《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 模擬設(shè)計(jì) > 業(yè)界動(dòng)態(tài) > 干貨 | DSMM助力數(shù)據(jù)的分類分級(jí)管理,保障數(shù)據(jù)的應(yīng)用安全

干貨 | DSMM助力數(shù)據(jù)的分類分級(jí)管理,,保障數(shù)據(jù)的應(yīng)用安全

2020-09-01
來(lái)源: e安在線

  大數(shù)據(jù)的廣泛應(yīng)用,,帶來(lái)便捷的同時(shí)也伴隨著隱患,如何確保數(shù)據(jù)和隱私的安全,,國(guó)家已立法:《中華人民共和國(guó)數(shù)據(jù)安全法(草案)》,,該法案規(guī)定了應(yīng)對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類管理和保護(hù),那么如何管控防護(hù)呢,?請(qǐng)看數(shù)據(jù)能力成熟度模型DSMM的規(guī)定吧,!

  隨著國(guó)家大數(shù)據(jù)發(fā)展戰(zhàn)略的實(shí)施,“互聯(lián)網(wǎng)+”行動(dòng)的深入推進(jìn),,大數(shù)據(jù)資源價(jià)值不斷提升,,電信,、互聯(lián)網(wǎng)、金融,、政務(wù),、交通等領(lǐng)域相關(guān)的大數(shù)據(jù)應(yīng)用也在蓬勃發(fā)展。這些大數(shù)據(jù)應(yīng)用涉及的數(shù)據(jù)量大,、種類多,,同時(shí)又包含有很多用戶相關(guān)重要數(shù)據(jù)。亟待國(guó)家出臺(tái)數(shù)據(jù)安全方面的法規(guī)給予指引和管控,,2020年6月28日,,《中華人民共和國(guó)數(shù)據(jù)安全法(草案)》呼之欲出,自公布之日后,,引起業(yè)界的廣泛關(guān)注,,不斷有專家和企業(yè)開(kāi)展數(shù)據(jù)安全法的解讀,以下簡(jiǎn)稱《數(shù)安法》,。在本法中:

  據(jù)是指任何以電子或者非電子形式對(duì)信息的記錄,。

  數(shù)據(jù)活動(dòng),是指數(shù)據(jù)的收集,、存儲(chǔ),、加工、使用,、提供,、交易、公開(kāi)等行為,。

  數(shù)據(jù)安全,,是指通過(guò)采取必要措施,保障數(shù)據(jù)得到有效保護(hù)和合法利用,,并持續(xù)處于安全狀態(tài)的能力,。

  維護(hù)數(shù)據(jù)安全,應(yīng)當(dāng)堅(jiān)持總體國(guó)家安全觀,,建立健全數(shù)據(jù)安全治理體系,,提高數(shù)據(jù)安全保障能力。在數(shù)據(jù)的安全與發(fā)展方面,,堅(jiān)持維護(hù)數(shù)據(jù)安全和促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用并重,,以數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全,以數(shù)據(jù)安全保障數(shù)據(jù)開(kāi)發(fā)利用和產(chǎn)業(yè)發(fā)展,。推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè),,鼓勵(lì)和支持?jǐn)?shù)據(jù)在各行業(yè)、各領(lǐng)域的創(chuàng)新應(yīng)用,,促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展,。

  根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度,,以及一旦遭到篡改、破壞,、泄露或者非法獲取,、非法利用,對(duì)國(guó)家安全,、公共利益或者公民,、組織合法權(quán)益造成的危害程度,應(yīng)對(duì)數(shù)據(jù)實(shí)行分級(jí)分類保護(hù),。

  大數(shù)據(jù)應(yīng)用在不斷發(fā)展創(chuàng)新的同時(shí),,由于數(shù)據(jù)違規(guī)收集、數(shù)據(jù)開(kāi)放與隱私保護(hù)相矛盾以及粗放式“一刀切”管理方式等給大數(shù)據(jù)應(yīng)用的發(fā)展帶來(lái)嚴(yán)峻的安全挑戰(zhàn),。那么,,如何進(jìn)行數(shù)據(jù)的分級(jí)、分類,,采用什么樣的安全控制措施保護(hù)呢,?

