大數據的廣泛應用，帶來便捷的同時也伴隨著隱患，如何確保數據和隱私的安全，國家已立法：《中華人民共和國數據安全法（草案）》，該法案規(guī)定了應對數據進行分級分類管理和保護，那么如何管控防護呢？請看數據能力成熟度模型DSMM的規(guī)定吧！

　　隨著國家大數據發(fā)展戰(zhàn)略的實施，“互聯網+”行動的深入推進，大數據資源價值不斷提升，電信、互聯網、金融、政務、交通等領域相關的大數據應用也在蓬勃發(fā)展。這些大數據應用涉及的數據量大、種類多，同時又包含有很多用戶相關重要數據。亟待國家出臺數據安全方面的法規(guī)給予指引和管控，2020年6月28日，《中華人民共和國數據安全法（草案）》呼之欲出，自公布之日后，引起業(yè)界的廣泛關注，不斷有專家和企業(yè)開展數據安全法的解讀，以下簡稱《數安法》。在本法中：

　　據是指任何以電子或者非電子形式對信息的記錄。

　　數據活動，是指數據的收集、存儲、加工、使用、提供、交易、公開等行為。

　　數據安全，是指通過采取必要措施，保障數據得到有效保護和合法利用，并持續(xù)處于安全狀態(tài)的能力。

　　維護數據安全，應當堅持總體國家安全觀，建立健全數據安全治理體系，提高數據安全保障能力。在數據的安全與發(fā)展方面，堅持維護數據安全和促進數據開發(fā)利用并重，以數據開發(fā)利用和產業(yè)發(fā)展促進數據安全，以數據安全保障數據開發(fā)利用和產業(yè)發(fā)展。推進數據基礎設施建設，鼓勵和支持數據在各行業(yè)、各領域的創(chuàng)新應用，促進數字經濟發(fā)展。

　　根據數據在經濟社會發(fā)展中的重要程度，以及一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，對國家安全、公共利益或者公民、組織合法權益造成的危害程度，應對數據實行分級分類保護。

　　大數據應用在不斷發(fā)展創(chuàng)新的同時，由于數據違規(guī)收集、數據開放與隱私保護相矛盾以及粗放式“一刀切”管理方式等給大數據應用的發(fā)展帶來嚴峻的安全挑戰(zhàn)。那么，如何進行數據的分級、分類，采用什么樣的安全控制措施保護呢？

　　大數據資源的過度保護不利于大數據應用的健康發(fā)展，數據安全成熟度以及數據分類分級的安全管控方式能夠避免“一刀切”帶來的問題，實現大數據應用與個人權益的有效平衡。

　　2020年3月實施的DSMM（Data Security Maturity Model）很可能會成為該《數安法》的具體落地標準和衡量指標，對于中國企業(yè)而言，以DSMM為數據安全治理思路方案選型，可以更好的實現數據安全治理的制度合規(guī)。

　　數據安全能力成熟度模型架構

　　DSMM將數據按照其生命周期分階段采用不同的能力評估等級，分為數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全六個階段。DSMM將數據安全成熟度劃分成了1-5個等級，依次為非正式執(zhí)行級、計劃跟蹤級、充分定義級、量化控制級、持續(xù)優(yōu)化級，形成一個三維立體模型，全方位對數據安全進行能力建設和評估。

