DSMM數據安全成熟度模型迭代版本發布

在本周的RSA大會上，數據安全成熟度模型（DSMM）聯盟發布了該框架的第二次迭代版本（鏈接在文末），旨在幫助企業更容易保護數據免遭泄露。DSMM聯盟認為在數字化轉型時代，傳統的從設備、應用程序或網絡環境角度看數據安全的舊觀念需要被“以數據為中心”取代。

DSMM聯盟由Cyberhaven于去年夏天創建，由JupiterOne的首席信息安全官Sounil Yu領導，核心成員包括來自波士頓科學、卡特彼勒金融、Fleet、Flexport、摩托羅拉移動、Twilio、VillageMD等多家公司的安全主管。

在2023年RSA大會上題為“全面的網絡能力框架：網絡安全的技術樹”的小組討論中，DSMM聯盟成員提出了“以數據為中心”的下一代數據安全的愿景。

DSMM與NIST網絡安全框架和網絡防御矩陣保持一致，圍繞以數據為中心的方法定義了五個關鍵功能：

• 識別和分類：查找數據安全計劃涵蓋的所有數據并對其進行分類。
• 保護：通過控制敏感數據的訪問、使用和保留方式，最大限度地減少敏感數據的暴露。
• 檢測：收集和分析數據風險，以識別未通過“保護”功能阻止的數據相關安全事件或策略違規行為。
• 響應：建立發現潛在事件時立即采取的短期行動。
• 恢復和改進：確定所需的操作，不僅要恢復正常操作，還要改進和優化。

在本周發布的第二次迭代版本中，DSMM成熟度模型完善了五個關鍵功能，細化了上下文內容，例如正在使用哪些服務器基礎架構、云中有多少數據、隱私法規、員工和其他人如何使用數據，以及應用程序、API和非人類端點如何使用數據等等。

摩托羅拉移動公司首席信息安全官Richard Rushing指出，企業正面臨數據蔓延、數據老化和動態安全級別導致的數據安全管理混亂，業界需要一種新的以數據為中心的安全框架方法。

DSMM框架的目標是馴服這種混亂，并且可為大型企業和中小型企業量身定制。它還允許企業專注于許多實踐領域，包括基于風險的決策優先級、協作、持續教育、供應商和第三方的風險管理、合規性、透明度和事件響應以及如何恢復數據。