数据安全能力成熟度模型 (DSMM) 核心要点

1. 背景与驱动力

数据安全能力成熟度模型（DSMM）的诞生源于国家战略、法律法规和现实安全挑战的多重驱动。

1.1 国家战略层面

• 数据成为生产要素

  2020年4月，中共中央、国务院首次在官方文件中将"数据"明确列为与劳动力、土地、资本、技术并列的第五大生产要素。这标志着数据从单纯的"资源"上升到驱动经济发展的核心"要素"。

• 数字经济发展要求

  国家数字化进程经历了从"数字孪生"到"数字城市"再到"数字经济"的演进。数据要素化旨在通过数据共享、开放、交易流通、资源整合及跨境传输来释放其价值，这要求必须有健全的数据安全保障体系作为支撑。

• "十四五"规划指引

  明确要求在数据要素化的各个场景中，加强数据确权、数据安全和个人信息保护工作。

1.2 法律与合规层面

• 国际影响

  2018年欧盟《通用数据保护条例》（GDPR）的实施，在全球范围内提升了对数据保护的重视程度，对中国的数据安全立法产生了深远影响。

• 国内立法完善

  国内相继出台并实施了**《网络安全法》、《数据安全法》、《个人信息保护法》**（"三驾马车"），构成了数据安全与个人信息保护的顶层法律框架，为企业的数据处理活动划定了法律红线。

1.3 现实安全挑战

随着数字化转型的加速，数据安全威胁日益严峻，主要体现在：

• 数据泄露

• 系统漏洞与外部入侵

• 数据勒索软件攻击

在这一背景下，DSMM应运而生，它为组织如何系统性地建设和评估自身的数据安全能力提供了一套标准化的方法论和实践参考。

2. DSMM 核心框架解析

DSMM（Data Security Maturity Model）是一套评估和提升组织数据安全能力的框架。其标准文件为 GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》，于2019年8月30日发布，2020年3月1日起实施。

2.1 DSMM的"四梁八柱"：核心构成要素

DSMM的核心框架可以概括为四个关键数字：

a) 4个维度 (Dimensions)

DSMM从四个能力维度来评估组织在每个数据生命周期阶段的安全水平，这四个维度是数据安全能力的支柱：

1. 组织建设

   ：涉及治理架构、部门职责、岗位人员的设定与管理。

2. 制度流程

   ：指数据安全相关的政策、标准、规范和操作流程。

3. 技术工具

   ：用于实现数据安全控制的技术手段和产品系统。

4. 人员能力

   ：指组织内人员的数据安全意识、知识和技能水平。

b) 5个级别 (Maturity Levels)

DSMM将数据安全能力的成熟度划分为五个递进的级别，级别越高，代表能力越强、越系统化：

• L1 - 非正式执行级 (Informal Execution)

  ：安全工作是被动、零散的，缺乏统一管理。

• L2 - 计划跟踪级 (Planned & Tracked)

  ：开始有基本的管理制度和计划，但执行不稳定。

• L3 - 充分定义级 (Fully Defined)

  ：组织层面有标准化的、成文的安全制度和流程，并得到全面推行。

• L4 - 量化控制级 (Quantitatively Controlled)

  ：通过数据度量和量化分析来管理和控制安全过程，结果可预测。

• L5 - 持续优化级 (Continuously Optimizing)

  ：基于量化反馈和技术创新，主动、持续地改进数据安全能力。

c) 6个阶段 (Data Life Cycle Stages)

模型的核心是围绕数据的全生命周期来构建安全能力，共分为六个阶段：

1. 数据采集
2. 数据传输
3. 数据存储
4. 数据处理
5. 数据交换
6. 数据销毁

d) 30个过程域 (Process Areas, PA)

为了在上述维度和阶段上进行具体评估，DSMM定义了30个安全过程域。这些过程域是实现特定安全目标的最佳实践集合，分为两大类：通用安全过程 和全生命周期安全过程。

3. DSMM 30个过程域 (PA) 详解

这30个过程域被划分为8个过程域类别（C1-C8）。其中C1和C2为通用安全过程，C3至C8分别对应数据生命周期的六个阶段。

A. 通用安全过程 (General Security Processes)

C1：通用安全 (12个过程域中的前8个)

