社會價值
在數據安全生態圈中,評估諮詢機構、認證機構和產品解決方案等服務機構,都會根據DSMM各維度標準,評估組織的數據安全能力級別,並通過專業的產品和服務,對需要提升數據安全能力的組織進行專項或綜合性服務,集聚專業的力量提高整個產業生態圈的數據安全水平 。
數據安全成熟度模型社會價值模型簡介
數據安全成熟度模型 (DSMM)是阿里根據多年數據安全實踐經驗提煉而成,圍繞數據採集、存儲、傳輸、處理、交換、銷毀的六個數據生命周期,在數據安全組織建設、制度流程、技術工具、人員能力四大維度,不斷提升自身數據安全能力積累沉澱而成。
數據生命周期
數據生命周期是基於大數據環境下數據在組織業務中的流轉情況,定義了數據的六個生命周期階段,各階段如下:
1) 數據採集
2) 數據存儲
3) 數據處理
4) 數據傳輸
5) 數據交換
6) 數據銷毀
數據生命周期安全能力維度
通過對組織在各項安全過程中所需具備安全能力的細化,可供組織評估每項安全過程的實現能力。安全能力從組織建設、人員能力、制度流程及技術工具四個維度展開。
1) 組織建設:數據安全組織的架構建立、職責分配和溝通協作。
2) 人員能力:執行數據安全工作的人員的意識及專業能力。
3) 制度流程:組織關鍵數據安全領域的制度規範和流程落地建設。
4) 技術工具:通過技術手段和產品工具固化安全要求或自動化實現安全工作。
能力成熟度級別
組織的數據安全成熟度模型具有5個成熟度等級:
1) 等級1:非正式執行
組織的數據安全工作來自於被動的需求或隨機開展的,並未主動的開展數據安全工作。
2) 等級2:計畫跟蹤
組織已開始評估數據安全風險並主動開展數據安全的工作,但工作缺乏規範有序的開展。
3) 等級3:充分定義
組織已基於數據安全風險開展規範的數據安全工作,工作開展的效果可進行衡量但尚未達到量化的狀態。
4) 等級4:量化控制
組織的數據安全工作更好的與業務的發展保持一致,且工作開展的效果可得到持續的測量和控制。
5) 等級5:持續最佳化
組織的數據安全工作是一個持續可調整的過程,能夠致力於提升業務的價值。
標準化工作成果
基於模型的內容,阿里巴巴通過在各標準化組織的標準制定 ,促進模型在國際國內 的套用(以下DSMM標準化工作成果信息更新至2017年9月)。
國家標準
2017年7月,“數據安全能力成熟度模型”國家標準在全國信息安全標準化 技術委員會成功立項,大數據安全特別工作組同意標準草案進入徵求意見稿階段。
ITU-T國際標準
2016年3月在ITU-TSecurityreferencearchitectureforlifecyclemanagementofe-commercebusinessdata標準立項成功,正處於工作組文稿狀態,預計於2017年下半年發布。
行業標準
2016年3月,在CCSA《面向網際網路的數據安全能力框架》標準立項成功,處於報批稿階段。
國際ISO標準
2017年4月,在ISO/IECJTC1/SC27WG4成功立項Bigdatasecuritycapabilitymaturitymodel的國際標準研究項目。
產業實踐
落地實踐覆蓋領域
截至2017年9月,阿里巴巴已完成在內部業務、生態圈、行業領域20+組織機構的落地推廣,實現在各行各業試點落地,幫助企業提升自身數據安全保護能力。當前的落地實踐已覆蓋了以下行業領域 :
1) 製造業:乳製品製造、電器製造
2) 軟體行業:稅務軟體、地圖軟體
3) 金融行業:網際網路金融、證券
4) 文娛行業:體育、音樂、視頻領域
5) 零售行業:電器銷售、百貨零售
6) 物流行業:物流公司
7) 電力行業:電力公司
8) 服務行業:酒店
9) 網際網路+新型企業:線上電商平台、線上教育平台、美容行銷平台、ISV、彩票市場供貨商及服務商
產業實踐組織
截至2017年9月,已有如下DSMM產業實踐組織:內蒙古伊利實業集團股份有限公司、廣州供電局有限公司、廣發證券股份有限公司、百世物流科技(中國)有限公司、小站教育、上海拾羽網路科技有限公司、微貸(杭州)金融信息服務有限公司、大連龍圖信息技術股份有限公司、江蘇曲速教育科技有限公司
合作夥伴(第一批)
德勤華永會計師事務所(特殊普通合夥)、安永(中國)企業諮詢有限公司、杭州閃捷信息科技有限公司、立信會計師事務所(特殊普通合夥)、杭州安恆信息技術有限公司、北京國聯天成信息技術有限公司、蘇州眾里數碼科技有限公司、蘇州工業園區三網科技有限公司、黑龍江安信與誠科技開發有限公司、貴州亨達集團信息安全技術有限公司、寧波壹安信息科技有限公司、杭州孝道科技有限公司、蘇州臻和信息科技有限公司、全知科技(杭州)有限責任公司、北京安華金和科技有限公司、廈門冰眼信息科技有限公司、畢馬威企業諮詢(中國)有限公司
合作夥伴合影