首页 > 关于我们 > 新闻动态 > 深度解读

以“DSMM框架”之名 搞定行业资源数据安全风险评估

发布时间 2023-05-30

数据安全问题严重制约行业业务数字化转型进程,通过对数据开展分类分级,并将结果应用于行业业务数据全生命周期安全防护,可以有效保障数字安全,满足业务数字化转型的安全需要,对开展行业类业务大数据的数据安全、数据治理和合规项目具有重要意义。


本文重点介绍了如何快速着手启动基于DSMM框架的数据安全评估过程,为制定数据安全与治理“分类施策、分级管控”的策略与解决方案奠定坚实的基础。



安全风险:一点突破 全线泄露



行业业务资源大数据属于政务数据的范畴,当前数字政府建设的关键基础设施、集中化的政务云平台和大规模数据的管控、调度模式等,在经济和政治双重因素叠加的情况下,存在“一点突破,全线泄漏”的安全风险。


1、政务数据集中管理风险:政务云是数字政府建设的关键基础设施,集中化的政务云平台和大规模数据的管控与调度模式存在 “一点突破,全线泄漏的数据安全风险”。


2、政务数据共享和分发安全风险:政务数据开放、共享涉及监管机构、其他政务部门和第三方,数据共享的高频度、高利用、多场景等,导致数据安全手段落实难度大。


3、基于开源系统开发的政务应用系统、数据开发利用存在供应链安全隐患:政务系统平台开发大量采用开源工具,运维外包形态等,存在很高的安全隐患。


4、政务数据的跨境风险:高效数字政府需要政务数据共享,共享安全审查不严极易导致政务数据的泄露,甚至被境外组织、间谍机构获取,危害国家安全。


5、政务数据协同安全风险:高效协同的数字政府需要PC端、移动端等办公和业务场景协调,极易导致信息泄露。



安全合规:高度重视 严格要求



国家对政务数据安全高度重视,一系列法律、法规、政策文件和技术标准对政务数据安全提出严格要求。


1、建立数据分类分级保护制度,编制和重点管理国家核心数据,地区、部门以及相关行业、领域的重要数据目录;


2、建立数据安全风险评估、报告、信息共享、监测预警机制;


3、建立数据安全应急处置机制;


4、建立数据安全审查制度;


5、规范数据的收集和使用,加强个人隐私、个人信息、商业秘密、保密商务信息等数据保护等要求。



基于DSMM框架开展行业资源数据安全评估



DSMM框架强调数据全生命周期过程安全审计,紧密贴合行业资源大数据业务,符合现阶段实践“业/财”融合的数据安全需要,可以实现事前预防、事中控制、事后追溯,形成数据安全改进提升工作方案及实施计划,持续提升数据安全治理能力。


1、数据安全与信息安全评估相融合


从客户应用业务安全需求角度,兼顾数据安全与信息安全风险评估,充分融合《信息安全技术 数据安全能力成熟度模型》(GB/T 37988- 2019)、《 信息安全技术 信息安全风险评估方法》(GB/T 20984-2022)评估内容,落实法律法规义务,发现并处置风险。


2、基于业务场景角度选择数据安全风险评估的对象


基于DSMM框架的风险测评,对选择业务场景所涉及全生命周期相关的系统、平台有严格要求,必须考虑业务场景所涉及的数据处理生命周期,并建立数据处理生命周期与数据应用场景的关联矩阵,以满足DSMM等级认证对重要数据安全能力过程域(PA)数量与分值等要求。


评估过程


DSMM的架构由四大安全能力维度、七个安全过程维度、五个安全能力等级构成共计30个过程域;


四大安全能力维度:组织建设、制度流程、技术工具、人员能力。


七个安全过程维度:通用安全、数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全。


五个安全能力等级:1级(非正式执行)、2级(计划跟踪)、3级(充分定义)、4级(量化控制)、5级(持续优化)。


基于业务视角开展测评,对选择的业务应用现状、使用情况进行调研、分析,确定业务的关联关系、访问的关键路径、数据的流向及演变过程,并结合对基础安全管控措施的分析,找出主要业务所面临的管理、技术及运营风险。


基于业务场景化的改进性数据安全风险评估模型将安全事件发生的可能性、安全事件造成的损失、威胁和资产等风险要素进行细化分析计算,将通用模型中涉及的要素进一步细化,同时将安全措施的有效程度引入模型中,使模型更符合实际情况。改进的评估模型如图所示。



评估清单


数据安全风险评估分为清单管理数据访问、分析用户行为、审核安全状态三个关键阶段:


管理对数据的访问:主要处理业务资源数据中敏感数据的权限,确定敏感数据的分布,重点评估“拥有管理员权限的用户数量、权限更改、对安全组/配置更改”的安全风险。


分析用户行为:重点审核对数据的修改、登录失败等行为等关键风险指标。


审计安全状态:重点审核非活动/禁用用户、陈旧数据、密码永不过期的用户等账户存在安全风险。


评估报告


基于业务场景化的行业资源大数据安全风险评估报告的核心内容包括:


1、潜在破坏数据安全的可能性和影响;


2、特定场景和特定数据的风险发生的可能性;


3、目前现有的数据安全防护措施的有效性和差距性,进而为被评估自组织的数据安全系统建设、支撑环境建设以及数据安全整体规划做决策依据。


另外,数据安全风险评估也涵盖三个层级的风险报告。


1、根据被评估组织或行业的性质和重要程度,形成行业层面的数据安全战略风险报告。


2、根据业务组织的使命和形式,形成被评估组织层面的数据安全风险报告。


3、依据数据本身的特点或场景,形成面向系统级别、数据级别或者供应链级别等重要方面的风险评估报告。


数据作为数字经济关键要素,实施数据战略、保障数据安全逐步成为全球共同的战略选择。启明星辰数据安全【数据绿洲】具有数据安全与治理咨询、建设、服务等能力,将助力行业资源大数据监管部门解决普遍存在的数据安全建设缺乏体系参考和整体规划的问题,以场景化安全智慧赋能数字经济、数字社会、数字政府发展,引领我国数据安全产业更好地向下扎根、向上生长。

上一篇 下一篇