大數(shù)據(jù)的廣泛應(yīng)用，帶來(lái)便捷的同時(shí)也伴隨著隱患，如何確保數(shù)據(jù)和隱私的安全，國(guó)家已立法：《中華人民共和國(guó)數(shù)據(jù)安全法（草案）》，該法案規(guī)定了應(yīng)對(duì)數(shù)據(jù)進(jìn)行分級(jí)分類管理和保護(hù)，那么如何管控防護(hù)呢？請(qǐng)看數(shù)據(jù)能力成熟度模型DSMM的規(guī)定吧！

　　隨著國(guó)家大數(shù)據(jù)發(fā)展戰(zhàn)略的實(shí)施，“互聯(lián)網(wǎng)+”行動(dòng)的深入推進(jìn)，大數(shù)據(jù)資源價(jià)值不斷提升，電信、互聯(lián)網(wǎng)、金融、政務(wù)、交通等領(lǐng)域相關(guān)的大數(shù)據(jù)應(yīng)用也在蓬勃發(fā)展。這些大數(shù)據(jù)應(yīng)用涉及的數(shù)據(jù)量大、種類多，同時(shí)又包含有很多用戶相關(guān)重要數(shù)據(jù)。亟待國(guó)家出臺(tái)數(shù)據(jù)安全方面的法規(guī)給予指引和管控，2020年6月28日，《中華人民共和國(guó)數(shù)據(jù)安全法（草案）》呼之欲出，自公布之日后，引起業(yè)界的廣泛關(guān)注，不斷有專家和企業(yè)開展數(shù)據(jù)安全法的解讀，以下簡(jiǎn)稱《數(shù)安法》。在本法中：

　　據(jù)是指任何以電子或者非電子形式對(duì)信息的記錄。

　　數(shù)據(jù)活動(dòng)，是指數(shù)據(jù)的收集、存儲(chǔ)、加工、使用、提供、交易、公開等行為。

　　數(shù)據(jù)安全，是指通過(guò)采取必要措施，保障數(shù)據(jù)得到有效保護(hù)和合法利用，并持續(xù)處于安全狀態(tài)的能力。

　　維護(hù)數(shù)據(jù)安全，應(yīng)當(dāng)堅(jiān)持總體國(guó)家安全觀，建立健全數(shù)據(jù)安全治理體系，提高數(shù)據(jù)安全保障能力。在數(shù)據(jù)的安全與發(fā)展方面，堅(jiān)持維護(hù)數(shù)據(jù)安全和促進(jìn)數(shù)據(jù)開發(fā)利用并重，以數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展促進(jìn)數(shù)據(jù)安全，以數(shù)據(jù)安全保障數(shù)據(jù)開發(fā)利用和產(chǎn)業(yè)發(fā)展。推進(jìn)數(shù)據(jù)基礎(chǔ)設(shè)施建設(shè)，鼓勵(lì)和支持?jǐn)?shù)據(jù)在各行業(yè)、各領(lǐng)域的創(chuàng)新應(yīng)用，促進(jìn)數(shù)字經(jīng)濟(jì)發(fā)展。

　　根據(jù)數(shù)據(jù)在經(jīng)濟(jì)社會(huì)發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對(duì)國(guó)家安全、公共利益或者公民、組織合法權(quán)益造成的危害程度，應(yīng)對(duì)數(shù)據(jù)實(shí)行分級(jí)分類保護(hù)。

　　大數(shù)據(jù)應(yīng)用在不斷發(fā)展創(chuàng)新的同時(shí)，由于數(shù)據(jù)違規(guī)收集、數(shù)據(jù)開放與隱私保護(hù)相矛盾以及粗放式“一刀切”管理方式等給大數(shù)據(jù)應(yīng)用的發(fā)展帶來(lái)嚴(yán)峻的安全挑戰(zhàn)。那么，如何進(jìn)行數(shù)據(jù)的分級(jí)、分類，采用什么樣的安全控制措施保護(hù)呢？

　　大數(shù)據(jù)資源的過(guò)度保護(hù)不利于大數(shù)據(jù)應(yīng)用的健康發(fā)展，數(shù)據(jù)安全成熟度以及數(shù)據(jù)分類分級(jí)的安全管控方式能夠避免“一刀切”帶來(lái)的問(wèn)題，實(shí)現(xiàn)大數(shù)據(jù)應(yīng)用與個(gè)人權(quán)益的有效平衡。

　　2020年3月實(shí)施的DSMM（Data Security Maturity Model）很可能會(huì)成為該《數(shù)安法》的具體落地標(biāo)準(zhǔn)和衡量指標(biāo)，對(duì)于中國(guó)企業(yè)而言，以DSMM為數(shù)據(jù)安全治理思路方案選型，可以更好的實(shí)現(xiàn)數(shù)據(jù)安全治理的制度合規(guī)。

