致力于數據領域的研究與實踐，不斷提升數據認知能力，為大家分享數據思維、數據知識、數據實踐的成長經驗。

本文介紹國標《GB/T 數據安全能力成熟度模型》

DSCM簡介

DSCM主要內容

DSCM應用

一、DSCM簡介

隨著大數據技術的發展，組織在業務發展、企業運營等關鍵環節利用大數據技術對業務運營優化以挖掘更多的數據價值。大量的組織參與到大數據產業中，成為數據資源、數據計算平臺、數據服務和應用的提供者等角色，組織在利用大數據技術開展新的業務運營模式下的轉型變革，同時，數據安全管理也帶來了挑戰：

1.價值

隨著大數據技術的發展，組織在業務發展、企業運營等關鍵環節利用大數據技術對業務運營優化以挖掘更多的數據價值。大量的組織參與到大數據產業中，成為數據資源、數據計算平臺、數據服務和應用的提供者等角色，組織在利用大數據技術開展新的業務運營模式下的轉型變革，同時，數據安全管理也帶來了挑戰：

　　環境層面，包括在經濟環境、公民常識、技術發展和政策法規幾個方面。經濟環境反映在大數據交易、大數據服務等；公民常識反映在個人隱私保護、數據確權等；技術發展反映在云計算、大數據、物聯網、移動互聯網等;政策法規方面反映國家安全、個人隱私保護、數據跨境等。

外延層面，數據在不同組織之間的流通和加工，以及相關的產業實踐和標準化建設方面。

核心層面，數據作為組織的重要資產，面臨著傳統數據安全相關風險和大數據環境下的數據安全風險。以數據為中心的組織業務范圍內的生命周期管理，體現出數據安全需求、數據安全保障方面應具備的數據安全能力。

　　2.標準建設

數據安全能力成熟度模型標準作為企業數據資產管理在數據安全能力成熟度方面的反映，重點考慮數據生命周期安全下的數據安全能力成熟度建設。在標準建設中考慮核心標準、配套標準、衍生標準、行業應用四個方面：

核心標準，國標《大數據安全能力成熟度模型》和ISO標準《Big data Security capability maturity model》；

配套標準，國標《大數據安全能力成熟度測評指南》和國標《大數據安全能力成熟度提升指南》；

　　衍生標準，ITU-T Security reference architecture for lifecycle management of e-commerce business data 和行業標準《面向互聯網的數據安全能力框架》；

行業應用，數據安全能力成熟度模型結合行業特點開展細化應用，如：《電子商務行業數據安全能力成熟度提升指南》、《金融行業數據安全能力成熟度提升指南》、《物流行業數據安全能力成熟度提升指南》、《獨立軟件提供商數據安全能力成熟度提升指南》等。

二、DSCM主要內容

　　1.DSCM模型架構

DSCM成熟度模型借鑒CMM思想，以CMM的通用實踐衡量成熟度等級，以《信息安全技術 大數據服務安全能力要求》中相關安全要求為基礎，指導組織持續提升數據安全能力，覆蓋數據生命周期(數據采集、數據存儲、數據傳輸、數據處理、數據交換、數據銷毀)過程，明確各階段數據安全能力及成熟度，獲得組織整體數據安全能力。

數據生命周期安全，圍繞數據生命周期，提煉大數據環境下，以數據為中心，針對數據生命周期各階段的相關數據安全過程域體系；

　　數據安全能力維度，明確組織在各數據安全域所需具備的能力維度，包括：制度流程、人員能力、組織建設和技術工具四個關鍵維度；

能力成熟度等級，基于CMM的分級標準，細化組織機構在各數據安全過程域中的5個級別的能力成熟度分級要求。

　　2.數據生命周期

基于大數據環境下數據在組織業務中的流轉情況，定義了數據生命周期的6個階段，具體定義如下：

數據采集，指新的數據產生或現有數據內容發生顯著改變或更新的階段。對于組織而言，數據采集既包含組織內系統中生成的數據也包括組織外采集的數據。

　　數據存儲，指非動態數據以任何數據格式進行物理存儲的階段。

　　數據處理，指組織在內部針對動態數據進行的一系列活動的組合。

　　數據傳輸，指數據在組織內從一個實體通過網絡傳輸到另一個實體的過程。

　　數據交換，指數據經由組織內部或外部及個人交互過程中提供數據的階段。

　　數據銷毀，指通過對數據及數據存儲介質相應操作過程，使數據徹底丟棄且無法通過任何手段恢復的過程。

（注：組織特定的數據所經歷的生命周期由實際業務場景決定，并非所有數據都經歷完整的六個階段）

　　3.數據安全過程域

數據安全過程域覆蓋數據生命周期六個階段，包括數據生命周期各階段通用安全過程域和生命周期各階段下的安全過程域。

　　4.數據安全能力維度

通過對組織在各項安全過程中所需具備安全能力的細化，提供組織評估每項安全過程的實現能力。重點考慮組織建設、制度流程、技術工具和人員能力四個維度。

　　組織建設，數據安全組織機構的建立、職責分配和溝通協作；

　　制度流程，組織架構關鍵數據安全領域的制度規范和流程落地建設；

　　技術工具，通過技術手段和產品工具固化安全要求或自動化實現安全工作；

　　人員能力，執行數據安全工作的人員的意識及專業能力。

　　5.能力成熟度等級

組織的數據安全成熟度劃分為5個成熟度等級，具體如下：

　　等級1：非正式執行，組織數據安全工作來自被動的需求或隨機開展的工作，并未主動的開展數據安全工作；

　　等級2：計劃跟蹤，組織開始評估數據安全風險并主動開展數據安全工作，但缺乏有序的管理規范；

　　等級3：充分定義，組織已基于數據安全風險開展規范性工作，工作開展的效果可進行衡量但缺乏量化分析；

　　等級4：量化控制，組織的數據安全工作與業務發展保持一致，且可以獲得持續的測量和控制；

　　等級5：持續優化，組織的數據安全工作已成為持續可控的過程，能夠致力于業務價值的提升。

三、DSCM 應用

　　1.評定方法

組織的數據安全能力成熟度等級取決于各項數據安全過程域的能力成熟度等級。評定方法采用“木桶效益”，即：組織的整體數據安全能力成熟度取決于各項數據安全過程域的能力成熟度級別中的最低等級。如：當所有數據安全過程域的能力成熟度都達到2級以上時，組織的數據安全能力成熟度等級方可為2級。

2.應用方法

組織在開展數據安全能力成熟度評估時，可根據組織的業務規模、業務對象、業務數據的依賴性及組織單元等方面的差異，對數據安全能力成熟度模型“因地制宜”。選擇適合自身業務實際情況的長短期目標，開展相應數據安全能力等級方面的建設和實施工作。參考步驟如下：

四、DSCM 快速評估模型

　　1.DSCM快速評估模型介紹

本模型基于DSCM 數據安全能力成熟度的核心域及過程域主要內容框架設計；

通過選定不同過程域能力成熟度等級歸屬狀態，快速獲得組織的數據安全管理能力成熟度初步現狀；

組織可以根據本模型框架進行裁剪和擴展，形成本企業特定環境下定制化數據安全能力成熟度快速自評估模型。

　　2.獲得評估結果(示例)

本文來源于微信公眾號“CDO首席數據官”，轉載請聯系原作者。