一种基于DSMM的数据安全能力评分和评级方法与流程

一种基于dsmm的数据安全能力评分和评级方法
技术领域
1.本发明涉及数据安全领域，尤其涉及一种基于dsmm的数据安全能力评分和评级方法。


背景技术：

2.近年来，随着信息技术和人类生产生活交汇融合，通过网络收集、存储、传输、处理和产生的各种数据迅猛增长。海量数据聚集并成为重要的市场经济要素，对经济发展、社会治理、人民生活都产生了重大而深刻的影响。2016年11月颁布的《网络安全法》建立了网络数据安全相关制度，2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》，自2021年9月1日起施行。由此可见，数据安全已经成为网络安全乃至国家安全法制体系中的核心内容之一。
3.《信息安全技术数据安全能力成熟度模型》(gb/t37988-2019)(以下简称“dsmm")是由阿里巴巴联合中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心等业内权威机构联合编写的国家标准，于2019年8月30日发布，2020年3月1日正式实施。dsmm国家标准以组织的数据为中心，围绕数据的采集、传输、存储、处理、交换、销毁全生命周期，从组织建设、制度流程、技术工具、人员能力4个能力维度，按照1-5级成熟度，评判组织的数据安全能力。
4.现阶段国内的数据安全成熟度评估还处于起步阶段，可参考的数值标准并不多，实际评估的案例也较为少见。在相关评级方法上，多采用传统的木桶原理等，并无规范的方法规定。这些方法在应用过程中，发现有漏项、缺项的可能，对被评估方的数据安全能力判断不准确，进而使评价结果不能完全满足标准的要求，不能完全覆盖至每个标准条款；且现有技术还需经过选择，流程比较混乱，评估项目繁杂不易梳理得出结论，评估效率比较低。


技术实现要素：

5.本发明旨在现有技术存在对被评估方的数据安全能力判断不准确、评估未能完全覆盖至每个标准条款、评估项目繁杂不易梳理得出结论的问题。
6.为了解决上述技术问题，本发明采取的技术方案为：
7.一种基于dsmm的数据安全能力评分和评级方法，包括以下步骤：
8.s1.确定模型适用范围：分析被评估方需要保护的数据资产及业务范围，确定模型适用或评估的范围；
9.s2.选取过程域(pa)：针对被评估方的数据相关业务现状，选取适当的数据安全过程域(pa)；根据被评估方的业务流程，判断被评估方是否有相关的业务，是否适用相关过程域(pa)；
10.s3.执行基本实践(bp)：依据所确定的评估范围和目标，按照gb/t37988-2019国家标准中对应等级的数据安全基本实践(bp)要求，对每一项基本实践(bp)进行是否符合的判定；
11.s4.过程域(pa)安全评估：基于选择的过程域(pa)范畴，针对每一项过程域(pa)的基本实践(bp)情况进行现状调研和分析，根据每一项过程域(pa)的基本实践(bp)符合率，对每一项过程域(pa)进行判定；
12.s5.确定组织机构整体等级：结合所有基本实践(bp)和过程域(pa)的评估情况，确定被评估方整体的数据安全能力成熟度等级。
13.进一步的，步骤s4在对过程域(pa)进行安全评估时，分别在每一项过程域(pa)中，统计各基本实践(bp)符合情况的个数，当某一过程域(pa)中的基本实践(bp)合格率达到60％以上时，判定对应过程域(pa)合格，否则判定为不合格。
14.进一步的，步骤s5确定被评估方整体的数据安全能力成熟度等级需全部过程域(pa)均合格。
15.进一步的，步骤s1还包括确定能力成熟度级别目标：分析组织机构的数据安全能力现状，根据被评估方的相关需求、被评估方的技术手段现状、被评估方的相关制度流程等，评估被评估方的数据安全管理能力，确定能力成熟度等级建设目标。
16.进一步的，当执行步骤s5后确定的数据安全能力成熟度等级未达到确定的能力成熟度等级建设目标时，对不符合项目从多个关键能力提出持续建设和改进的建议，在被评估方改进和提升后，执行步骤s1-s5重新进行评分评级。
