近年来数据贩卖、数据垄断、数字滥用、数据窃取等相关的违法案例激增,企业在数字化转型过程中的数据安全问题愈发凸显。据统计2021年全球数据泄露事件的数量超过过去15年的总和。伴随着数据价值的提高,数据安全形势愈发严峻,数据泄露事件频发,数据泄露手段防不胜防,给企业带来了巨大的风险。
数据安全相较于传统网络安全,更加聚焦数据内容本身的保护,关注数据防泄漏、防滥用,注重防范数据风险与数据应用之间的平衡,具有跨组织联动,技术风险、操作风险、商业风险和法律风险并存的特点。
面对数据安全的严峻形势,世界各国陆续发布数据安全相关法律法规,给企业建立数据合规要求。代表性的法律法规有欧盟的《通用数据保护条例》(General Data Protection Regulation,简称GDPR)等。各国在通过数据安全领域立法保护公民隐私安全的同时,也在数据主权保护、国家安全等层面相互博弈。我国在数据安全领域目前已陆续颁布《网络安全法》、《数据安全法》、《个人信息保护法》、《密码法》等法律,数据安全保护法规框架已初步建立。
在考虑组织的数据安全时,应将国家安全放在首位,同时考虑公共利益、公民权益、企业利益,充分考虑数据在组织内部应用流转的需求,这需要基于数据流动场景的数据安全生命周期防护方案。
目前在数据安全领域推广最为广泛的标准理论是《GT/B 37988-2019信息安全技术 数据安全能力成熟度模型》(简称DSMM)。
该标准发布于2019年,借鉴了能力成熟度模型(CMM)的思想,将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。
数据安全能力成熟度模型(简称DSMM)发布于2019年,早于《数据安全法》的颁布,但DSMM中有关数据生命周期的概念和相关要求与《数据安全法》有对应关系。
通过DSMM模型建立数据安全管理体系,企业可以找到提升数据安全能力,增强企业数据安全意识,保证《数据安全法》等合规要求在企业内部落地实施的有效途径。
DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。
该标准能够用来衡量一个组织的数据安全能力成熟度水平,可以帮助行业、企业和组织发现数据安全能力短板,相关主管部门也可以用于数据安全管理,根据数据安全能力水平高低决定企业拥有数据的类型和范围,最终提升全社会的数据安全水平和行业竞争力,确保大数据产业及数字经济的发展。