一、摘要
数据管理与数据安全都是数字化时代的重要议题,前者关注数据质量和开发利用,后者关注安全保障与合规。成熟度模型,可以用来评价组织当前的能力,并且指导后续的规划目标。
人们购买产品或服务时,希望服务产品提供商有经验,不希望自己做第一个吃螃蟹的。生活经验告诉我们,熟手做事情,快速且质量有保障,避免返工。
为了描述IT领域的成熟度,诞生了很多成熟度模型,用以评价和衡量一个组织或系统在某个特定领域表现出来的能力。成熟度是由组织或系统在自我完善方面的表现来判断。
提到成熟度模型,让大家最先想到得是软件能力成熟度模型CMM,它有个升级版,CMMI(Capability Maturity Model Integration)[1],评价和指导组织在软件开发各种能力评估框架。CMMI认证分为CMMI1级、CMMI2级、CMMI3级、CMMI4级、CMMI5级,一共是5个等级。
图:CMMI级别
CMMI在世界范围内得到广泛认可,有非常多的组织参与认证评价。绿盟科技集团获得CMMI第五级的认证,公司在软件开发能力上得到最高级别的认可。
软件能力成熟度模型如此成功,以至于受到广泛模仿,用以打造衡量特定领域的成熟度标尺。比如项目管理和人力资源,都有相关的成熟度模型。
数据管理领域和数据安全领域,也有类似的成熟度模型。我国已发布相关国家标准-数据管理能力成熟度评估模型和数据安全能力成熟度模型,分别对应着数据管理和数据安全的成熟度。
二、数据管理成熟度
数据管理能力成熟度评估模型标准,由全国信息技术标准化技术委员会(SAC/TC 28)提出,《GB/T 36073-2018 数据管理能力成熟度评估模型》[2],2018年10月1日开始实施。
数据管理能力成熟度评估模型(简称DCMM,Data management Capability Maturity assessment Model),针对组织在数据管理、应用能力的评估框架,通过数据能力成熟度级别,组织可以清楚的定义数据当前所处的发展阶段以及未来发展方向。
2.1 DCMM主要内容
DCMM,定义了数据能力成熟度评价的8大能力域:数据战略、数据治理、数据架构、数据标准、数据质量、数据安全、数据应用、数据生命周期管理。每个能力域包括若干数据管理领域的能力项,共29个。
图:DCMM能力域
数据战略,确定数据管理和数据应用的目标和实施路线图,通过数据治理推动数据战略的执行,数据架构、 数据标准、数据质量、数据安全、数据应用是具体的数据管理职能活动,数据生命周期管理通过项目流程管理的视角确保五大举措落实。
数据管理能力成熟度评价,和上面CMMI类似,划分为5个等级,各个等级的描述也类似:初始级、受管理级、稳健级、 量化管理级和优化级。
2.2 国际上数据管理成熟度模型
数据管理领域,国际上也有相关的成熟度规范。数据管理成熟度模型DMM(Data Management Maturity)[3],数据管理成熟度评估模型DCAM(The Data Management Capability Assessment Model )[4],是比较知名的两个。
DMM和CCMI的发布机构一样,都是卡耐基梅隆大学旗下机构研究所,在2014年 8月正式发布。 DMM包含6个过程领域: 数据管理战略,数据质量,数据操作,平台和架构,数据治理,支持流程,划分为五个层次:已执行、可管理、可定义、可度量和优化管理级。
图:DMM能力域
DCAM模型由企业数据管理协会(EDM Council)开发。当前是DCAM2.0版本,模型包含了7个职能域:,数据管理战略与业务案例,数据管理流程与资金,数据架构,技术架构,数据质量管理,数据治理,数据操作,划分六个层级:未开始、概念性、开发、已定义、实现和优化。
图:DCAM能力域
三、数据安全成熟度
数据安全能力成熟度模型标准,由全国信息安全标准化技术委员会 (SAC/ TC260 ) 提出并发布,《GB/T 37988-2019数据管理能力成熟度评估模型》[5],2020年3月1日开始实施。
数据安全能力成熟度模型,简称DSMM(Data Security Capability Maturity Model),以组织的数据为中心,围绕数据的采集、传输、存储、处理、交换、销毁全生命周期,从组织建设、制度流程、技术工具、人员能力四个能力维度,按照1-5级成熟度,评判组织的数据安全能力。
图:DSMM架构图
数据安全过程包含数据生存周期安全过程域(数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全)和通用安全过程域。特定的数据所经历的生存周期由实际的业务所决定,可为完整的6个过程或是其中的几个过程。 每个数据生存周期安全过程均由若干过程域PA,只有每个过程域PA的目标实现了,才表示该安全过程得以控制。
图:DSMM数据安全过程域
四、数据管理和数据安全在成熟度上的关联
数据安全法提到,数据安全和数据开发利用,二者并重,互相促进。“坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。数据管理,是对数据质量和数据开发利用方面的能力要求,数据安全,则是对前者的保障。
数据管理成熟度和数据安全成熟度之间,既存在关联,也存在交叉。
第一,数据安全包含在数据管理大的框架之内。数据安全风险和合规,是数据管理或者数据治理的一个关键部分。尤其是近年来,全球的数据安全法律法规都呈现出爆发的趋势。数据管理和数据开发利用过程中,安全是基础底座。数据安全在DCMM中,是一个单独的领域。
