大數(shù)據(jù)的廣泛應(yīng)用,,帶來便捷的同時也伴隨著隱患,如何確保數(shù)據(jù)和隱私的安全,,國家已立法:《中華人民共和國數(shù)據(jù)安全法(草案)》,該法案規(guī)定了應(yīng)對數(shù)據(jù)進行分級分類管理和保護,,那么如何管控防護呢,?請看數(shù)據(jù)能力成熟度模型DSMM的規(guī)定吧!
隨著國家大數(shù)據(jù)發(fā)展戰(zhàn)略的實施,,“互聯(lián)網(wǎng)+”行動的深入推進,,大數(shù)據(jù)資源價值不斷提升,電信,、互聯(lián)網(wǎng),、金融、政務(wù),、交通等領(lǐng)域相關(guān)的大數(shù)據(jù)應(yīng)用也在蓬勃發(fā)展,。這些大數(shù)據(jù)應(yīng)用涉及的數(shù)據(jù)量大、種類多,,同時又包含有很多用戶相關(guān)重要數(shù)據(jù),。亟待國家出臺數(shù)據(jù)安全方面的法規(guī)給予指引和管控,2020年6月28日,,《中華人民共和國數(shù)據(jù)安全法(草案)》呼之欲出,,自公布之日后,,引起業(yè)界的廣泛關(guān)注,不斷有專家和企業(yè)開展數(shù)據(jù)安全法的解讀,,以下簡稱《數(shù)安法》,。在本法中:
據(jù)是指任何以電子或者非電子形式對信息的記錄。
數(shù)據(jù)活動,,是指數(shù)據(jù)的收集,、存儲、加工,、使用,、提供、交易,、公開等行為,。
數(shù)據(jù)安全,是指通過采取必要措施,,保障數(shù)據(jù)得到有效保護和合法利用,,并持續(xù)處于安全狀態(tài)的能力。
維護數(shù)據(jù)安全,,應(yīng)當(dāng)堅持總體國家安全觀,,建立健全數(shù)據(jù)安全治理體系,提高數(shù)據(jù)安全保障能力,。在數(shù)據(jù)的安全與發(fā)展方面,,堅持維護數(shù)據(jù)安全和促進數(shù)據(jù)開發(fā)利用并重,以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全,,以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展,。推進數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè),鼓勵和支持?jǐn)?shù)據(jù)在各行業(yè),、各領(lǐng)域的創(chuàng)新應(yīng)用,,促進數(shù)字經(jīng)濟發(fā)展。
根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度,,以及一旦遭到篡改,、破壞、泄露或者非法獲取,、非法利用,,對國家安全、公共利益或者公民,、組織合法權(quán)益造成的危害程度,,應(yīng)對數(shù)據(jù)實行分級分類保護。
大數(shù)據(jù)應(yīng)用在不斷發(fā)展創(chuàng)新的同時,,由于數(shù)據(jù)違規(guī)收集,、數(shù)據(jù)開放與隱私保護相矛盾以及粗放式“一刀切”管理方式等給大數(shù)據(jù)應(yīng)用的發(fā)展帶來嚴(yán)峻的安全挑戰(zhàn),。那么,如何進行數(shù)據(jù)的分級,、分類,,采用什么樣的安全控制措施保護呢?
