《数据安全能力成熟度模型》实践指南:数据分级分类
2019年8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。
DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。
图1:数据分级分类三维立体模型
在此基础上,DSMM将上述6个生命周期进一步细分,划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段,部分过程域贯穿于整个数据生命周期。
图2:数据生命周期安全过程域
随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落地标准和衡量指标,对于中国企业而言,以DSMM为数据安全治理思路方案选型,可以更好的实现数据安全治理的制度合规。
本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为开篇,将介绍数据采集安全阶段的数据分类分级过程域(PA01)。
01定义
DSMM标准在充分定义级对数据分类分级要求如下:
组织建设
组织应设立负责数据安全分类分级工作的管理岗位利人员,主要负责定义组织整体的数据分类分级的安全原则(BP.01.04)。
制度流程
1)应明确数据分类分级原则、方法和操作指南(BP.01.05);
2)应对组织的数据进行分类分级标识和管理(BP.01.06);
3)应对不同类别利级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施(BP.01.07);
4)应明确数据分类分级变更审批流程和机制,通过该流程保证对数据分类分级的变更操作及其结果符合组织的要求(BP.01.08)。
技术工具
应建立数据分类分级打标或数据资产管理工具,实现对数据的分类分级自动标识、标识结果发布、审核等功能(BP.01.09)。
人员能力
负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感数据(BP.01.10)。
图片新闻
发表评论
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论