第二,从责任人角度看,二者存在关联。不管是数据管理还是数据安全,都应该有业务部门介入。这是因为,数据依存于业务系统,数据的质量和安全保障,离不开业务人员的评估和指导。
第三,数据管理和数据安全,分类分级都是一个基本的管理要求。数据管理注重分类,不同类别的数据,在处理方式和存储上有不同;数据安全注重分级,根据数据级别提供不同的安全防护措施。
第四,数据管理和数据安全,共享数据生命周期。数据生命周期,由一系列处理活动所组成。事实上,DSMM标准就是围绕这数据安全生命周期所展开。DSMM指出,数据生存周期安全过程,包括:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全6个阶段。处在征求意见阶段的《网络数据安全管理条例》指出,数据处理活动,是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动[6]。这两个周期所指的处理活动表述上不尽相同,不过对同一个组织而言,数据管理和数据安全所面对的是同一个生命周期。
五、量化管理体系和成熟度模型价值
5.1 数据安全量化管理度量指标
DSMM成熟度模型第4级,量化控制,是比较高的成熟度等级,处在这一等级的组织,在数据安全管理上已经达到比较高的水准。参考DSMM标准和《数据安全法》,可以构建一个量化管理的度量指标。
| 数据安全量化管理度量指标 | |
| 指标类型 | 度量指标 |
| 数据资产梳理 | 重要业务系统梳理完成率 |
| 数据资产清查完成率 | |
| 分类分级 | 数据分类分级完成率 |
| 风险评估 | 年度数据安全风险评估次数 |
| 年度评估报告上报次数 | |
| 漏洞管理 | 重要应用系统服务器漏洞修补率 |
| 重要系统补丁发布到平均更新时间 | |
| 打补丁需要停机的服务器比例 | |
| 数据安全保护 | 网络数据泄漏检测覆盖率 |
| 邮件数据泄漏检测覆盖率 | |
| 办公终端数据泄漏检测覆盖率 | |
| 数据库访问审计覆盖率 | |
| 敏感数据静态脱敏覆盖率 | |
| 应用系统敏感数据动态脱敏覆盖率 | |
| 敏感文档加密覆盖率 | |
| 数据处理全生命周期审计追溯覆盖率 | |
| 事件处置 | 数据安全事件平均处置时间MTTR |
| 数据安全相关“重要/严重”级别事件处置百分比 | |
| 数据安全事件月平均数量 | |
| 安全事件和未打补丁资产的关联百分比 | |
| 授权与访问 | 数据库超级权限账号数目 |
| 普通用户MFA访问应用系统百分比 | |
| 管理员通过堡垒机访问服务器百分比 | |
| 人力资源及 安全教育 |
数据安全职位到岗率 |
| 数据安全负责人知识和技能考核通过率 | |
| 安全教育培训覆盖率 | |
| 安全教育考试覆盖率 | |
| 安全考试达标率 | |
表:数据安全量化管理度量指标
5.2成熟度模型的价值
数据管理和数据安全的成熟度模型,目前已经形成国家标准。组织参考标准,可以提升和完善数据相关的各方面能力。
- 成熟度模型为组织提供了方法论指导。数据重要性不言而喻,标准文件,集合了行业专家的集体智慧,多个组织进行实践,是数据管理和数据安全活动的重要参考。
- 成熟度模型让组织获得当前能力等级,能够帮助组织识别差距,提出改进建议。组织可以自评估或者请专业机构评估,识别现状,找出自身与最佳实践的差距,为后续的发展提供目标和关键举措。
- 推进企业数据安全合规。参考数据安全成熟度模型,提升通用的网络安全与数据安全能力水平,提升数据处理过程的各项能力,让组织更能满足网络和数据的合规要求。
- 提升企业治理水平。以数据来驱动组织业务发展,离不开高质量的数据利用。数据管理对数据质量的要求,需要业务人员充分介入,满足业务洞察对数据的各种需求,根据数据支撑的结果,快速决策,势必能够提高公司整体的治理能力。
我国各行业数字化转型的节奏加快,数据扮演的角色越来越重要。提升数据质量,数据开发利用与保障数据安全并重。数据管理和数据安全成熟度模型,作为参考标准,是组织在数字化转型中的最佳实践。
参考资料:
[1] 软件能力成熟度模型集成, https://baike.baidu.com/item/CMMI/449025
[2]数据管理能力成熟度评估模型DCMM,http://www.dcmm.org.cn/
[3]DMM, https://stage.cmmiinstitute.com/dmm
[4]DCAM, https://edmcouncil.org/page/aboutdcamreview
[5]数据安全能力成熟度模型DSMM,https://www.dsmm.com.cn/
[6]数据处理活动,http://www.cac.gov.cn/2021-11/14/c_1638501991577898.htm
版权声明
本站“技术博客”所有内容的版权持有者为绿盟科技集团股份有限公司(“绿盟科技”)。作为分享技术资讯的平台,绿盟科技期待与广大用户互动交流,并欢迎在标明出处(绿盟科技-技术博客)及网址的情形下,全文转发。
上述情形之外的任何使用形式,均需提前向绿盟科技(010-68438880-5462)申请版权授权。如擅自使用,绿盟科技保留追责权利。同时,如因擅自使用博客内容引发法律纠纷,由使用者自行承担全部法律责任,与绿盟科技无关。