17.进一步的，所述关键能力包括组织建设、制度流程、技术工具和人员能力，所述组织建设、制度流程、技术工具和人员能力的符合率均需大于60％。
18.进一步的，步骤s5根据总基本实践(bp)符合数目、单个过程域(pa)中基本实践(bp)的符合数目、四个所述关键能力中基本实践(bp)的符合数目，来确定确定被评估方整体的数据安全能力成熟度等级，当总基本实践(bp)符合数目、单个过程域(pa)中基本实践(bp)的符合数目、四个所述关键能力中基本实践(bp)的符合数目均符合时，判定被评估方符合二级或三级dsmm标准，否则判定为不符合二级或三级dsmm标准。
19.与现有技术相比，本发明的有益效果为：通过本发明方法对被评估方进行基于dsmm的数据安全能力评估，评分和定级要求更为严格和准确，可以更加准确、快速的判断被评估方的数据安全管理能力，对dsmm标准解读更细致，便于评估方理解；为数据安全评估提供了可供行业参考的实践流程，填补了国内在相关数据安全评估业务流程中的空白，提高了数据安全评估的效率。
附图说明
20.图1是本发明的数据安全能力成熟度等级评估流程图；
21.图2是本发明的实践操作流程图；
22.图3是本发明的标准比对流程图；
23.图4是本发明的评估数值统计判断标准图；
24.图5是本发明实施例一中被评估方的基本实践符合率图；
25.图6是本发明实施例一中被评估方的各过程域符合率图；
26.图7是本发明实施例一中被评估方的各能力维度符合率图；
27.附图中：
28.pa：过程域(process area)，是实现同一安全目标的相关数据安全基本实践的集
合，如数据分类分级；每个过程域有一个或多个基本实践，如“元数据管理”这一过程域，包含建立元数据管理规范、建立元数据访问控制策略、建立元数据技术工具等基本实践)；
29.bp：基本实践(base practice)，是实现某一安全模板的数据安全相关活动，如建议数据资产清单，对数据资产进行分类分级管理等。
具体实施方式
30.下面结合附图对本发明的具体实施方式作进一步说明。在此需要说明的是，对于这些实施方式的说明用于帮助理解本发明，但并不构成对本发明的限定。此外，下面所描述的本发明各个实施方式中所涉及的技术特征只要彼此之间未构成冲突就可以相互组合。
31.参照图1至4，本发明的一种基于dsmm的数据安全能力评分和评级方法，包括以下步骤：
32.s1.确定模型适用范围：分析被评估方需要保护的数据资产及业务范围，确定模型适用或评估的范围。
33.确定能力成熟度级别目标：分析组织机构的数据安全能力现状，根据被评估方的相关需求、被评估方的技术手段现状、被评估方的相关制度流程等，评估被评估方的数据安全管理能力，确定能力成熟度等级建设目标。
34.s2.选取过程域pa：针对被评估方的数据相关业务现状，选取适当的数据安全过程域pa；根据被评估方的业务流程，判断被评估方是否有相关的业务，是否适用相关过程域pa。
35.s3.执行基本实践bp：依据所确定的评估范围和目标，按照gb/t 37988-2019国家标准中对应等级的数据安全基本实践bp要求，对每一项基本实践bp进行是否符合的判定。
36.s4.过程域pa安全评估：基于选择的过程域pa范畴，针对每一项过程域pa的基本实践bp情况进行现状调研和分析，根据每一项过程域pa的基本实践(bp)符合率，对每一项过程域pa进行判定。具体在对过程域pa进行安全评估时，分别在每一项过程域pa中，统计各基本实践bp符合情况的个数，当某一过程域pa中的基本实践bp合格率达到60％以上时，判定对应过程域pa合格，否则判定为不合格。
37.s5.确定组织机构整体等级：结合所有基本实践bp和过程域pa的评估情况，确定被评估方整体的数据安全能力成熟度等级。当确定的数据安全能力成熟度等级未达到确定的能力成熟度等级建设目标时，对不符合项目从多个关键能力提出持续建设和改进的建议，在被评估方改进和提升后，执行步骤s1-s5重新进行评分评级。
