中国-DSMM
框架图
dsmm架构
数据安全pa体系
技术工具
技术工具各阶段
1.DSMM评估方法及流程
dsmm评估流程
在实际应用中,应根据不同业务部门进行分组评估。首先,确定业务部门负责人,辅助评估过程的资源协调工作。然后,与业务部门负责人一同梳理基本的业务流程,结合PA(过程域),根据线上生产数据和线下离线数据两条线,确定各过程域(Process Area,简称PA)访谈部门和访谈对象,并根据评估工作的展开动态调整
Gartner-DSG
Gartner ID 465140
微软-DGPC
框架
DGPC框架可与现有的IT管理和控制框架(如COBIT)、ISO/IEC 27001/27002信息安全管理体系规范、支付卡行业数据安全标准(PCI DSS)等安全规范和标准协同工作。DGPC框架围绕人员、流程和技术三个核心能力领域构建。
人员领域
流程领域
技术领域
1.数据安全生命周期
2.四个技术领域
(1)数据的基础架构
(2)身份和访问控制
(3)信息保护
(4)审计和报告
3.数据隐私和保密原则
以下4条原则旨在帮助组织选择能够保护其机密数据的技术和行为,以指导风险管理和决策的过程
原则1:在整个信息生命周期中遵守策略。这包括承诺按照适用的法规和条例处理所有数据,保护隐私数据、尊重客户的选择并得到客户同意,允许个人在必要时审查和更正其信息
原则2:将数据滥用风险降至最低。信息管理系统应提供合理的管理、技术和物理保障,以确保数据的机密性、完整性和可用性
原则3:将数据丢失的影响降至最低。信息保护系统应提供合理的保护措施,如加密数据以确保数据遗失或被盗后的机密性。制订适当的数据泄露应对计划,并规划升级路径,对所有可能参与违规处理的员工进行培训
原则4:展示数据保护策略和措施的有效性。为确保问责制度的实施,组织应遵守隐私保护和保密原则,并通过适当的监督、审计和控制措施来加以验证。此外,组织应该有一个报告违规行为的报告制度和明确定义的流程
风险/差距分析矩阵模型
不同框架 特点
框架对比https://inews.gtimg.com/newsapp_bt/0/14891091437/1000
DSC框架的特点是,从技术的角度来剖析怎么实现数据安全管控,提出了梳理定义数据、分解分析数据、防御保护数据的三步骤框架
DCAP框架的特点是,它定义了一个完整的数据安全产品技术能力集所应该包含的六种能力,并且需要支持非结构化、半结构化和结构化数据、RDBMS、数据仓库、非结构化数据文件、半结构化大数据平台(如Hadoop)等
DAPMM强调数据安全方案不能是纯粹的产品和技术,而是一种结构化且可重复的方法,用于识别、保护数据,降低数据安全风险。这种方法需要协调人员、流程和技术。同时,DAPMM定义了相对应的数据安全能力成熟度模型,该模型为组织提供了实施落地的基础
DGPC框架与DAPMM有相似之处,主要围绕“人员、流程、技术”三个核心能力领域的具体控制要求展开,与现有安全框架体系或标准协调合作以实现治理目标。DGPC框架的特点是,以识别和管理与特定数据流相关的安全和隐私风险需要保护的信息,包括个人信息、知识产权、商业秘密和市场数据等
SMM则基于数据在组织业务场景中的生命周期,从组织建设、制度与流程、技术与工具、人员能力四个方面构建了数据安全过程的规范性、数据安全能力成熟度分级模型及评估方法。