　　數(shù)據(jù)安全能力成熟度模型架構(gòu)

　　DSMM將數(shù)據(jù)按照其生命周期分階段采用不同的能力評(píng)估等級(jí)，分為數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全六個(gè)階段。DSMM將數(shù)據(jù)安全成熟度劃分成了1-5個(gè)等級(jí)，依次為非正式執(zhí)行級(jí)、計(jì)劃跟蹤級(jí)、充分定義級(jí)、量化控制級(jí)、持續(xù)優(yōu)化級(jí)，形成一個(gè)三維立體模型，全方位對(duì)數(shù)據(jù)安全進(jìn)行能力建設(shè)和評(píng)估。

　　圖1：DSMM數(shù)據(jù)能力成熟度模型

　　DSMM在數(shù)據(jù)生命周期的六個(gè)階段，刻畫出30個(gè)關(guān)鍵過(guò)程域，其中有19個(gè)專有的安全過(guò)程域和11個(gè)通用的安全過(guò)程域。

　　數(shù)據(jù)生命周期安全過(guò)程域

　　注：PA ：Process Area 過(guò)程域

　　1

　　數(shù)據(jù)采集安全

　　PA01數(shù)據(jù)分類分級(jí)；PA02 數(shù)據(jù)采集分類管理；PA03 數(shù)據(jù)源鑒別和記錄；PA04 數(shù)據(jù)質(zhì)量管理

　　2

　　數(shù)據(jù)傳輸安全

　　PA05 數(shù)據(jù)傳輸加密；PA06 網(wǎng)絡(luò)可用性管理

　　3

　　數(shù)據(jù)存儲(chǔ)安全

　　PA07 存儲(chǔ)介質(zhì)安全；PA08 邏輯存儲(chǔ)安全；PA09 數(shù)據(jù)備份和恢復(fù)

　　4

　　數(shù)據(jù)處理安全

　　PA10 數(shù)據(jù)過(guò)敏；PA11 數(shù)據(jù)分析安全；PA12 數(shù)據(jù)正當(dāng)使用；PA13 數(shù)據(jù)處理環(huán)境安全；PA14 數(shù)據(jù)導(dǎo)入導(dǎo)出安全

　　5

　　數(shù)據(jù)交換安全

　　PA15 數(shù)據(jù)共享安全；PA16 數(shù)據(jù)發(fā)布安全；PA17 數(shù)據(jù)接口安全

　　6

　　數(shù)據(jù)銷毀安全

　　PA18 數(shù)據(jù)銷毀處置；PA19 介質(zhì)銷毀處置

　　通用安全過(guò)程域

　　PA20 數(shù)據(jù)安全策略規(guī)劃

　　PA21 組織和人員管理

　　PA22 合規(guī)管理

　　PA23 數(shù)據(jù)資產(chǎn)管理

　　PA24 數(shù)據(jù)供應(yīng)鏈管理

　　PA25 元數(shù)據(jù)管理

　　PA26終端數(shù)據(jù)安全

　　PA27 監(jiān)控與審計(jì)

　　PA28 鑒別與訪問(wèn)控制

　　PA29 需求分析

　　PA30安全事件應(yīng)急

　　數(shù)據(jù)分級(jí)分類模型

　　圖2：數(shù)據(jù)安全分類分級(jí)模型

　　根據(jù)數(shù)據(jù)安全分類分級(jí)模型，數(shù)據(jù)主要分類為：重要數(shù)據(jù)、個(gè)人及企業(yè)信息、業(yè)務(wù)數(shù)據(jù)，其相應(yīng)的數(shù)據(jù)級(jí)別如下：

　　重要數(shù)據(jù)分級(jí)

　　1

　　第一級(jí)

　　數(shù)據(jù)受到破壞后會(huì)對(duì)公民、法人和其他組織的合法權(quán)益造成損害，但不損害國(guó)家安全、社會(huì)秩序和公共利益。

　　2

　　第二級(jí)

　　數(shù)據(jù)受到破壞后，會(huì)對(duì)公民、法人和其他組織的合法權(quán)益產(chǎn)生嚴(yán)重?fù)p害?；蛘邔?duì)社會(huì)秩序和公共利益造成損害但不損害國(guó)家安全。

　　3

　　第三級(jí)

　　數(shù)據(jù)受到破壞后。會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害?；蛘邔?duì)國(guó)家安全造成損害。

　　4

　　第四級(jí)