38.其中，关键能力包括组织建设、制度流程、技术工具和人员能力，并且组织建设、制度流程、技术工具和人员能力的符合率均需大于60％。
39.具体的，根据总基本实践bp符合数目、单个过程域pa中基本实践bp的符合数目、四个所述关键能力中基本实践bp的符合数目，来确定确定被评估方整体的数据安全能力成熟度等级，当总基本实践bp符合数目、单个过程域pa中基本实践bp的符合数目、四个所述关键能力中基本实践bp的符合数目均符合时，判定被评估方符合二级或三级dsmm标准，否则判定为不符合二级或三级dsmm标准。即全部过程域pa均合格，方可判定符合二级或三级dsmm标准，具体判定为二级还是三级dsmm，根据符合率的实际情况，结合dsmm国家标准的要求来进行判定。数据安全能力成熟杜评分要素和方法见下表：
40.表1数据安全能力成熟度评分表
[0041][0042]
根据上述方法评估时，符合情况以1、0.5、0来记录，其中1-符合，0.5-基本符合,0-不符合。
[0043]
本发明方法围绕数据采集、传输、存储、处理、交换、销毁6个数据全生命周期，从组织建设、制度流程、技术工具、人员能力四个维度去评估企业的数据安全能力，根据评估的结果确定被评估方的数据安全能力等级，评分和定级要求更为严格和准确，可以更加准确、快速的判断被评估方的数据安全管理能力，对dsmm标准解读更细致，便于评估方理解；为数据安全评估提供了可供行业参考的实践流程，填补了国内在相关数据安全评估业务流程中的空白，提高了数据安全评估的效率；且被评估方还可参考评估方提出的建议进而提高数据安全实践能力，减轻数据安全管理的压力。
[0044]
实施例一：
[0045]
本实施例的被评估方为某企业，委托评估dsmm3级，对该企业进行dsmm数据安全能力评分和评级的具体评估过程如下：
[0046]
参照图2，第一步，与该企业进行接触：
[0047]
a1.确定目标、范围、评估关键点和风险，通过分析该企业需要保护的数据资产及业务范围，确定评估的范围为：
[0048]
1)组织单元：数据与网络安全部、技术中心、保障服务中心、人才服务中心等部门。
[0049]
2)信息系统：官方网站、某app、统一身份认证系统、统一数据管理平台。
[0050]
3)业务数据：用户个人基本信息、个人财产信息、个人上网记录、网络身份标识信息等结构化数据及日常办公中产生的记录性文件或文档，包括管理制度、项目资料及某app、招标采购平台系统中涉及的图片等非结构化数据。
[0051]
4)管理制度：跨域多维云平台相关的管理规范、软件开发管理、运维管理相关的规范等。
[0052]
5)技术产品：云防火墙、堡垒机、敏感数据保护sddp、大数据计算服务等。
[0053]
a2.确定能力成熟度级别目标：分析组织机构的数据安全能力现状，根据被评估方的相关需求、被评估方的技术手段现状、被评估方的相关制度流程等，评估被评估方的数据安全管理能力，确定能力成熟度等级建设目标。
[0054]
a3.确立评估方案。
[0055]
第二步，准备相关文件，包括访谈记录表、人员签到表和企业提供的文件等。具体步骤如下：
[0056]
a1.人员访谈：通过安全专家、云计算工程师、系统架构师、云平台运维岗、人事管理岗、综合管理岗共六类人员了解有关信息，获取相关证据，并记录在访谈记录表上。
[0057]
a2.文档审核：与数据安全相关的文档材料(如跨域多维云平台相关的管理规范、软件开发管理、运维管理相关的规范等)，评估小组检查相关的文档材料是否已涵盖完整数据生存周期的pa和控制项。
[0058]
a3.配置检查：根据该企业提供的技术材料，登录或抓取代码，查看官网、app、云盾等系统和工具平台，检查配置。
[0059]
a4.旁站式验证：通过在现场实地观察人员行为、技术设施和环境状况判断人员的安全意识、业务操作流程与管理制度的一致性等。
[0060]
第三步，评估的实施：
[0061]
