《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 模擬設(shè)計 > 業(yè)界動態(tài) > 干貨 | DSMM助力數(shù)據(jù)的分類分級管理,,保障數(shù)據(jù)的應(yīng)用安全

干貨 | DSMM助力數(shù)據(jù)的分類分級管理,,保障數(shù)據(jù)的應(yīng)用安全

2020-09-01
來源: e安在線

  大數(shù)據(jù)的廣泛應(yīng)用,,帶來便捷的同時也伴隨著隱患,如何確保數(shù)據(jù)和隱私的安全,,國家已立法:《中華人民共和國數(shù)據(jù)安全法(草案)》,該法案規(guī)定了應(yīng)對數(shù)據(jù)進行分級分類管理和保護,,那么如何管控防護呢,?請看數(shù)據(jù)能力成熟度模型DSMM的規(guī)定吧!

  隨著國家大數(shù)據(jù)發(fā)展戰(zhàn)略的實施,,“互聯(lián)網(wǎng)+”行動的深入推進,,大數(shù)據(jù)資源價值不斷提升,電信,、互聯(lián)網(wǎng),、金融、政務(wù),、交通等領(lǐng)域相關(guān)的大數(shù)據(jù)應(yīng)用也在蓬勃發(fā)展,。這些大數(shù)據(jù)應(yīng)用涉及的數(shù)據(jù)量大、種類多,,同時又包含有很多用戶相關(guān)重要數(shù)據(jù),。亟待國家出臺數(shù)據(jù)安全方面的法規(guī)給予指引和管控,2020年6月28日,,《中華人民共和國數(shù)據(jù)安全法(草案)》呼之欲出,,自公布之日后,,引起業(yè)界的廣泛關(guān)注,不斷有專家和企業(yè)開展數(shù)據(jù)安全法的解讀,,以下簡稱《數(shù)安法》,。在本法中:

  據(jù)是指任何以電子或者非電子形式對信息的記錄。

  數(shù)據(jù)活動,,是指數(shù)據(jù)的收集,、存儲、加工,、使用,、提供、交易,、公開等行為,。

  數(shù)據(jù)安全,是指通過采取必要措施,,保障數(shù)據(jù)得到有效保護和合法利用,,并持續(xù)處于安全狀態(tài)的能力。

  維護數(shù)據(jù)安全,,應(yīng)當(dāng)堅持總體國家安全觀,,建立健全數(shù)據(jù)安全治理體系,提高數(shù)據(jù)安全保障能力,。在數(shù)據(jù)的安全與發(fā)展方面,,堅持維護數(shù)據(jù)安全和促進數(shù)據(jù)開發(fā)利用并重,以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進數(shù)據(jù)安全,,以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展,。推進數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè),鼓勵和支持?jǐn)?shù)據(jù)在各行業(yè),、各領(lǐng)域的創(chuàng)新應(yīng)用,,促進數(shù)字經(jīng)濟發(fā)展。

  根據(jù)數(shù)據(jù)在經(jīng)濟社會發(fā)展中的重要程度,,以及一旦遭到篡改,、破壞、泄露或者非法獲取,、非法利用,,對國家安全、公共利益或者公民,、組織合法權(quán)益造成的危害程度,,應(yīng)對數(shù)據(jù)實行分級分類保護。

  大數(shù)據(jù)應(yīng)用在不斷發(fā)展創(chuàng)新的同時,,由于數(shù)據(jù)違規(guī)收集,、數(shù)據(jù)開放與隱私保護相矛盾以及粗放式“一刀切”管理方式等給大數(shù)據(jù)應(yīng)用的發(fā)展帶來嚴(yán)峻的安全挑戰(zhàn),。那么,如何進行數(shù)據(jù)的分級,、分類,,采用什么樣的安全控制措施保護呢?

