大數(shù)據(jù)的廣泛應(yīng)用，帶來便捷的同時也伴隨著隱患，如何確保數(shù)據(jù)和隱私的安全，國家已立法：《中華人民共和國數(shù)據(jù)安全法（草案）》，該法案規(guī)定了應(yīng)對數(shù)據(jù)進(jìn)行分級分類管理和保護(hù)，那么如何管控防護(hù)呢？請看數(shù)據(jù)能力成熟度模型DSMM的規(guī)定吧！

　　隨著國家大數(shù)據(jù)發(fā)展戰(zhàn)略的實施，“互聯(lián)網(wǎng)+”行動的深入推進(jìn)，大數(shù)據(jù)資源價值不斷提升，電信、互聯(lián)網(wǎng)、金融、政務(wù)、交通等領(lǐng)域相關(guān)的大數(shù)據(jù)應(yīng)用也在蓬勃發(fā)展。這些大數(shù)據(jù)應(yīng)用涉及的數(shù)據(jù)量大、種類多，同時又包含有很多用戶相關(guān)重要數(shù)據(jù)。亟待國家出臺數(shù)據(jù)安全方面的法規(guī)給予指引和管控，2020年6月28日，《中華人民共和國數(shù)據(jù)安全法（草案）》呼之欲出，自公布之日后，引起業(yè)界的廣泛關(guān)注，不斷有專家和企業(yè)開展數(shù)據(jù)安全法的解讀，以下簡稱《數(shù)安法》。在本法中：

　　據(jù)是指任何以電子或者非電子形式對信息的記錄。

　　數(shù)據(jù)活動，是指數(shù)據(jù)的收集、存儲、加工、使用、提供、交易、公開等行為。

　　數(shù)據(jù)安全，是指通過采取必要措施，保障數(shù)據(jù)得到有效保護(hù)和合法利用，并持續(xù)處于安全狀態(tài)的能力。

　　維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅持總體國家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。在數(shù)據(jù)的安全與發(fā)展方面，堅持維護(hù)數(shù)據(jù)安全和促進(jìn)數(shù)據(jù)開發(fā)利用并重，以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展。推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)，鼓勵和支持?jǐn)?shù)據(jù)在各行業(yè)、各領(lǐng)域的創(chuàng)新應(yīng)用，促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。

　　根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者公民、組織合法權(quán)益造成的危害程度，應(yīng)對數(shù)據(jù)實行分級分類保護(hù)。

　　大數(shù)據(jù)應(yīng)用在不斷發(fā)展創(chuàng)新的同時，由于數(shù)據(jù)違規(guī)收集、數(shù)據(jù)開放與隱私保護(hù)相矛盾以及粗放式“一刀切”管理方式等給大數(shù)據(jù)應(yīng)用的發(fā)展帶來嚴(yán)峻的安全挑戰(zhàn)。那么，如何進(jìn)行數(shù)據(jù)的分級、分類，采用什么樣的安全控制措施保護(hù)呢？

　　大數(shù)據(jù)資源的過度保護(hù)不利于大數(shù)據(jù)應(yīng)用的健康發(fā)展，數(shù)據(jù)安全成熟度以及數(shù)據(jù)分類分級的安全管控方式能夠避免“一刀切”帶來的問題，實現(xiàn)大數(shù)據(jù)應(yīng)用與個人權(quán)益的有效平衡。

　　2020年3月實施的DSMM（Data Security Maturity Model）很可能會成為該《數(shù)安法》的具體落地標(biāo)準(zhǔn)和衡量指標(biāo)，對于中國企業(yè)而言，以DSMM為數(shù)據(jù)安全治理思路方案選型，可以更好的實現(xiàn)數(shù)據(jù)安全治理的制度合規(guī)。

　　數(shù)據(jù)安全能力成熟度模型架構(gòu)

