熟度模型。 持续交付是指能够按需快速、安全且可持续地发布各种类型的更改。 在平台化上,我们关注于:测试管理,诸如于用例管理与设计、测试数据管理;质量安全,则是针对于代码、环境等进行自动化质量与安全相关的扫描。 环境支撑。环境支撑是指用于支撑体系所需要的基础设施与运维体系。 大型组织 DevOps 模型 考虑到这是一个成熟度模型,所以我们还需要定义成熟度的级别。通常来说,一个成熟度模型应该是从 1~5,又或者是 0~4 四个级别。

    55110

    工业互联网联盟(IIC)发布新型物联网安全成熟度模型(SMM)

    工业互联网联盟(IIC)基于其自身的安全框架和参考架构开发了一种新型物联网安全成熟度模型(SMM),有助于企业利用现有的安全框架达到他们自己定义的物联网安全成熟度目标级别。 本周 IIC 发布了两篇报告中的第一篇 — 《物联网安全成熟度模型:描述和预期用途》,该篇主要是针对较少技术的物联网利益相关者的高级概述。 根据 Ron Zahavi 的说法,《物联网安全成熟度模型:描述和预期用途》是为商人准备的,因为可以帮助他们了解安全所需要的东西,并帮助他们将其转化为自己业务所需的成熟度等级(所需的成熟度级别成为目标成熟度级别 支持包括传统安全技术的操作和管理,如身份和访问管理、数据保护、资产管理、物理管理等。强化则是关于漏洞和补丁管理的运营方面,以及事件响应和审计等。” ? 成熟度模型

    57710

    一文读懂数据管理能力成熟度模型DCMM

    DCMM是国家标准《GB/T36073-2018 数据管理能力成熟度评估模型》(Data management Capability Maturity Model)的英文简称。 DCMM将数据管理能力成熟度划分为五个等级,自低向高依次为初始级(1级)、受管理级(2级)、稳健级(3级)、量化管理级(4级)和优化级(5级)。 4、DCMM与其他数据管理体系有什么区别? ISO20000:服务对象:IT服务,服务内容:建立、实现、维护、改进服务管理体系 ISO27001:服务对象:企业和组织的信息安全,服务内容:建立、实施、维护信息安全管理体系 ISO27017:服务对象 :云服务提供商和云服务客户,服务内容:建立、实施、维护相关安全管理体系 ISO9000:服务对象:企业和组织的产品质量,服务内容:企业和组织的质量管理体系 CMMI:服务对象:软件开发企业,服务内容:企业软件开发管理能力体系 要通过数据管理成熟度的评估,真正发现问题、找到差距、提出改进方案和最佳路径,帮助企业自身实现数字化转型。

    59721

    扫码关注腾讯云开发者

    领取腾讯云代金券