  大數(shù)據(jù)資源的過度保護不利于大數(shù)據(jù)應(yīng)用的健康發(fā)展,,數(shù)據(jù)安全成熟度以及數(shù)據(jù)分類分級的安全管控方式能夠避免“一刀切”帶來的問題,實現(xiàn)大數(shù)據(jù)應(yīng)用與個人權(quán)益的有效平衡,。

  2020年3月實施的DSMM(Data Security Maturity Model)很可能會成為該《數(shù)安法》的具體落地標(biāo)準(zhǔn)和衡量指標(biāo),,對于中國企業(yè)而言,以DSMM為數(shù)據(jù)安全治理思路方案選型,,可以更好的實現(xiàn)數(shù)據(jù)安全治理的制度合規(guī),。

  數(shù)據(jù)安全能力成熟度模型架構(gòu)

  DSMM將數(shù)據(jù)按照其生命周期分階段采用不同的能力評估等級,分為數(shù)據(jù)采集安全,、數(shù)據(jù)傳輸安全,、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全,、數(shù)據(jù)交換安全,、數(shù)據(jù)銷毀安全六個階段。DSMM將數(shù)據(jù)安全成熟度劃分成了1-5個等級,,依次為非正式執(zhí)行級,、計劃跟蹤級、充分定義級,、量化控制級,、持續(xù)優(yōu)化級,形成一個三維立體模型,,全方位對數(shù)據(jù)安全進行能力建設(shè)和評估,。

微信圖片_20200901145501.png

  圖1:DSMM數(shù)據(jù)能力成熟度模型

  DSMM在數(shù)據(jù)生命周期的六個階段,刻畫出30個關(guān)鍵過程域,,其中有19個專有的安全過程域和11個通用的安全過程域,。

  數(shù)據(jù)生命周期安全過程域

  注:PA :Process Area 過程域

  1

  數(shù)據(jù)采集安全

  PA01數(shù)據(jù)分類分級;PA02 數(shù)據(jù)采集分類管理,;PA03 數(shù)據(jù)源鑒別和記錄,;PA04 數(shù)據(jù)質(zhì)量管理

  2

  數(shù)據(jù)傳輸安全

  PA05 數(shù)據(jù)傳輸加密;PA06 網(wǎng)絡(luò)可用性管理

  3

  數(shù)據(jù)存儲安全

  PA07 存儲介質(zhì)安全,;PA08 邏輯存儲安全,;PA09 數(shù)據(jù)備份和恢復(fù)

  4

  數(shù)據(jù)處理安全

  PA10 數(shù)據(jù)過敏;PA11 數(shù)據(jù)分析安全,;PA12 數(shù)據(jù)正當(dāng)使用,;PA13 數(shù)據(jù)處理環(huán)境安全,;PA14 數(shù)據(jù)導(dǎo)入導(dǎo)出安全

  5

  數(shù)據(jù)交換安全

  PA15 數(shù)據(jù)共享安全;PA16 數(shù)據(jù)發(fā)布安全,;PA17 數(shù)據(jù)接口安全

  6

  數(shù)據(jù)銷毀安全

  PA18 數(shù)據(jù)銷毀處置,;PA19 介質(zhì)銷毀處置

  通用安全過程域

  PA20 數(shù)據(jù)安全策略規(guī)劃

  PA21 組織和人員管理

  PA22 合規(guī)管理

  PA23 數(shù)據(jù)資產(chǎn)管理

  PA24 數(shù)據(jù)供應(yīng)鏈管理

  PA25 元數(shù)據(jù)管理

  PA26終端數(shù)據(jù)安全

  PA27 監(jiān)控與審計

  PA28 鑒別與訪問控制

  PA29 需求分析

  PA30安全事件應(yīng)急

  數(shù)據(jù)分級分類模型

微信圖片_20200901145544.png

  圖2:數(shù)據(jù)安全分類分級模型

  根據(jù)數(shù)據(jù)安全分類分級模型,數(shù)據(jù)主要分類為:重要數(shù)據(jù),、個人及企業(yè)信息,、業(yè)務(wù)數(shù)據(jù),其相應(yīng)的數(shù)據(jù)級別如下:

  重要數(shù)據(jù)分級

  1

  第一級

  數(shù)據(jù)受到破壞后會對公民,、法人和其他組織的合法權(quán)益造成損害,,但不損害國家安全、社會秩序和公共利益,。

  2

  第二級

  數(shù)據(jù)受到破壞后,,會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重損害,?;蛘邔ι鐣刃蚝凸怖嬖斐蓳p害但不損害國家安全。