c1.选取过程域pa：
[0062]
针对该企业的数据相关业务现状，选取的数据安全过程域pa包括以下30个：
[0063]
pa01数据分类分级；
[0064]
pa02数据采集安全管理；
[0065]
pa03数据源鉴别即记录；
[0066]
pa04数据质量管理；
[0067]
pa05数据传输加密；
[0068]
pa06网络可用性管理；
[0069]
pa07存储媒体安全；
[0070]
pa08逻辑存储安全；
[0071]
pa09数据备份和恢复；
[0072]
pa10数据脱敏；
[0073]
pa11数据分析安全；
[0074]
pa12数据正当使用；
[0075]
pa13数据处理环境安全；
[0076]
pa14数据导入导出安全；
[0077]
pa15数据共享安全；
[0078]
pa16数据发布安全；
[0079]
pa17数据接口安全；
[0080]
pa18数据销毁处置；
[0081]
pa19存储媒体销毁处置；
[0082]
pa20数据安全策略规划；
[0083]
pa21组织和人员；
[0084]
pa22合规管理；
[0085]
pa23数据资产管理；
[0086]
pa24数据供应链安全；
[0087]
pa25元数据管理；
[0088]
pa26终端数据安全；
[0089]
pa27监控与审计；
[0090]
pa28鉴别与访问控制；
[0091]
pa29需求分析；
[0092]
pa30安全事件应急。
[0093]
该企业的业务适用上述选取的30个过程域pa。
[0094]
c2.确定每个过程域pa的基本时间bp，执行基本实践bp：
[0095]
依据签署所确定的评估范围和目标，按照gb/t 37988-2019国家标准中dsmm级的数据安全基本实践bp要求，对每一项基本实践bp是否符合进行逐一对比，并进行判定，得出结论。该企业的前述30个过程域pa共涉及259项基本实践bp，其中符合dsmm3级要求的基本实践bp达231项，基本符合3级要求的基本实践为6项，不符合要求的基本实践为22项，基本实践符合3级的整体占比情况如图5所示。
[0096]
c3.过程域pa安全评估：
[0097]
基于选择的过程域pa范畴，以及前述对所有基本实践bp的逐一对比判定，针对每一项过程域pa的基本实践bp情况进行现状调研和分析，根据每一项过程域pa的基本实践bp符合率，对每一项过程域pa进行判定。
[0098]
以数据采集安全过程域为例，其包括pa01数据分类分级、pa02数据采集安全管理、pa03数据源鉴别即记录、pa04数据质量管理这4个过程域pa，具体判定情况见下表：
[0099]
表2数据采集安全过程域评估情况明细表
[0100]
[0101][0102]
通过上表可知，pa01数据分类分级包括7个bp，符合数为7个，符合率为100％。pa02数据采集安全管理包括10个bp，符合数为10个，符合率为100％。pa03数据源鉴别即记录包括5个bp，符合数为4个，符合率为80％。pa04数据质量管理包括6个bp，符合数为5个，符合率为83.33％。
[0103]
图6是该企业进行dsmm3级评估的各过程域pa的符合率，其中符合率达80％以上的有29个，符合率在80％以下的有1个。
[0104]
此外，该企业的组织建设、制度流程、技术工具和人员能力这四个关键能力维度的符合率见图7，其中组织建设的符合率达100％，制度流程的符合率为93.6％，技术工具的符合率为84.2％，人员能力的符合率为73.0％，符合率均在60％以上。
[0105]
c4.根据上述符合率判定情况对该企业整体的数据安全能力成熟度等级进行判定，判定结论为该企业符合数据安全成熟度3级标准。
[0106]
以上结合附图对本发明的实施方式作了详细说明，但本发明不限于所描述的实施方式。对于本领域的技术人员而言，在不脱离本发明原理和精神的情况下，对这些实施方式进行多种变化、修改、替换和变型，仍落入本发明的保护范围内。