　　圖1：DSMM數據能力成熟度模型

　　DSMM在數據生命周期的六個階段，刻畫出30個關鍵過程域，其中有19個專有的安全過程域和11個通用的安全過程域。

　　數據生命周期安全過程域

　　注：PA ：Process Area 過程域

　　1

　　數據采集安全

　　PA01數據分類分級；PA02 數據采集分類管理；PA03 數據源鑒別和記錄；PA04 數據質量管理

　　2

　　數據傳輸安全

　　PA05 數據傳輸加密；PA06 網絡可用性管理

　　3

　　數據存儲安全

　　PA07 存儲介質安全；PA08 邏輯存儲安全；PA09 數據備份和恢復

　　4

　　數據處理安全

　　PA10 數據過敏；PA11 數據分析安全；PA12 數據正當使用；PA13 數據處理環(huán)境安全；PA14 數據導入導出安全

　　5

　　數據交換安全

　　PA15 數據共享安全；PA16 數據發(fā)布安全；PA17 數據接口安全

　　6

　　數據銷毀安全

　　PA18 數據銷毀處置；PA19 介質銷毀處置

　　通用安全過程域

　　PA20 數據安全策略規(guī)劃

　　PA21 組織和人員管理

　　PA22 合規(guī)管理

　　PA23 數據資產管理

　　PA24 數據供應鏈管理

　　PA25 元數據管理

　　PA26終端數據安全

　　PA27 監(jiān)控與審計

　　PA28 鑒別與訪問控制

　　PA29 需求分析

　　PA30安全事件應急

　　數據分級分類模型

　　圖2：數據安全分類分級模型

　　根據數據安全分類分級模型，數據主要分類為：重要數據、個人及企業(yè)信息、業(yè)務數據，其相應的數據級別如下：

　　重要數據分級

　　1

　　第一級

　　數據受到破壞后會對公民、法人和其他組織的合法權益造成損害，但不損害國家安全、社會秩序和公共利益。

　　2

　　第二級

　　數據受到破壞后，會對公民、法人和其他組織的合法權益產生嚴重損害。或者對社會秩序和公共利益造成損害但不損害國家安全。

　　3

　　第三級

　　數據受到破壞后。會對社會秩序和公共利益造成嚴重損害?；蛘邔野踩斐蓳p害。

　　4

　　第四級

　　數據受到破壞后。會對社會秩序和公共利益造成特別嚴重損害?；蛘邔野踩斐蓢乐負p害。

　　5

　　第五級

　　數據受到破壞后，會對國家安全造成嚴特別嚴重損害。

　　個人及企業(yè)信息分級

　　1

　　低

　　保密：非授權用戶獲取個人信息數據對個人或群體等造成有限的不良影響。

　　完整：個人信息數據被非法授權修改和破壞對個人或群體等造成有限的不良影響。

　　可用：合法用戶使用個人信息數據被不正當拒絕對個人或群體等造成有限的不良影響。

　　2

　　中

　　保密：非授權用戶獲取個人信息數據對個人或群體等造成嚴重的不良影響。

　　完整：個人信息數據被非法授權修改和破壞對個人或群體等造成嚴重的不良影響。

　　可用：合法用戶使用個人信息數據被不正當拒絕對個人或群體等造成嚴重的不良影響。

　　3

　　高

　　保密：非授權用戶獲取個人信息數據對個人或群體等造成災難性的不良影響。

　　完整：個人信息數據被非法授權修改和破壞對個人或群體等造成災難性的不良影響。

　　可用：合法用戶使用個人信息數據被不正當拒絕對個人或群體等造成災難性的不良影響。

　　業(yè)務數據分級

　　1

　　低

　　保密：非授權用戶獲取業(yè)務數據對組織運營、組織資產等造成有限的不良影響。

　　完整：業(yè)務數據被非法授權修改和破壞對組織運營、組織資產等造成有限的不良影響。

　　可用：合法用戶使用業(yè)務數據被不正當拒絕對組織運營、組織資產等造成有限的不良影響。

　　2

　　中

　　保密：非授權用戶獲取業(yè)務數據對組織運營、組織資產等造成有限的不良影響。

　　完整：業(yè)務數據被非法授權修改和破壞對組織運營、組織資產等造成有限的不良影響。

　　可用：合法用戶使用業(yè)務數據被不正當拒絕對組織運營、組織資產等造成有限的不良影響。

　　1

　　高

　　保密：非授權用戶獲取業(yè)務數據對組織運營、組織資產等造成災難性（的不良影響。

　　完整：業(yè)務數據被非法授權修改和破壞對組織運營、組織資產等造成災難性的不良影響。。

　　可用：合法用戶使用業(yè)務數據被不正當拒絕對組織運營、組織資產等造成災難性的不良影響。

　　企業(yè)可基于上述公共分類、分級策略，結合自身業(yè)務合規(guī)需求實際，規(guī)劃出自己的數據分類分級方法，建立組織/公司自己的數據分類分級原則和方法，將數據按照重要程度進行分類，然后在數據分類的基礎上根據數據安全在受到破壞后，對組織造成的影響和損失進行分級。

　　在進行數據分類分級后需要有針對性地制定數據防護要求，設置不同的訪問權限、對重要數據進行加密存儲和傳輸、敏感數據進行脫敏處理、重要操作進行審計記錄和分析等。

　　為了進一步介紹數據的分級分類管控，后續(xù)將分幾期文章，引用《中國移動的大數據分級分類管控實施指南》進行介紹。如果想詳細了解管控措施，可咨詢報名益安的PDPF（1+2）課程，該課程不僅介紹歐盟的GDPR通用數據保護條例，還介紹了《數據安全法（草案）》和《個人信息安全規(guī)范》，同時可以考取EXIN PDPF證書。