　　DSMM將數(shù)據(jù)按照其生命周期分階段采用不同的能力評估等級，分為數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全六個階段。DSMM將數(shù)據(jù)安全成熟度劃分成了1-5個等級，依次為非正式執(zhí)行級、計劃跟蹤級、充分定義級、量化控制級、持續(xù)優(yōu)化級，形成一個三維立體模型，全方位對數(shù)據(jù)安全進(jìn)行能力建設(shè)和評估。

　　圖1：DSMM數(shù)據(jù)能力成熟度模型

　　DSMM在數(shù)據(jù)生命周期的六個階段，刻畫出30個關(guān)鍵過程域，其中有19個專有的安全過程域和11個通用的安全過程域。

　　數(shù)據(jù)生命周期安全過程域

　　注：PA ：Process Area 過程域

　　1

　　數(shù)據(jù)采集安全

　　PA01數(shù)據(jù)分類分級；PA02 數(shù)據(jù)采集分類管理；PA03 數(shù)據(jù)源鑒別和記錄；PA04 數(shù)據(jù)質(zhì)量管理

　　2

　　數(shù)據(jù)傳輸安全

　　PA05 數(shù)據(jù)傳輸加密；PA06 網(wǎng)絡(luò)可用性管理

　　3

　　數(shù)據(jù)存儲安全

　　PA07 存儲介質(zhì)安全；PA08 邏輯存儲安全；PA09 數(shù)據(jù)備份和恢復(fù)

　　4

　　數(shù)據(jù)處理安全

　　PA10 數(shù)據(jù)過敏；PA11 數(shù)據(jù)分析安全；PA12 數(shù)據(jù)正當(dāng)使用；PA13 數(shù)據(jù)處理環(huán)境安全；PA14 數(shù)據(jù)導(dǎo)入導(dǎo)出安全

　　5

　　數(shù)據(jù)交換安全

　　PA15 數(shù)據(jù)共享安全；PA16 數(shù)據(jù)發(fā)布安全；PA17 數(shù)據(jù)接口安全

　　6

　　數(shù)據(jù)銷毀安全

　　PA18 數(shù)據(jù)銷毀處置；PA19 介質(zhì)銷毀處置

　　通用安全過程域

　　PA20 數(shù)據(jù)安全策略規(guī)劃

　　PA21 組織和人員管理

　　PA22 合規(guī)管理

　　PA23 數(shù)據(jù)資產(chǎn)管理

　　PA24 數(shù)據(jù)供應(yīng)鏈管理

　　PA25 元數(shù)據(jù)管理

　　PA26終端數(shù)據(jù)安全

　　PA27 監(jiān)控與審計

　　PA28 鑒別與訪問控制

　　PA29 需求分析

　　PA30安全事件應(yīng)急

　　數(shù)據(jù)分級分類模型

　　圖2：數(shù)據(jù)安全分類分級模型

　　根據(jù)數(shù)據(jù)安全分類分級模型，數(shù)據(jù)主要分類為：重要數(shù)據(jù)、個人及企業(yè)信息、業(yè)務(wù)數(shù)據(jù)，其相應(yīng)的數(shù)據(jù)級別如下：

　　重要數(shù)據(jù)分級

　　1

　　第一級

　　數(shù)據(jù)受到破壞后會對公民、法人和其他組織的合法權(quán)益造成損害，但不損害國家安全、社會秩序和公共利益。

　　2

　　第二級

　　數(shù)據(jù)受到破壞后，會對公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害?；蛘邔ι鐣刃蚝凸怖嬖斐蓳p害但不損害國家安全。