大數(shù)據(jù)資源的過度保護不利于大數(shù)據(jù)應(yīng)用的健康發(fā)展,,數(shù)據(jù)安全成熟度以及數(shù)據(jù)分類分級的安全管控方式能夠避免“一刀切”帶來的問題,實現(xiàn)大數(shù)據(jù)應(yīng)用與個人權(quán)益的有效平衡,。
2020年3月實施的DSMM(Data Security Maturity Model)很可能會成為該《數(shù)安法》的具體落地標(biāo)準(zhǔn)和衡量指標(biāo),,對于中國企業(yè)而言,以DSMM為數(shù)據(jù)安全治理思路方案選型,,可以更好的實現(xiàn)數(shù)據(jù)安全治理的制度合規(guī),。
數(shù)據(jù)安全能力成熟度模型架構(gòu)
DSMM將數(shù)據(jù)按照其生命周期分階段采用不同的能力評估等級,分為數(shù)據(jù)采集安全,、數(shù)據(jù)傳輸安全,、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全,、數(shù)據(jù)交換安全,、數(shù)據(jù)銷毀安全六個階段。DSMM將數(shù)據(jù)安全成熟度劃分成了1-5個等級,,依次為非正式執(zhí)行級,、計劃跟蹤級、充分定義級,、量化控制級,、持續(xù)優(yōu)化級,形成一個三維立體模型,,全方位對數(shù)據(jù)安全進行能力建設(shè)和評估,。
圖1:DSMM數(shù)據(jù)能力成熟度模型
DSMM在數(shù)據(jù)生命周期的六個階段,刻畫出30個關(guān)鍵過程域,,其中有19個專有的安全過程域和11個通用的安全過程域,。
數(shù)據(jù)生命周期安全過程域
注:PA :Process Area 過程域
1
數(shù)據(jù)采集安全
PA01數(shù)據(jù)分類分級;PA02 數(shù)據(jù)采集分類管理,;PA03 數(shù)據(jù)源鑒別和記錄,;PA04 數(shù)據(jù)質(zhì)量管理
2
數(shù)據(jù)傳輸安全
PA05 數(shù)據(jù)傳輸加密;PA06 網(wǎng)絡(luò)可用性管理
3
數(shù)據(jù)存儲安全
PA07 存儲介質(zhì)安全,;PA08 邏輯存儲安全,;PA09 數(shù)據(jù)備份和恢復(fù)
4
數(shù)據(jù)處理安全
PA10 數(shù)據(jù)過敏;PA11 數(shù)據(jù)分析安全,;PA12 數(shù)據(jù)正當(dāng)使用,;PA13 數(shù)據(jù)處理環(huán)境安全,;PA14 數(shù)據(jù)導(dǎo)入導(dǎo)出安全
5
數(shù)據(jù)交換安全
PA15 數(shù)據(jù)共享安全;PA16 數(shù)據(jù)發(fā)布安全,;PA17 數(shù)據(jù)接口安全
6
數(shù)據(jù)銷毀安全
PA18 數(shù)據(jù)銷毀處置,;PA19 介質(zhì)銷毀處置
通用安全過程域
PA20 數(shù)據(jù)安全策略規(guī)劃
PA21 組織和人員管理
PA22 合規(guī)管理
PA23 數(shù)據(jù)資產(chǎn)管理
PA24 數(shù)據(jù)供應(yīng)鏈管理
PA25 元數(shù)據(jù)管理
PA26終端數(shù)據(jù)安全
PA27 監(jiān)控與審計
PA28 鑒別與訪問控制
PA29 需求分析
PA30安全事件應(yīng)急
數(shù)據(jù)分級分類模型
圖2:數(shù)據(jù)安全分類分級模型
根據(jù)數(shù)據(jù)安全分類分級模型,數(shù)據(jù)主要分類為:重要數(shù)據(jù),、個人及企業(yè)信息,、業(yè)務(wù)數(shù)據(jù),其相應(yīng)的數(shù)據(jù)級別如下:
重要數(shù)據(jù)分級
1
第一級
數(shù)據(jù)受到破壞后會對公民,、法人和其他組織的合法權(quán)益造成損害,,但不損害國家安全、社會秩序和公共利益,。
2
第二級
數(shù)據(jù)受到破壞后,,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重損害,?;蛘邔ι鐣刃蚝凸怖嬖斐蓳p害但不損害國家安全。
3
第三級
數(shù)據(jù)受到破壞后,。會對社會秩序和公共利益造成嚴(yán)重損害,。或者對國家安全造成損害,。
4
第四級
