有幸参加了集团的DSMM第四期的培训,这次培训也的确对我的安全观产生了一些影响和改变。因此予以纪录写下该篇文章。
数据安全能力成熟度模型
数据安全能力成熟度模型简称DSMM。在此之前谈及数据安全和数据防泄漏,我的主要观点基本是明确数据流向,权限分级,异常监控这三个方面。 但是从DSMM测评师的角度来看,则需要关注到整个数据安全生命周期。下图就是比较知名的DSMM架构图:
从图中可以很清楚的看到,一共从三个方面:能力成熟度,能力维度和过程维度去定义该模型。(学习DSMM的过程还应该学习到个人信息安全保护法以及网络安全法, 当然你不要嘲笑我说这是扯淡的,或者居高临下的说没卵用)。 这三个维度分别代表了数据安全过程中:
- 组织的能力——企业或者公司有没有能力或有没有去做数据安全这件事情;
- 人员的能力——负责制定策略,实施策略的人员是否具有对应的能力;
其中二级和三级的显要区别就是是否有效的体系化的从组织层面进行确保数据安全。
传统的SDL关注软件本身,从设计到原型,从交付到维护的过程中存在的潜在安全问题并进行解决。但是DSMM则关注数据链路中从数据的采集,传输,存储,处理,交换,销毁整个过程。以及其中的通用安全域更是从各方面囊括了安全治理的方向。显然,通常来看,数据的生命周期是要比软件的生命周期更加的长久。同时,根据数据链路(包含了从网络层到应用层到主机层到存储层)去考虑问题更加的全面,而根据传统的思路考虑则是更多的根据组织架构各司其职。
数据安全构建能力
数据安全的构建一定要从高层开始,由高层制定相关的策略,自上而下的由专岗专人进行实施,包括运营能力,技术能力,合规能力,管理能力等等。
数据安全测评能力
测评师针对数据安全评测的能力和数据安全的构建能力则又是另一种情况,数据安全构建的过程中数据专岗人员进行设计并落地。但是测评往往是第三方机构去做。针对测评师则不仅仅要了解各个数据安全过程域在对应企业的设计还要了解如何沟通,如何进行沟通过程,并尽量保持客观公正。
其他
其实无论是哪个行业都会存在概念炒作,比如AR/VR,后来是AI,区块链。 当炒作起来的时候,这些概念毫无疑问的会渗透进你所在的行业。我不确定数据安全的概念是不是随着GDPR和DSMM在国内将要火一把,但是我将会将安全的攻防治理的视野放在数据安全生命周期上。