本文探讨了如何衡量一个组织的数据安全保护能力,并提出了数据安全能力成熟度模型(DSMM)作为评估工具。DSMM包含40个安全域,涵盖了组织的数据全生命周期过程。在实践过程中,企业需要关注高层重视度不足、业务部门配合意愿度低、内部系统繁多、政策落地难、业务快速发展、数据安全风险处理能力不足等挑战。数据安全成熟度模型(DSMM)的适用范围广泛,包括金融、政府、运营商、互联网企业等行业。
)级别[1]。随着企业业务发展和扩大,应用环境的数据越来越庞大,多种多样、复杂多变。面临的数据安全问题和威胁越来越突出和严峻,不仅有来自外界的攻击,也有内部管理或错误配置等引发的数据窃取或敏感信息泄露。
数据被认为是推动企业增长和商业创新引擎的燃料。数据无疑被组织认定且拥有的资产之一,但是由于其海量数据的增加,复杂度随之增加,管理和控制的难度越来越大。
数据资产管理(DAM,Data Asset Management)是指规划、控制和提供数据及信息资产的一组业务职能,包括开发、执行和监督有关数据的计划、政策、方案、项目、流程、方法和程序,从而控制、保护、交付和提高数据资产的价值。数据资产管理需要充分融合业务、技术和管理,以确保数据资产保值增值。《数据资产管理实践白皮书》
前言:笔者所在公司有幸作为首批十家试点单位之一,受邀参加国家标准《DSMM 数据安全能力成熟度模型》(报批稿)(以下简称 DSMM)的试点自评估项目,并作为试点企业代表参加了信安标委召开的试点工作总结会;下面分享下我们对 DSMM 标准的一些理解和试点体会。
在与冠状病毒疫情的斗争中,云计算以多种方式被企业采用以确保业务弹性。云采用如今面临一个转折点,如果以数字为依据的话,将会有更大的发展。但是云采用也带来了一些问题。
企业信息化建设是随着企业战略、业务形态、预算等多个方面不断迭代及变化的,所以在建设过程中难免出现阶段鸿沟,跨阶段整合难的现象,当企业以数据为中心的战略考量时,就需要通过数据治理方法对以往问题纠偏,对未来形态建设。本文通过理清数据治理与数据安全治理关系,寄希望帮助读者对两者有所清晰的认识。
《工作的乐趣》一书的作者布鲁斯·戴斯利曾表示:“我们的工作正在经历前所未有的大变革,而这场变革刚刚开始。”
导读:在企业数据治理的战术层面,有一套完整的数据治理实施方法论,包括理现状与定目标、能力成熟度评估、路线图规划、保障体系建设、技术体系建设、策略执行与监控、绩效考核以及长效运营。
根据国务院国资委印发的《关于加快推进国有企业数字化转型工作的通知》要求,明确指出了数据治理是国企数字化转型的必经之路,数据治理被推向了“风口浪尖”。数字化转型,是当今时代企业的机遇,也是挑战。企业亟需一套符合中国国情,符合中国企业文化,并且能够指导企业开展数字化“基础设施”建设的参考框架,而DCMM(数据管理能力成熟度评估模型)或许就是一个合适的参考框架。
许多具有传统思维定势的网络安全专业人员认为,安全架构只不过是具有安全策略、控制、工具和监视。实际上,所有安全专业人员都必须了解业务目标,并尝试通过实施适当的控制来支持这些目标。任何企业中的企业安全架构,都必须基于该企业的可用风险来定义。
近年来,工信部组织中国电子信息行业联合会积极推进DCMM在各行业的贯标应用,截至发文累计完成300余家企业贯标评估,覆盖通信、能源、健康、制造、互联网等各个行业,DCMM的专业性和权威性也得到了业界的广泛认可。
关于数据师的目标,这里就先从"目标"的概念入手,强化其内涵的认知。为什么这样做呢?说下笔者的理解,"目标"作为连接数据师战略和数据师日常行为活动的中间环节,其关键性不言而喻!一方面对接数据师战略,保证其价值、愿景、使命的一致性,另一方面则指导数据师的日常行为准则,使其不偏离轨道。
《DAMA数据管理知识体系指南》对企业的数据管理成熟度定义了6个层级,分别为:0级-无能力、1级-初始或临时级、2级-可重复级、3级-已定义级、4级-已管理级、5级-优化级,级别越高数据管理越成熟。对于前期缺少数据管理经验的企业,在无数据专家或数据顾问公司支撑的情况下,容易导致以下的问题:
最近在搞DSMM,问了很多人,也没有具体的、系统的、完整的落地实施方案,也都是在摸石头过河,所以根据自己的理解简单总结下吧。如果哪位朋友在这方面做了一些工作或者对这个感兴趣的,可以一起交流下。