數(shù)據(jù)受到破壞后,。會對社會秩序和公共利益造成特別嚴(yán)重損害?;蛘邔野踩斐蓢?yán)重損害,。
5
第五級
數(shù)據(jù)受到破壞后,會對國家安全造成嚴(yán)特別嚴(yán)重損害,。
個人及企業(yè)信息分級
1
低
保密:非授權(quán)用戶獲取個人信息數(shù)據(jù)對個人或群體等造成有限的不良影響,。
完整:個人信息數(shù)據(jù)被非法授權(quán)修改和破壞對個人或群體等造成有限的不良影響。
可用:合法用戶使用個人信息數(shù)據(jù)被不正當(dāng)拒絕對個人或群體等造成有限的不良影響,。
2
中
保密:非授權(quán)用戶獲取個人信息數(shù)據(jù)對個人或群體等造成嚴(yán)重的不良影響,。
完整:個人信息數(shù)據(jù)被非法授權(quán)修改和破壞對個人或群體等造成嚴(yán)重的不良影響。
可用:合法用戶使用個人信息數(shù)據(jù)被不正當(dāng)拒絕對個人或群體等造成嚴(yán)重的不良影響,。
3
高
保密:非授權(quán)用戶獲取個人信息數(shù)據(jù)對個人或群體等造成災(zāi)難性的不良影響,。
完整:個人信息數(shù)據(jù)被非法授權(quán)修改和破壞對個人或群體等造成災(zāi)難性的不良影響。
可用:合法用戶使用個人信息數(shù)據(jù)被不正當(dāng)拒絕對個人或群體等造成災(zāi)難性的不良影響,。
業(yè)務(wù)數(shù)據(jù)分級
1
低
保密:非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對組織運營,、組織資產(chǎn)等造成有限的不良影響。
完整:業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對組織運營,、組織資產(chǎn)等造成有限的不良影響,。
可用:合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對組織運營,、組織資產(chǎn)等造成有限的不良影響。
2
中
保密:非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對組織運營,、組織資產(chǎn)等造成有限的不良影響,。
完整:業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對組織運營、組織資產(chǎn)等造成有限的不良影響,。
可用:合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對組織運營,、組織資產(chǎn)等造成有限的不良影響。
1
高
保密:非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對組織運營,、組織資產(chǎn)等造成災(zāi)難性(的不良影響,。
完整:業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對組織運營、組織資產(chǎn)等造成災(zāi)難性的不良影響,。。
可用:合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對組織運營,、組織資產(chǎn)等造成災(zāi)難性的不良影響,。
企業(yè)可基于上述公共分類、分級策略,,結(jié)合自身業(yè)務(wù)合規(guī)需求實際,,規(guī)劃出自己的數(shù)據(jù)分類分級方法,建立組織/公司自己的數(shù)據(jù)分類分級原則和方法,,將數(shù)據(jù)按照重要程度進行分類,,然后在數(shù)據(jù)分類的基礎(chǔ)上根據(jù)數(shù)據(jù)安全在受到破壞后,對組織造成的影響和損失進行分級,。
在進行數(shù)據(jù)分類分級后需要有針對性地制定數(shù)據(jù)防護要求,,設(shè)置不同的訪問權(quán)限、對重要數(shù)據(jù)進行加密存儲和傳輸,、敏感數(shù)據(jù)進行脫敏處理,、重要操作進行審計記錄和分析等。
為了進一步介紹數(shù)據(jù)的分級分類管控,,后續(xù)將分幾期文章,,引用《中國移動的大數(shù)據(jù)分級分類管控實施指南》進行介紹。如果想詳細了解管控措施,,可咨詢報名益安的PDPF(1+2)課程,,該課程不僅介紹歐盟的GDPR通用數(shù)據(jù)保護條例,還介紹了《數(shù)據(jù)安全法(草案)》和《個人信息安全規(guī)范》,,同時可以考取EXIN PDPF證書,。