  大數(shù)據(jù)資源的過(guò)度保護(hù)不利于大數(shù)據(jù)應(yīng)用的健康發(fā)展,數(shù)據(jù)安全成熟度以及數(shù)據(jù)分類分級(jí)的安全管控方式能夠避免“一刀切”帶來(lái)的問(wèn)題,,實(shí)現(xiàn)大數(shù)據(jù)應(yīng)用與個(gè)人權(quán)益的有效平衡,。

  2020年3月實(shí)施的DSMM(Data Security Maturity Model)很可能會(huì)成為該《數(shù)安法》的具體落地標(biāo)準(zhǔn)和衡量指標(biāo),對(duì)于中國(guó)企業(yè)而言,,以DSMM為數(shù)據(jù)安全治理思路方案選型,,可以更好的實(shí)現(xiàn)數(shù)據(jù)安全治理的制度合規(guī)。

  數(shù)據(jù)安全能力成熟度模型架構(gòu)

  DSMM將數(shù)據(jù)按照其生命周期分階段采用不同的能力評(píng)估等級(jí),,分為數(shù)據(jù)采集安全,、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全,、數(shù)據(jù)處理安全,、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全六個(gè)階段,。DSMM將數(shù)據(jù)安全成熟度劃分成了1-5個(gè)等級(jí),,依次為非正式執(zhí)行級(jí),、計(jì)劃跟蹤級(jí),、充分定義級(jí),、量化控制級(jí),、持續(xù)優(yōu)化級(jí),,形成一個(gè)三維立體模型,,全方位對(duì)數(shù)據(jù)安全進(jìn)行能力建設(shè)和評(píng)估,。

微信圖片_20200901145501.png

  圖1:DSMM數(shù)據(jù)能力成熟度模型

  DSMM在數(shù)據(jù)生命周期的六個(gè)階段,刻畫(huà)出30個(gè)關(guān)鍵過(guò)程域,,其中有19個(gè)專有的安全過(guò)程域和11個(gè)通用的安全過(guò)程域,。

  數(shù)據(jù)生命周期安全過(guò)程域

  注:PA :Process Area 過(guò)程域

  1

  數(shù)據(jù)采集安全

  PA01數(shù)據(jù)分類分級(jí);PA02 數(shù)據(jù)采集分類管理,;PA03 數(shù)據(jù)源鑒別和記錄,;PA04 數(shù)據(jù)質(zhì)量管理

  2

  數(shù)據(jù)傳輸安全

  PA05 數(shù)據(jù)傳輸加密;PA06 網(wǎng)絡(luò)可用性管理

  3

  數(shù)據(jù)存儲(chǔ)安全

  PA07 存儲(chǔ)介質(zhì)安全,;PA08 邏輯存儲(chǔ)安全,;PA09 數(shù)據(jù)備份和恢復(fù)

  4

  數(shù)據(jù)處理安全

  PA10 數(shù)據(jù)過(guò)敏;PA11 數(shù)據(jù)分析安全,;PA12 數(shù)據(jù)正當(dāng)使用,;PA13 數(shù)據(jù)處理環(huán)境安全;PA14 數(shù)據(jù)導(dǎo)入導(dǎo)出安全

  5

  數(shù)據(jù)交換安全

  PA15 數(shù)據(jù)共享安全,;PA16 數(shù)據(jù)發(fā)布安全,;PA17 數(shù)據(jù)接口安全

  6

  數(shù)據(jù)銷毀安全

  PA18 數(shù)據(jù)銷毀處置;PA19 介質(zhì)銷毀處置

  通用安全過(guò)程域

  PA20 數(shù)據(jù)安全策略規(guī)劃

  PA21 組織和人員管理

  PA22 合規(guī)管理

  PA23 數(shù)據(jù)資產(chǎn)管理

  PA24 數(shù)據(jù)供應(yīng)鏈管理

  PA25 元數(shù)據(jù)管理

  PA26終端數(shù)據(jù)安全

  PA27 監(jiān)控與審計(jì)

  PA28 鑒別與訪問(wèn)控制

  PA29 需求分析

  PA30安全事件應(yīng)急

  數(shù)據(jù)分級(jí)分類模型

微信圖片_20200901145544.png

  圖2:數(shù)據(jù)安全分類分級(jí)模型

  根據(jù)數(shù)據(jù)安全分類分級(jí)模型,,數(shù)據(jù)主要分類為:重要數(shù)據(jù),、個(gè)人及企業(yè)信息、業(yè)務(wù)數(shù)據(jù),,其相應(yīng)的數(shù)據(jù)級(jí)別如下:

  重要數(shù)據(jù)分級(jí)

  1

  第一級(jí)

  數(shù)據(jù)受到破壞后會(huì)對(duì)公民,、法人和其他組織的合法權(quán)益造成損害,但不損害國(guó)家安全,、社會(huì)秩序和公共利益,。

  2

  第二級(jí)

  數(shù)據(jù)受到破壞后,會(huì)對(duì)公民,、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害,。或者對(duì)社會(huì)秩序和公共利益造成損害但不損害國(guó)家安全,。

  3

  第三級(jí)

  數(shù)據(jù)受到破壞后,。會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害?;蛘邔?duì)國(guó)家安全造成損害,。

  4

  第四級(jí)

  數(shù)據(jù)受到破壞后。會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害,?;蛘邔?duì)國(guó)家安全造成嚴(yán)重?fù)p害。

  5

  第五級(jí)