历经多年发展,我国云原生技术生态已趋于完善、行业用户接纳度急速提升、资本市场热潮涌动,可以预见我国云原生产业即将进入高景气周期。在用户侧,全面转型云原生已是大势所趋,但云原生技术架构的重塑和应用模式的变革引入了新的安全风险,镜像漏洞、容器逃逸以及微服务细粒度拆分带来的服务交互安全等问题正威胁着企业的云原生平台和应用,云原生安全建设成为企业云原生平台建设和应用云原生化改造进程中的必备项。 2022年6月,腾讯云参评由中国信通院组织的首批云原生安全成熟度评估,顺利完成测试。 腾讯云聚焦云原生安全研究,打造安全
近日,中国信息通信研究院发布了2023下半年度“可信数安”评估评测结果,腾讯云参与并通过了数据分类分级工具功能、性能、解决方案能力成熟度等级三项评测,成为国内首批全满贯通过该三项评测的企业,并获得“卓越级”的最高评级。
Gartner于2022年首次发布《2022年中国安全技术成熟度曲线》,该曲线指出,随着国内数字化转型的推进,尤其是云计算、大数据、人工智能、物联网和电子商务的发展,企业机构数字资产保护已成为安全和风险管理领导者的关键任务。 国内法规日趋严格,安全的重要性更甚以往。这篇报告是全新的中国安全创新领域技术成熟度曲线。中国安全技术与市场,在技术成熟度、产品、供应商等方面与国际市场存在差异,因此本文针对国内特点筛选了一批创新安全技术和服务(见图一)。 (图一:2022年中国安全技术成熟度曲线) 中国的机密计算
中台没有严格的规范,所以对于许多组织来说,很难有标准的管理和监控机制,但尽管没有硬性规定,组织还是可以从约定边界开始,划分模块以及通过建立一些指标来管理每个模块。我们认为数据中台的成熟度评估应该从文中的七个维度入手。
5 月 26 日,由中国信息通信研究院(以下简称“中国信通院”)主办的 2021 年“云原生产业大会”在北京召开。作为中国云原生领域的“风向标”,大会正式发布了云原生成熟度标准体系,并举办了“云原生开源白皮书“启动仪式。同时,腾讯太极机器学习平台、腾讯云微服务平台 TSF 与腾讯云 CODING DevOps 分别荣获“云原生应用优秀案例”以及“云原生技术创新案例”两项大奖,腾讯蓝盾平台 BK-CI 与 TARS 在“2021 年开源领域新增评估”中也同时荣获“可信开源社区”和“可信开源项目”双荣誉,这意味着腾讯云在云原生领域的探索再进一步。
近年来,C端消费在线化渗透持续提升,全渠道消费成为常态,品牌商流量争夺愈发激烈。通过建设CDP(客户数据管理平台)实现对全渠道用户数据管理,从而实现精准获客、精细化用户运营,几乎成为业内的共识。
数字化升级是企业在数字经济时代的必然选择,关系到企业能否抓住数字中国的政策红利、技术红利和数据要素红利,全面提高企业的全要素生产率和核心竞争力,从而做强做优做大主营业务,并找到可持续发展的第二增长曲线。然而由于受到所处行业特点、成本、数据安全、人才等多重约束条件的限制,企业特别是中小企业面临的数字化升级挑战比较严峻,数字化效益也较难评价。
企业安全建设是一个老生常谈的问题,由于每个人的工作经验和心得体会的不同,因此看法和实践通常也不一样。
7月23日,Gartner发布《Hype Cycle for Security Operations, 2021》(2021安全运营技术成熟度曲线),人们逐渐把目光转移到安全运营技术上。
近年来,全球掀起个人信息与隐私的立法热潮。欧盟2018实施GDPR,美国2020年实施CCPA,两部法规均对企业处理用户的数据提出更严、更具体的约束和要求;最近十月份,我国对外公布《个人信息保护法(草案)》,它全面和具体地规定了企业保护个人信息安全的各项义务,同时指出违反法规最高可面临5000万或一年度营业额5%的巨额罚款。
▲扫描图中二维码或点击阅读原文▲ LiveVideoStackCon 2023上海正在招募讲师,扫码或阅读原文了解信息 上周五,与海蜂法务、海蜂坤行的联合创始人王莹交流了GPT在法律行业的机会。首先行业基本认为大模型加行业小模型的方式可行,但要在法律行业落地需要解决好数据安全和隐私问题。第二,在大模型成熟之前,法律行业就在探索自动化的提供法律服务的可能,比如法务咨询机器人等。直到大模型成熟后,行业开始加速探索。第三,GPT在法律行业的落地需要解决信用和成本问题。知名律所和知名律师更容易取得客户的信任,相比之
在前两年,隐私计算这个细分领域可谓数据安全行业的明星选手,得到很多的关注,并被赋予很大的期待。但是,经过这两年的发展,从数据猿了解到的情况来看,隐私计算领域似乎遇到了一些瓶颈,跟当初的预期存在不小的差距。