• PA01. 数据分类分级

  • 核心目标

    ：根据数据的重要性、敏感度和潜在影响，对数据进行分类和定级，以便实施差异化保护。

  • 实践要点

    ：制定明确的分类分级标准（如公开、内部、秘密、绝密）；建立和维护数据资产清单；对数据进行标记。

• PA02. 数据资产识别

  • 核心目标

    ：全面梳理和识别组织内部的数据资产，形成数据地图。

  • 实践要点

    ：发现数据存储位置（数据库、文件服务器、云端）；维护动态更新的数据资产目录；绘制数据流转图。

• PA03. 访问控制

  • 核心目标

    ：确保只有经过授权的主体（人或系统）才能访问其权限范围内的数据。

  • 实践要点

    ：实施基于角色的访问控制（RBAC）；遵循最小权限原则；管理身份验证和授权机制。

• PA04. 数据备份与恢复

  • 核心目标

    ：防止数据因意外或攻击而丢失，并确保在需要时能够及时、完整地恢复。

  • 实践要点

    ：制定备份策略（频率、保留期）；定期进行恢复演练；确保备份数据的安全存储。

• PA05. 数据加密

  • 核心目标

    ：利用密码学技术保护数据的机密性，使其在未经授权的情况下不可读。

  • 实践要点

    ：对静态数据（存储）和动态数据（传输）进行加密；建立安全的密钥管理生命周期。

• PA06. 数据脱敏

  • 核心目标

    ：在非生产环境（如开发、测试）中使用数据时，通过技术手段对敏感信息进行处理，以保护隐私。

  • 实践要点

    ：采用数据遮蔽、假名化、泛化等技术；根据数据级别和使用场景定义不同的脱敏规则。

• PA07. 日志管理

  • 核心目标

    ：记录与数据相关的操作活动，以便进行审计、监控和事件追溯。

  • 实践要点

    ：收集关键系统的操作日志和安全日志；保护日志的完整性，防止篡改；定期审查日志。

• PA08. 应急响应与处置

  • 核心目标

    ：建立应对数据安全事件的准备、检测、响应和恢复能力。

  • 实践要点

    ：制定应急响应预案；定期组织演练；对安全事件进行复盘和改进。

C2：组织过程 (12个过程域中的后4个)

• PA09. 组织与人员安全

  • 核心目标

    ：建立数据安全治理的组织架构，明确角色和职责，并提升全员安全意识。

  • 实践要点

    ：设立数据安全领导小组或岗位；对关键岗位人员进行背景审查；开展持续性的安全意识培训。

• PA10. 合规管理

  • 核心目标

    ：确保所有数据处理活动符合相关法律法规、行业标准和监管要求。

  • 实践要点

    ：识别并跟踪适用的法律法规；定期开展合规性评估和审计；管理隐私政策和用户同意。

• PA11. 供应商管理

  • 核心目标

    ：管理和控制因第三方供应商（如云服务商、外包开发商）处理数据而引入的安全风险。

  • 实践要点

    ：对供应商进行安全尽职调查；签订数据处理协议（DPA）；监控和审计供应商的安全实践。

• PA12. 监控与审计

  • 核心目标

    ：持续监控数据安全状态，并定期进行独立审计，以验证安全控制的有效性。

  • 实践要点

    ：部署安全信息和事件管理（SIEM）等监控工具；开展内部和外部安全审计；跟踪和关闭审计发现的问题。

B. 全生命周期安全过程 (Lifecycle Security Processes)

C3：数据采集安全 (3个过程域)

• PA13. 数据源真实性

  • 核心目标

    ：确保所采集数据的来源是可信、合法的，防止伪造或被篡改的数据进入系统。

  • 实践要点

    ：对数据提供方进行身份验证；使用数字签名等技术校验数据来源的完整性。

• PA14. 数据采集合规性

  • 核心目标

    ：确保数据采集活动遵循合法、正当、必要和诚信的原则。

  • 实践要点

    ：采集前获得数据主体的同意；明确告知采集目的和范围；不超范围收集数据。

• PA15. 敏感个人信息采集

  • 核心目标

    ：对敏感个人信息的采集采取更严格的保护措施。

  • 实践要点

    ：获取个人的单独同意（Explicit Consent）；采取加密等额外安全措施。

C4：数据传输安全 (3个过程域)

• PA16. 数据传输保密性

  • 核心目标

    ：防止数据在网络传输过程中被窃听。

  • 实践要点

    ：使用TLS/SSL等加密协议对传输通道进行加密；对敏感数据本身进行端到端加密。

• PA17. 数据传输完整性

  • 核心目标

    ：防止数据在传输过程中被篡改或损坏。

  • 实践要点

    ：使用哈希校验（如SHA-256）、消息认证码（MAC）等技术来验证数据完整性。

• PA18. 数据接口安全

  • 核心目标

    ：保护用于数据传输的API等接口免受攻击。

  • 实践要点

    ：对接口访问进行身份认证和授权；实施访问频率限制；对输入输出数据进行校验。

C5：数据存储安全 (3个过程域)