  3

  第三級

  數(shù)據(jù)受到破壞后,。會對社會秩序和公共利益造成嚴(yán)重損害,。或者對國家安全造成損害,。

  4

  第四級

  數(shù)據(jù)受到破壞后,。會對社會秩序和公共利益造成特別嚴(yán)重損害?;蛘邔野踩斐蓢?yán)重損害,。

  5

  第五級

  數(shù)據(jù)受到破壞后,會對國家安全造成嚴(yán)特別嚴(yán)重損害,。

  個人及企業(yè)信息分級

  1

  低

  保密:非授權(quán)用戶獲取個人信息數(shù)據(jù)對個人或群體等造成有限的不良影響,。

  完整:個人信息數(shù)據(jù)被非法授權(quán)修改和破壞對個人或群體等造成有限的不良影響。

  可用:合法用戶使用個人信息數(shù)據(jù)被不正當(dāng)拒絕對個人或群體等造成有限的不良影響,。

  2

  中

  保密:非授權(quán)用戶獲取個人信息數(shù)據(jù)對個人或群體等造成嚴(yán)重的不良影響,。

  完整:個人信息數(shù)據(jù)被非法授權(quán)修改和破壞對個人或群體等造成嚴(yán)重的不良影響。

  可用:合法用戶使用個人信息數(shù)據(jù)被不正當(dāng)拒絕對個人或群體等造成嚴(yán)重的不良影響,。

  3

  高

  保密:非授權(quán)用戶獲取個人信息數(shù)據(jù)對個人或群體等造成災(zāi)難性的不良影響,。

  完整:個人信息數(shù)據(jù)被非法授權(quán)修改和破壞對個人或群體等造成災(zāi)難性的不良影響。

  可用:合法用戶使用個人信息數(shù)據(jù)被不正當(dāng)拒絕對個人或群體等造成災(zāi)難性的不良影響,。

  業(yè)務(wù)數(shù)據(jù)分級

  1

  低

  保密:非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對組織運營,、組織資產(chǎn)等造成有限的不良影響。

  完整:業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對組織運營,、組織資產(chǎn)等造成有限的不良影響,。

  可用:合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對組織運營,、組織資產(chǎn)等造成有限的不良影響。

  2

  中

  保密:非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對組織運營,、組織資產(chǎn)等造成有限的不良影響,。

  完整:業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對組織運營、組織資產(chǎn)等造成有限的不良影響,。

  可用:合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對組織運營,、組織資產(chǎn)等造成有限的不良影響。

  1

  高

  保密:非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對組織運營,、組織資產(chǎn)等造成災(zāi)難性(的不良影響,。

  完整:業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對組織運營、組織資產(chǎn)等造成災(zāi)難性的不良影響,。。

  可用:合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對組織運營,、組織資產(chǎn)等造成災(zāi)難性的不良影響,。

  企業(yè)可基于上述公共分類、分級策略,,結(jié)合自身業(yè)務(wù)合規(guī)需求實際,,規(guī)劃出自己的數(shù)據(jù)分類分級方法,建立組織/公司自己的數(shù)據(jù)分類分級原則和方法,,將數(shù)據(jù)按照重要程度進行分類,,然后在數(shù)據(jù)分類的基礎(chǔ)上根據(jù)數(shù)據(jù)安全在受到破壞后,對組織造成的影響和損失進行分級,。

  在進行數(shù)據(jù)分類分級后需要有針對性地制定數(shù)據(jù)防護要求,,設(shè)置不同的訪問權(quán)限、對重要數(shù)據(jù)進行加密存儲和傳輸,、敏感數(shù)據(jù)進行脫敏處理,、重要操作進行審計記錄和分析等。

  為了進一步介紹數(shù)據(jù)的分級分類管控,,后續(xù)將分幾期文章,,引用《中國移動的大數(shù)據(jù)分級分類管控實施指南》進行介紹。如果想詳細了解管控措施,,可咨詢報名益安的PDPF(1+2)課程,,該課程不僅介紹歐盟的GDPR通用數(shù)據(jù)保護條例,還介紹了《數(shù)據(jù)安全法(草案)》和《個人信息安全規(guī)范》,,同時可以考取EXIN PDPF證書,。

  

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點,。轉(zhuǎn)載的所有的文章,、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者,。如涉及作品內(nèi)容、版權(quán)和其它問題,,請及時通過電子郵件或電話通知我們,,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟損失,。聯(lián)系電話:010-82306118,;郵箱:[email protected]