　　3

　　第三級

　　數(shù)據(jù)受到破壞后。會對社會秩序和公共利益造成嚴(yán)重?fù)p害?；蛘邔野踩斐蓳p害。

　　4

　　第四級

　　數(shù)據(jù)受到破壞后。會對社會秩序和公共利益造成特別嚴(yán)重?fù)p害。或者對國家安全造成嚴(yán)重?fù)p害。

　　5

　　第五級

　　數(shù)據(jù)受到破壞后，會對國家安全造成嚴(yán)特別嚴(yán)重?fù)p害。

　　個人及企業(yè)信息分級

　　1

　　低

　　保密：非授權(quán)用戶獲取個人信息數(shù)據(jù)對個人或群體等造成有限的不良影響。

　　完整：個人信息數(shù)據(jù)被非法授權(quán)修改和破壞對個人或群體等造成有限的不良影響。

　　可用：合法用戶使用個人信息數(shù)據(jù)被不正當(dāng)拒絕對個人或群體等造成有限的不良影響。

　　2

　　中

　　保密：非授權(quán)用戶獲取個人信息數(shù)據(jù)對個人或群體等造成嚴(yán)重的不良影響。

　　完整：個人信息數(shù)據(jù)被非法授權(quán)修改和破壞對個人或群體等造成嚴(yán)重的不良影響。

　　可用：合法用戶使用個人信息數(shù)據(jù)被不正當(dāng)拒絕對個人或群體等造成嚴(yán)重的不良影響。

　　3

　　高

　　保密：非授權(quán)用戶獲取個人信息數(shù)據(jù)對個人或群體等造成災(zāi)難性的不良影響。

　　完整：個人信息數(shù)據(jù)被非法授權(quán)修改和破壞對個人或群體等造成災(zāi)難性的不良影響。

　　可用：合法用戶使用個人信息數(shù)據(jù)被不正當(dāng)拒絕對個人或群體等造成災(zāi)難性的不良影響。

　　業(yè)務(wù)數(shù)據(jù)分級

　　1

　　低

　　保密：非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對組織運營、組織資產(chǎn)等造成有限的不良影響。

　　完整：業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對組織運營、組織資產(chǎn)等造成有限的不良影響。

　　可用：合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對組織運營、組織資產(chǎn)等造成有限的不良影響。

　　2

　　中

　　保密：非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對組織運營、組織資產(chǎn)等造成有限的不良影響。

　　完整：業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對組織運營、組織資產(chǎn)等造成有限的不良影響。

　　可用：合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對組織運營、組織資產(chǎn)等造成有限的不良影響。

　　1

　　高

　　保密：非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對組織運營、組織資產(chǎn)等造成災(zāi)難性（的不良影響。

　　完整：業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對組織運營、組織資產(chǎn)等造成災(zāi)難性的不良影響。。

　　可用：合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對組織運營、組織資產(chǎn)等造成災(zāi)難性的不良影響。

　　企業(yè)可基于上述公共分類、分級策略，結(jié)合自身業(yè)務(wù)合規(guī)需求實際，規(guī)劃出自己的數(shù)據(jù)分類分級方法，建立組織/公司自己的數(shù)據(jù)分類分級原則和方法，將數(shù)據(jù)按照重要程度進(jìn)行分類，然后在數(shù)據(jù)分類的基礎(chǔ)上根據(jù)數(shù)據(jù)安全在受到破壞后，對組織造成的影響和損失進(jìn)行分級。

　　在進(jìn)行數(shù)據(jù)分類分級后需要有針對性地制定數(shù)據(jù)防護(hù)要求，設(shè)置不同的訪問權(quán)限、對重要數(shù)據(jù)進(jìn)行加密存儲和傳輸、敏感數(shù)據(jù)進(jìn)行脫敏處理、重要操作進(jìn)行審計記錄和分析等。

　　為了進(jìn)一步介紹數(shù)據(jù)的分級分類管控，后續(xù)將分幾期文章，引用《中國移動的大數(shù)據(jù)分級分類管控實施指南》進(jìn)行介紹。如果想詳細(xì)了解管控措施，可咨詢報名益安的PDPF（1+2）課程，該課程不僅介紹歐盟的GDPR通用數(shù)據(jù)保護(hù)條例，還介紹了《數(shù)據(jù)安全法（草案）》和《個人信息安全規(guī)范》，同時可以考取EXIN PDPF證書。