• PA19. 数据存储保密性

  • 核心目标

    ：保护存储的数据不被非授权访问。

  • 实践要点

    ：对存储在数据库、文件系统或对象存储中的敏感数据进行加密。

• PA20. 数据存储完整性

  • 核心目标

    ：确保存储的数据不会被意外或恶意篡改。

  • 实践要点

    ：使用数据校验和、数据库防篡改技术；实施严格的访问控制。

• PA21. 存储介质安全

  • 核心目标

    ：对存储数据的物理或虚拟介质（如硬盘、磁带、云存储）进行安全管理。

  • 实践要点

    ：对移动介质进行管控；确保数据中心物理安全；在云环境中配置安全的存储策略。

C6：数据处理安全 (3个过程域)

• PA22. 数据处理环境安全

  • 核心目标

    ：确保处理数据的计算环境（服务器、容器、虚拟机）是安全的。

  • 实践要点

    ：对服务器进行安全加固；隔离生产环境和非生产环境；定期进行漏洞扫描和修复。

• PA23. 数据处理访问控制

  • 核心目标

    ：在数据处理过程中（如分析、计算）精细化控制对数据的访问权限。

  • 实践要点

    ：确保只有必要的程序和人员能访问处理中的数据；记录和审计处理过程中的数据访问行为。

• PA24. 数据处理分析安全

  • 核心目标

    ：防止在数据分析和挖掘过程中泄露敏感信息或产生不合规的结果。

  • 实践要点

    ：在分析前对数据进行脱敏或匿名化处理；审查分析算法和模型，避免隐私泄露风险。

C7：数据交换安全 (3个过程域)

• PA25. 数据发布审核

  • 核心目标

    ：在向外部共享或公开发布数据前，进行严格的安全和合规审查。

  • 实践要点

    ：建立数据发布审批流程；审查待发布数据是否包含敏感信息；进行脱敏处理。

• PA26. 数据交换授权

  • 核心目标

    ：确保数据只被交换给经过授权的接收方，并明确交换的目的和范围。

  • 实践要点

    ：与数据接收方签订数据共享协议；通过安全的接口和身份验证机制进行数据交换。

• PA27. 数据可追溯

  • 核心目标

    ：能够追踪数据被交换给了谁、在何时、用于何种目的，以便在发生问题时进行溯源。

  • 实践要点

    ：为共享的数据添加水印或标签；记录详细的数据交换日志。

C8：数据销毁安全 (3个过程域)

• PA28. 存储介质销毁

  • 核心目标

    ：当存储介质（如硬盘、U盘）报废时，确保其中的数据被彻底销毁，无法恢复。

  • 实践要点

    ：采用物理销毁（如粉碎）、消磁或多次覆写等方法。

• PA29. 数据彻底删除

  • 核心目标

    ：确保从系统中删除的数据是不可恢复的。

  • 实践要点

    ：使用安全删除工具覆盖数据区域，而不仅仅是标记为"已删除"。

• PA30. 销毁证明

  • 核心目标

    ：为数据销毁活动提供可审计的证据。

  • 实践要点

    ：生成并保存数据销毁记录或证书，明确销毁时间、方式和执行人。

4. DSMM 实践要点与关注领域

4.1 核心理念转变：从静态防御到动态防御

DSMM推动了数据安全理念的根本性转变：

• 传统模式

  ：以静态数据为中心的防御，侧重于存储加密、边界防护等。

• DSMM模式

  ：以数据流动为中心 、覆盖全生命周期的动态防御。随着数据在不同场景中频繁应用和流动，保护数据的使用和流转过程变得至关重要。

4.2 实践关注点

DSMM的落地实践可以分为宏观的顶层设计和微观的具体执行。

a) 顶层设计 (Top-Level Design)

1. 制度规范

   • 建立符合国际/国家标准（如ISO 27001/27701系列）和法律法规要求的政策体系。

   • 制定覆盖身份鉴别、访问控制、密钥管理、安全审计、应急响应等具体操作的内部规程。

2. 组织架构

   • 设立明确的数据安全管理岗位（如数据安全官 DPO），并清晰界定其职责。

   • 明确各业务团队、开发、运维、法务、风控等部门在数据安全中的责任，形成协同治理结构。

b) 具体执行 (Execution Level)

