行业互联网|《数据安全能力成熟度模型》实践指南:网络可用性管理
2019年8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施 。
DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段 。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量 。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设 。
文章图片
数据安全能力成熟度模型
在此基础上,DSMM将上述6个生命周期进一步细分,划分出30个过程域 。这30个过程域分别分布在数据生命周期的6个阶段,部分过程域贯穿于整个数据生命周期 。
文章图片
数据生命后期安全过程域
随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落地标准和衡量指标,对于中国企业而言,以DSMM为数据安全治理思路方案选型,可以更好的实现数据安全治理的制度合规 。
"本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为本系列第六篇文章,本文将介绍数据传输安全阶段的网络可用性管理过程域(PA06) 。
01定义
网络可用性管理,DSMM官方描述定义为通过网络基础设施及网络层数据防泄漏设备的备份建设,实现网络的高可用性,从而保证数据传输过程的稳定性 。
DSMM标准在充分定义级对网络可用性管理要求如下:
组织建设
组织应设立负责网络可用性管理的人员或团队 。
制度流程
应制定组织的网络可用性管理指标,包括可用性的概率数值、故障时间/频率/统计业务单元等;基于可用性管理指标,建立网络服务配置方案和宕机替代方案等 。
1) 应对关键的网络传输链路、网络设备节点实行冗余建设;
2) 应部署相关设备对网络可用性及数据泄漏风险进行防范,如负载均衡、防入侵攻击、数据防泄漏检测与防护等设备 。
负责该项工作的人员应具有网络安全管理的能力,了解网络安全中对可用性的安全需求,能够根据不同业务对网络性能需求制定有效的可用性安全防护方案 。
02实践指南
组织建设
组织机构在条件允许的情况下应该设立一个网络可用性管理部门以及招募相关的人员负责管理公司的网络可用性,为公司制定整体的网络可用性管理方案和标准,包括制定可用性的标准数值、故障指标、故障处理方案等,对公司的网络节点、传输链路进行考察,并部署相应设备保障网络可用性、防止出现数据泄露等风险,同时还应根据公司不同的业务环境所提出的各种网络性能需求制定有效可靠的安全防护方案等 。
人员能力
针对网络可用性管理部门的相关人员,必须具备良好的数据安全风险意识,熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求,在进行网络可用性管理的时候主要依据《网络安全法》中的相关要求,对公司的网络可用性做好管理与保护,除此之外,还需要相关人员具备良好的网络架构基础,熟悉公司内部的网络结构和环境,熟悉常用的网络安全防护设备,熟悉常见的网络威胁手段,能够在公司内部的网络环境中根据不同部门或业务对网络环境的不同要求,制定高效可靠的网络安全防护方案,网络可用性管理方案等,并推动相关要求确实有效的落地执行 。
针对业务团队的技术团队人员,必须具备足够的网络设备搭建经验,网络设备维护管理和网络可用性维护管理等经验,了解业务团队的所有业务环境,具备一定的应急响应能力,在面对突发性网络瘫痪的情况时,应及时进行应急处置,并上报网路可用性管理部门,进行溯源排查等 。
落地执行性确认
针对网络可用性管理人员能力的实际落地执行性确认,可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现 。
制度流程
1)网络可用性管理指标
可用性指系统或组件在指定的条件和时间内,维持其规定功能的能力,塔通常以百分比标识并能综合反映设备的可靠性和可维修性 。影响网络可用性的主要因素有网络的设计结构、设备的可靠性、传输介质和设备运行环境因素 。网络可用性常用到以下指标:
①平均无故障时间(Mean Time Between Failures,MTBF),即整个网络的各组件(链路、节点)不间断无故障连续运行的平均时间 。MTBF越大,表明越不容易出故障,可用性自然高 。MTBF反映的是网络的可靠性(reliability);
②平均修复时间(Mean Time To Repair,MTTR),即从故障发生到故障消除所需要的平均时间 。MTTR越小,表示故障时间越短,可用性也就越高 。出现故障后,要经过检查、识别、定位、修复和核查过程,还可能出现技术延迟和后勤延迟,MTTR不仅与设备的种类和所在位置有关,与是否使用网络管理系统及该系统的响应速度和告警能力有关,还与维修队伍的整体素质(包括体质、管理、责任心、维修支援能力等因素)有关;
- 途虎养车云途引擎欲解决行业难题 数字化转型后汽配市场竞争或将更加激烈
- 业绩|经济回暖增速转正 第三季银行业绩“有空间”
- 行业|私募股权基金募资寒冬:行业大洗牌 小机构加快出清
- 证基风云|行业速递|科创板首单CDR来了!券商对投资者权限要求各异
- 互联网全球最有价值100个科技品牌排行榜:华为、微信与QQ位列前十
- 互联网看直播!懂税务!高新区税务局开启税务学堂直播新模式
- 互联网中国双创大赛浙江赛区收官 嘉兴企业摘得初创组桂冠
- 互联网|真“香”!遇见5G的工业互联网还能这么玩
- 互联网无锡加速推动电子商务创新发展
- 京东@京东联合奥维云网发布壁挂炉行业报告:线上市场成为发展新引擎