  數(shù)據(jù)受到破壞后,,會(huì)對(duì)國(guó)家安全造成嚴(yán)特別嚴(yán)重?fù)p害,。

  個(gè)人及企業(yè)信息分級(jí)

  1

  低

  保密:非授權(quán)用戶獲取個(gè)人信息數(shù)據(jù)對(duì)個(gè)人或群體等造成有限的不良影響。

  完整:個(gè)人信息數(shù)據(jù)被非法授權(quán)修改和破壞對(duì)個(gè)人或群體等造成有限的不良影響。

  可用:合法用戶使用個(gè)人信息數(shù)據(jù)被不正當(dāng)拒絕對(duì)個(gè)人或群體等造成有限的不良影響,。

  2

  中

  保密:非授權(quán)用戶獲取個(gè)人信息數(shù)據(jù)對(duì)個(gè)人或群體等造成嚴(yán)重的不良影響,。

  完整:個(gè)人信息數(shù)據(jù)被非法授權(quán)修改和破壞對(duì)個(gè)人或群體等造成嚴(yán)重的不良影響。

  可用:合法用戶使用個(gè)人信息數(shù)據(jù)被不正當(dāng)拒絕對(duì)個(gè)人或群體等造成嚴(yán)重的不良影響,。

  3

  高

  保密:非授權(quán)用戶獲取個(gè)人信息數(shù)據(jù)對(duì)個(gè)人或群體等造成災(zāi)難性的不良影響,。

  完整:個(gè)人信息數(shù)據(jù)被非法授權(quán)修改和破壞對(duì)個(gè)人或群體等造成災(zāi)難性的不良影響。

  可用:合法用戶使用個(gè)人信息數(shù)據(jù)被不正當(dāng)拒絕對(duì)個(gè)人或群體等造成災(zāi)難性的不良影響,。

  業(yè)務(wù)數(shù)據(jù)分級(jí)

  1

  低

  保密:非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對(duì)組織運(yùn)營(yíng),、組織資產(chǎn)等造成有限的不良影響。

  完整:業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對(duì)組織運(yùn)營(yíng),、組織資產(chǎn)等造成有限的不良影響,。

  可用:合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)等造成有限的不良影響,。

  2

  中

  保密:非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對(duì)組織運(yùn)營(yíng),、組織資產(chǎn)等造成有限的不良影響。

  完整:業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對(duì)組織運(yùn)營(yíng),、組織資產(chǎn)等造成有限的不良影響,。

  可用:合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)等造成有限的不良影響,。

  1

  高

  保密:非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對(duì)組織運(yùn)營(yíng),、組織資產(chǎn)等造成災(zāi)難性(的不良影響。

  完整:業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對(duì)組織運(yùn)營(yíng),、組織資產(chǎn)等造成災(zāi)難性的不良影響,。。

  可用:合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對(duì)組織運(yùn)營(yíng),、組織資產(chǎn)等造成災(zāi)難性的不良影響,。

  企業(yè)可基于上述公共分類、分級(jí)策略,,結(jié)合自身業(yè)務(wù)合規(guī)需求實(shí)際,,規(guī)劃出自己的數(shù)據(jù)分類分級(jí)方法,建立組織/公司自己的數(shù)據(jù)分類分級(jí)原則和方法,,將數(shù)據(jù)按照重要程度進(jìn)行分類,,然后在數(shù)據(jù)分類的基礎(chǔ)上根據(jù)數(shù)據(jù)安全在受到破壞后,對(duì)組織造成的影響和損失進(jìn)行分級(jí),。

  在進(jìn)行數(shù)據(jù)分類分級(jí)后需要有針對(duì)性地制定數(shù)據(jù)防護(hù)要求,,設(shè)置不同的訪問(wèn)權(quán)限、對(duì)重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸,、敏感數(shù)據(jù)進(jìn)行脫敏處理,、重要操作進(jìn)行審計(jì)記錄和分析等,。

  為了進(jìn)一步介紹數(shù)據(jù)的分級(jí)分類管控,,后續(xù)將分幾期文章,,引用《中國(guó)移動(dòng)的大數(shù)據(jù)分級(jí)分類管控實(shí)施指南》進(jìn)行介紹。如果想詳細(xì)了解管控措施,,可咨詢報(bào)名益安的PDPF(1+2)課程,,該課程不僅介紹歐盟的GDPR通用數(shù)據(jù)保護(hù)條例,還介紹了《數(shù)據(jù)安全法(草案)》和《個(gè)人信息安全規(guī)范》,,同時(shí)可以考取EXIN PDPF證書(shū),。

  

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,,并不代表本網(wǎng)站贊同其觀點(diǎn),。轉(zhuǎn)載的所有的文章、圖片,、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有,。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容,、版權(quán)和其它問(wèn)題,,請(qǐng)及時(shí)通過(guò)電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,,避免給雙方造成不必要的經(jīng)濟(jì)損失,。聯(lián)系電話:010-82306118;郵箱:[email protected],。