1. 数据安全管控落地

   • 制定和执行具体的数据安全技术方案。

   • 确保安全控制措施覆盖数据全生命周期。

   • 评估并加固承载数据的底层系统、网络和应用的安全水平。

2. 协调机制

   ：

   • 建立跨部门的应急响应流程，确保在发生安全事件时能够快速、协同地处理。

   • 建立业务团队与安全团队之间顺畅的沟通渠道，在业务发展初期就融入安全设计（Security by Design）。

3. 绩效考评

   • 建立数据安全责任的评价和审计机制，量化评估安全工作的成效。

   • 将考评结果与绩效、奖惩挂钩，确保安全制度和要求能够真正落实。

知识点自测选择题

请根据以上笔记内容，选择每个问题的最佳答案。

1. 根据笔记，中国将"数据"正式确立为新型生产要素的主要意义是什么？

A. 意味着所有数据都必须免费公开。

B. 强调了数据必须被安全地存储起来，减少流动。

C. 提升了数据的战略地位，并对其安全流动和价值释放提出了更高要求。

D. 主要是为了与欧盟的GDPR进行对抗。

2. DSMM（数据安全能力成熟度模型）的核心理念是什么？

A. 专注于数据存储阶段的加密。

B. 建立一套以静态数据为中心的安全防御体系。

C. 强调以数据流动为中心，覆盖数据全生命周期的动态安全防护。

D. 主要目标是替代ISO 27001标准。

3. DSMM框架中的"四个维度"不包括以下哪一项？

A. 组织建设

B. 制度流程

C. 法律合规

D. 技术工具

4. 某公司已经为数据安全制定了标准化的制度文件，并在全公司范围内推广执行，要求所有相关部门遵从。根据DSMM的成熟度级别，该公司最可能处于哪个级别？

A. L1 - 非正式执行级

B. L2 - 计划跟踪级

C. L3 - 充分定义级

D. L4 - 量化控制级

5. 数据生命周期的六个阶段构成了DSMM的核心评估对象。以下哪个顺序正确描述了这六个阶段？

A. 采集 -> 存储 -> 传输 -> 处理 -> 交换 -> 销毁

B. 采集 -> 传输 -> 存储 -> 处理 -> 交换 -> 销毁

C. 存储 -> 传输 -> 采集 -> 处理 -> 销毁 -> 交换

D. 采集 -> 处理 -> 存储 -> 传输 -> 交换 -> 销毁

6. 在DSMM的顶层设计中，"组织架构"主要关注什么？

A. 购买和部署最新的防火墙和加密软件。

B. 编写应急响应预案和数据备份策略。

C. 明确数据安全相关的岗位、部门职责，并进行定岗定责。

D. 对员工进行年度数据安全意识培训。

7. 某公司在发生数据泄露事件后，其法务部、公关部、技术部和管理层能够迅速按照预案协同工作，共同应对危机。这体现了DSMM实践要点中的哪一项？

A. 制度规范

B. 绩效考评

C. 协调机制

D. 技术工具

8. DSMM将数据安全的过程域（PA）分为了哪两大类？

A. 内部安全过程域和外部安全过程域

B. 技术过程域和管理过程域

C. 通用安全过程域和全生命周期安全过程域

D. 个人数据过程域和企业数据过程域

9. 将数据安全工作表现与员工的绩效奖金挂钩，属于DSMM实践中的哪个环节？

A. 组织建设

B. 制度流程

C. 协调机制

D. 绩效考评

10. 为了在开发和测试环境中使用生产数据，同时保护用户隐私，最适合采用的DSMM过程域是哪个？

A. PA05. 数据加密

B. PA06. 数据脱敏

C. PA04. 数据备份与恢复

D. PA29. 数据彻底删除

11. 在与第三方合作伙伴进行数据共享时，为了确保数据流向可追踪，应重点关注哪个过程域的实践？

A. PA16. 数据传输保密性

B. PA25. 数据发布审核

C. PA27. 数据可追溯

D. PA10. 合规管理

12. 对报废的服务器硬盘进行物理粉碎，这是DSMM中哪个过程域的具体实践？

A. PA20. 数据存储完整性

B. PA21. 存储介质安全

C. PA28. 存储介质销毁

D. PA29. 数据彻底删除

13. 一家金融公司要求所有访问核心数据库的请求都必须经过多因素认证，并且严格限制每个角色只能查询其业务所需的最小数据字段。这主要体现了哪个通用安全过程域的原则？

A. PA01. 数据分类分级

B. PA03. 访问控制

C. PA07. 日志管理

D. PA12. 监控与审计

14. DSMM模型中，"持续优化级（L5）"与"量化控制级（L4）"最主要的区别是什么？

A. L5开始有书面制度，而L4没有。

B. L5关注事后响应，而L4关注事前预防。

C. L5在L4量化管理的基础上，强调主动发现和引入创新方法来持续改进安全能力。

D. L5主要依赖技术工具，而L4主要依赖人工管理。

15. 中国推动数据安全立法的"三驾马车"不包括以下哪部法律？

A. 《数据安全法》

B. 《网络安全法》

C. 《电子商务法》

D. 《个人信息保护法》