　　數(shù)據(jù)受到破壞后。會(huì)對(duì)社會(huì)秩序和公共利益造成特別嚴(yán)重?fù)p害?；蛘邔?duì)國(guó)家安全造成嚴(yán)重?fù)p害。

　　5

　　第五級(jí)

　　數(shù)據(jù)受到破壞后，會(huì)對(duì)國(guó)家安全造成嚴(yán)特別嚴(yán)重?fù)p害。

　　個(gè)人及企業(yè)信息分級(jí)

　　1

　　低

　　保密：非授權(quán)用戶獲取個(gè)人信息數(shù)據(jù)對(duì)個(gè)人或群體等造成有限的不良影響。

　　完整：個(gè)人信息數(shù)據(jù)被非法授權(quán)修改和破壞對(duì)個(gè)人或群體等造成有限的不良影響。

　　可用：合法用戶使用個(gè)人信息數(shù)據(jù)被不正當(dāng)拒絕對(duì)個(gè)人或群體等造成有限的不良影響。

　　2

　　中

　　保密：非授權(quán)用戶獲取個(gè)人信息數(shù)據(jù)對(duì)個(gè)人或群體等造成嚴(yán)重的不良影響。

　　完整：個(gè)人信息數(shù)據(jù)被非法授權(quán)修改和破壞對(duì)個(gè)人或群體等造成嚴(yán)重的不良影響。

　　可用：合法用戶使用個(gè)人信息數(shù)據(jù)被不正當(dāng)拒絕對(duì)個(gè)人或群體等造成嚴(yán)重的不良影響。

　　3

　　高

　　保密：非授權(quán)用戶獲取個(gè)人信息數(shù)據(jù)對(duì)個(gè)人或群體等造成災(zāi)難性的不良影響。

　　完整：個(gè)人信息數(shù)據(jù)被非法授權(quán)修改和破壞對(duì)個(gè)人或群體等造成災(zāi)難性的不良影響。

　　可用：合法用戶使用個(gè)人信息數(shù)據(jù)被不正當(dāng)拒絕對(duì)個(gè)人或群體等造成災(zāi)難性的不良影響。

　　業(yè)務(wù)數(shù)據(jù)分級(jí)

　　1

　　低

　　保密：非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)等造成有限的不良影響。

　　完整：業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)等造成有限的不良影響。

　　可用：合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)等造成有限的不良影響。

　　2

　　中

　　保密：非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)等造成有限的不良影響。

　　完整：業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)等造成有限的不良影響。

　　可用：合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)等造成有限的不良影響。

　　1

　　高

　　保密：非授權(quán)用戶獲取業(yè)務(wù)數(shù)據(jù)對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)等造成災(zāi)難性（的不良影響。

　　完整：業(yè)務(wù)數(shù)據(jù)被非法授權(quán)修改和破壞對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)等造成災(zāi)難性的不良影響。。

　　可用：合法用戶使用業(yè)務(wù)數(shù)據(jù)被不正當(dāng)拒絕對(duì)組織運(yùn)營(yíng)、組織資產(chǎn)等造成災(zāi)難性的不良影響。

　　企業(yè)可基于上述公共分類、分級(jí)策略，結(jié)合自身業(yè)務(wù)合規(guī)需求實(shí)際，規(guī)劃出自己的數(shù)據(jù)分類分級(jí)方法，建立組織/公司自己的數(shù)據(jù)分類分級(jí)原則和方法，將數(shù)據(jù)按照重要程度進(jìn)行分類，然后在數(shù)據(jù)分類的基礎(chǔ)上根據(jù)數(shù)據(jù)安全在受到破壞后，對(duì)組織造成的影響和損失進(jìn)行分級(jí)。

　　在進(jìn)行數(shù)據(jù)分類分級(jí)后需要有針對(duì)性地制定數(shù)據(jù)防護(hù)要求，設(shè)置不同的訪問(wèn)權(quán)限、對(duì)重要數(shù)據(jù)進(jìn)行加密存儲(chǔ)和傳輸、敏感數(shù)據(jù)進(jìn)行脫敏處理、重要操作進(jìn)行審計(jì)記錄和分析等。

　　為了進(jìn)一步介紹數(shù)據(jù)的分級(jí)分類管控，后續(xù)將分幾期文章，引用《中國(guó)移動(dòng)的大數(shù)據(jù)分級(jí)分類管控實(shí)施指南》進(jìn)行介紹。如果想詳細(xì)了解管控措施，可咨詢報(bào)名益安的PDPF（1+2）課程，該課程不僅介紹歐盟的GDPR通用數(shù)據(jù)保護(hù)條例，還介紹了《數(shù)據(jù)安全法（草案）》和《個(gè)人信息安全規(guī)范》，同時(shí)可以考取EXIN PDPF證書。