前段时间整理了DSMM的相关内容,分成了数据安全能力成熟度模型总结与交流、数据采集安全两部分(点击阅读原文查看)。
导读 目前,国内外有多个标准化组织正在开展大数据和大数据安全相关标准化工作,国际上主要有国际标准化组织/国际电工委员会下的ISO/IEC JTC1 WG9(大数据工作组)ISO/IEC JTC1 SC27(信息安全技术分委员会)、国际电信联盟电信标准化部门(ITU-T)、美国国家标准与技术研究院(NIST)等;国内正在开展大数据和大数据安全相关标准化工作的标准化组织,主要有全国信息技术标准化委员会(以下简称“全国信标委”,委员会编号为TC28)和全国信安标委(TC260)以及国家网络安全各个行业主管部门的监
可能很多人还不了解DCMM是什么,DCMM是国家标准《数据管理能力成熟度评估模型GB/T36073-2018》(Data management Capability Maturity Model)的英文简称,是我国在数据管理领域首个正式发布的国家标准,旨在帮助企业利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。
大数据经过多年发展,在不同的业务场景下得到深入应用,在企业提升经营目标、促进经营决策,以及通过大数据应用促进经济发展、优化民生工程、解决生活服务便捷等场景起到了重要作用。特别是十九届四中全会史无前例的将“数据”作为新型生产要素参与收益分配,一时间,各指导部门及高校、研究及咨询机构、行业企业纷纷开始研究和实践数据有效利用的数字化转型探索。通过数据的有效利用,实现数字化转型,加快数字化发展,成为整个社会共识。 数据治理作为基础性工作和第一步,受到高度重视。数据的确权、数据质量、数据跨境流通、数据开放与共享、数据
随着企业组织自然生长,业务规模不断扩大,信息化建设和网络安全性工作的复杂性越来越高,安全部门工作范围涉及更广,安全保障必须及时匹配以支撑业务的发展。
2019年8月30日,《信息安全技术数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。
导读 5月26日,在由中国信通院主办的“云原生产业大会”上,腾讯云荣获“云原生优秀案例及技术创新案例”两项大奖,腾讯云在云原生领域的探索再进一步! 喜报 5月26日,由中国信息通信研究院(以下简称“中国信通院”)主办的2021年“云原生产业大会”在北京召开。作为中国云原生领域的“风向标”,大会正式发布了云原生成熟度标准体系,并举办了“云原生开源白皮书“启动仪式。同时,腾讯太极机器学习平台、腾讯云微服务平台TSF与腾讯云CODING DevOps分别荣获“云原生应用优秀案例”以及“云原生技术创新
回首2023年,我们见证了数据智能领域的一场重要变革:数据智能的三大核心要素——数据、算法、和算力,如今已升级演化为大数据、大模型和大计算的全新范式。
15天的攻防演练落幕,红蓝双方经历一场大考。8月18日,第八期FreeBuf甲方社群直播组织了「攻防复盘,星空夜话」,邀请红蓝方知名专家交流攻防演练实战经验。 本期直播由公安部第三研究所樊苑担任主持人,蓝方代表某企业安全架构师李宗晖、某国际自动化厂商网络安全服务团队负责人剑思庭和红方代表斗象科技安服专家张贵卿、黄炜榆,从规则演变、0day利用到能力沉淀等五个角度探讨交流攻防经验。FreeBuf在此摘录对谈精华以飨读者。 主持人:今年攻防演练规则比较重视信息系统权限控制评分,尤其重视数据安全和个人隐私数据,
Gartner于近日发布了2020年的中国信息与通信技术(ICT)的成熟度曲线(Hype Cycle[1]) [2],笔者在此与大家分享一下读后感,特别是从安全方面的视角观察相关技术的发展。
今年在数据安全领域发生了许多大事:6月10日《数据安全法》正式获得通过,并将于2021年9月1日正式施行;网络安全审查办公室先后对“滴滴出行”“运满满”“货车帮”“BOSS直聘”启动网络安全审查;国家网信办针对多款App违法违规收集使用个人信息先后进行通报等。
当你在建立一个企业、一个团队或任何类型的系统时,你需要一些方法来了解你做得有多好。
