DSMM数据安全能力模型实现方法
1)设立组织
为了有效保障数据安全能力模型政策的落地实施,企业应该设置专职的数据安全团队。此外,还需要设立面向全组织的数据安全能力委员会,委员会需要有来自业务、数据、安全、法律等领域的不同角色参与,形成专业上的互补和完整的组织视角,统筹全局的数据安全管理政策,兼顾发展与安全,推进各部门落实数据安全各项政策。数据安全能力是个系统工程,服务于组织的大数据战略,需要得到组织高层管理者的重视,数据安全能力委员会的负责人应该是组织里最高管理层里分管安全或者数据的管理者。 同时,还需要内部各相关部门的紧密配合。
对于有多个业态的集团型组织,各业务的负责人应为该业态下数据安全第一责任人,与数据安全能力委员会、数据安全实体团队共同推动本业态下的数据安全工作。
2)盘点现状
数据安全能力管理的核心是数据,需要对组织内的海量数据资产以及与数据相关的部门、业务/产品、流程、数据风险管理进行盘点。
数据资产的盘点:重点梳理数据的种类、数据量、核心的数据内容、数据来源以及数据的安全分级分类情况和流转链路。 数据相关部门的盘点:与数据相关的部门往往是数据风险的高发部门,属于高敏感岗位,需要梳理全组织与数据相关的部门数量、部门内部各岗位的职责、工作流程、数据操作环境,重点关注操作风险高的环节。
数据相关业务/产品的盘点:与数据相关的业务主要是指以数据为核心生产要素的业务,这类业务高度依赖数据,是组织对外提供数据服务的业务,在产品研发、测试和对外服务的过程中都需要对数据进行梳理,需要梳理数据在业务/产品中的应用原理、交互的系统接口、相关的责任人,此过程同样重点关注高风险的环节。
同时,由于对外提供的是数据服务,提供的数据内容也需要进行合格性的盘点梳理。
数据相关流程的盘点:数据相关流程指数据的采集、存储、授权、内部使用、传输、对外披露、销毁等过程,这些环节构成了数据在组织内部的主要流程,需要梳理所有线上线下的流程。
数据相关风险管理盘点:梳理数据风险的识别、风险评估及判定、风险跟踪及改进情况,包括基础性的治理,例如:风险的日志数据、风险的定级机制、风险的响应机制。
3)运用DSMM进行评估
DSMM包含40个安全域,涵盖组织的数据全生命周期过程,每个安全域含有相应的评估点和评估标准,由数据安全实体团队针对评估点参照评估标准进行安全能力评估。
4)制定风险修复与短板提升计划
DSMM不但能够评估出数据安全能力,也能反映数据安全的风险,总体评估完成后,需要得到两部分的改进计划:一部分是风险修复计划,一部分是数据安全能力短板提升计划。