前言: 声明:本文为仅代表笔者个人观点。笔者在文中阐述国家标准,但不会对打分方法进行举例。 此前,关于IT相关的成熟度模型,国际上几套标准:COBIT5、Gartner I&O ITScore、CMMI。其中笔者参加过COBIT5的培训并通过了考试,而Gartner的I&O ITScore成熟度分级也研究过。 每种标准,都有各自的特点。 Gartner的I&O ITScore成熟度分级面向于基础架构和运维层面。它是用来帮助IT的管理者从四个维度评估他们的IT成熟度:人员、流程、技术、商业管理。模型细致
数据治理能力成熟度反映了企业在数据治理方面所具备的条件和水平。这个就和现在非常流行的DevOps能力成熟度很像,都是通过一系列方法、关键指标和工具来评价企业数据管理的现状,帮助企业进行基准评测,找到优势和差距,指出方向,提供实施建议,以利用数据资产提高业务的绩效。
数据库,作为企业重要IT基础设施之一,在数字化中扮演着重要的角色。其是否运行平稳、是否处于最佳状态、是否可方便的扩展等,进而是否能满足业务现状及未来发展,这些对于企业至关重要。要达到上述目标,取决于两个方面:数据库产品自身能力、数据库服务能力。可以说“产品+服务”,决定了最终的结果如何。但在很长一段时间里,对于前者(产品)有很多手段去了解、评估;但对于后者(服务)却少有有效的衡量方法。在过去的三、四十年里,传统数据库市场主要是以国外大型商业数据库为主,其服务能力经过多年积累已相对成熟、完善,并构建起一整套标准及相应的配套服务团队。但随着近些年来数据库市场有了明显的变化,一是以开源为主导数据库方案在很多公司得以使用;二是国产数据库也层出不穷,并愈发呈现蓬勃发展之势;三是分布式、云化技术特点为代表的新数据库形态逐步被人认知并投入使用。针对这种新的变化,过去按单一产品作为衡量标准就不太合适,急需一种通用的行业标准来度量数据库服务能力。
很多人对工具选型都有疑惑,报表和BI的区别,用国外巨头厂商产品还是大胆些选用国产工具,毕竟随着大数据的发展这个行业也逐渐鱼龙混杂。
科技要向前发展,除了埋头赶路,攻克一个个的技术难关外,也要抬头看天,寻找未来的突破方向。从这个意义上来说,机构或个人发布的一些科技趋势预测,有一定的借鉴意义。以前,多半是美国公司或机构发布类似的预测,比如Gartner的技术成熟度曲线。达摩院作为阿里巴巴的一个前沿技术研究机构,某种程度上代表了中国产业界一定的技术研究水平。
智能化敏捷运维体系这个概念,它主要分为两个层面:敏捷、智能化。嘉为是在国内最早一批提出智能化敏捷运维的公司,相信大家在之前也听过很多运维相关的方法论,比如说自动化运维、智能化运维、AIOps、数据化运维、SRE、ITIL4等等。而智能化敏捷运维体系是我们在这些通用的运维方法论基础之上,做了相应的融合、抽象、提炼,并结合国内运维现状及未来趋势所提出的概念。
工业互联网联盟(IIC)基于其自身的安全框架和参考架构开发了一种新型物联网安全成熟度模型(SMM),有助于企业利用现有的安全框架达到他们自己定义的物联网安全成熟度目标级别。本周 IIC 发布了两篇报告中的第一篇 — 《物联网安全成熟度模型:描述和预期用途》,该篇主要是针对较少技术的物联网利益相关者的高级概述。微软物联网标准首席策略师 Ron Zahavi 预计第二篇为安全从业人员提供更多技术观点的白皮书将会在夏季发布。
5月8日,作为受邀嘉宾,参加了Intel与Cloudera在北京中国大饭店新闻发布会,两家公司宣布战略合作,该消息成为继Intel宣布放弃大数据平台之后的另外一个热点新闻。对于Intel的放弃早在预料之中,对于Intel与Cloudera合作也在意料之中,但是没有想到的是居然那么快。壮士断腕的Intel反倒让我看出几分勇气可嘉来,Cloudera的顺势而为,也被我所认同,Intel借助Cloudera的技术能力,Cloudera借用Intel的商务平台,然后彼此合作真的就能够成功?换句话说,就一定能在中国成功吗?倒是需要时间的检验?因为到现在为止,大数据应用其实已经不再只是一个平台问题,而是如何与业务应用相结合的问题。
近日,高灯科技的深圳办公室进行了腾讯零信任安全管理系统(腾讯iOA)的扩容部署。此次扩容后,腾讯iOA部署终端正式突破了100万,成为了国内首个突破百万终端的零信任产品,意味着产品的成熟度和商业交付能力得到了行业的广泛认可。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
对象存储
腾讯会议
实时音视频
