DCMM标准之数据安全域解读(二):数据安全管理
《数据管理能力成熟度评估模型》(以下简称DCMM)是我国在数据管理领域首个正式发布的国家标准,旨在帮助企业利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。
01
—
DCMM标准介绍
DCMM是国家标准《GB/T36073-2018 数据管理能力成熟度评估模型》(Data management Capability Maturity Model)的英文简称。
图1 DCMM数据管理能力成熟度评估模型
目标:数据战略-引领价值发展方向
价值:数据应用-通过运营持续交付价值
环境:数据治理-搭建良好的运行环境
支撑:
数据质量-保证应用质量
数据安全-保证应用安全
标准:
数据架构-技术的标准
数据标准-数据的标准
建设:数据生存周期-项目全过程遵循标准
DCMM是我国在数据管理领域首个正式发布的国家标准,旨在帮助企业利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。
图 2 数据管理能力成熟度等级
02
—
DCMM数据安全域概述
《数据安全法》第三条对数据方面的基础定义:
数据:任何以电子或其他方式对信息的记录。
数据处理:对数据的采集、存储、使用、加工、传输、提供、公开等。
数据安全:通过采取必要措施,确保数据处于有效保护和合法利用的状态,具备保障持续安全状态的能力。
《个人信息保护法》第四条对个人信息的定义:
个人信息:以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化之后的信息。
个人信息处理:个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
数据安全保护对象:包括国家层面的重要数据和核心数据、个人层面的个人信息、社会层面的公共数据、组织层面的组织数据等。
GB/T 36073-2018《数据管理能力成熟度评估模型》设置数据安全能力域,包含数据安全策略、数据安全管理、数据安全审计3个能力项,给出5个能力等级标准:初始级、受管理级、稳健级、量化管理级、优化级。数据安全策略:评估组织在制定、宣贯、落实和持续改进指导数据安全活动和策略方面的能力级别。 数据安全管理:评估组织在整个数据生存周期中,依据数据安全策略和相关标准,管理数据的分类分级、访问控制、风险管理等数据安全活动方面的能力级别。 数据安全审计:评估组织在分析、验证、改进数据安全活动方面的能力级别。
03
—
数据安全管理能力项
一、概述
二、业务驱动
三、建设目标
对组织内部的数据进行分级管理,关注重点数据的管理需求; 对数据在组织内部流转的各个环节进行监控,保证数据的安全;
分析潜在的数据安全风险,预防风险。
四、建设过程
数据安全等级的划分
数据分级的目标:确保数据资产按照敏感性受到差异化保护。
合法合规性原则:满足国家法规与主管部门规定; 可执行性原则:明确、统一的定级规则; 实效性原则:有效期限是安全级别的必要属性,安全定级需按时效性调整; 自主性原则:每个组织根据自身需要制定安全级别。
数据安全定级要素(数据风险的评估CIA要素):数据资产保密性、完整性、可用性的风险后果严重性、资产重要性、影响对象范围等。量化定级通常包括对保密性、完整性、可用性的不同属性赋值打分。
保密性评估:包括未授权使用后对国家、个人、公众利益、企业合法权益造成的损害严重程度; 完整性评估:包括数据篡改或损毁之后对国家、个人、公众利益、企业合法权益造成的损害严重程度; 可用性评估:包括数据使用中断对国家、个人、公众利益、企业合法权益造成的损害严重程度。
在数据资产分类清单的基础上,由数据安全管理归口部门发起分类分级工作,协同信息技术部门制定数据分类分级的工作指南,明确数据定级的颗粒度(数据库文件、表、字段等)。 业务部门配合指南提供对最细颗粒度数据定级的专业意见,指南发布后,业务部门和相关部门针对自己负责的数据填写分类分级表,形成对数据清单的初步安全等级判定。 归口部门对此进行审核,如通过,形成数据安全分级的清单并且发布,相关部门复审之后,纳入制定数据安全策略的需求,根据清单制定、固化、更新相关数据安全策略。
2. 数据访问权限控制
制定数据安全管理相关的利益相关者清单,了解相关人员数据安全的需求,对相关人员的数据访问、控制权限进行授权。
数据安全分类分级管理:针对不同的类别和敏感程度的数据,实施相应的访问授权机制。 业务必需、最小授权、职责分离的访问控制策略; 对高密级或重要数据操作设置内部审批流程; 对敏感信息的访问、修改等操作行为,按照业务流程的要求触发操作授权; 对访问策略与访问记录进行定期审计。
3. 数据安全人员管理
在数据安全关键岗位设置方面,对接触高密级的人员及岗位进行审批、登记管理,定期安全审查。
数据安全关键岗位包括:数据安全管理岗、审计岗;业务操作与技术操作高特权者(数据权限审批岗位);重要数据处理岗位;高频或大量接触高密级数据的人员;外部数据采购岗。
4. 数据安全保护
有效性:消除原始数据的敏感信息; 高效性:自动化可重复执行,控制脱敏时间和经济成本。 可重现性:相同的原始数据脱敏后具有一致性; 关联性:脱敏后数据保持原始数据的对应关系。
5. 数据安全风险
相关部门的重要数据在采集、传输、存储、处理、交换与销毁过程中的合规性; 相关管理措施是否落实到位,相关技术措施是否运用得当,相关访问权限是否合理规范,相关部门是否准确履行责任。
归口部门发起数据安全检查工作,与信息管理部门协同相关部门制定检查实施方案; 实施方案审批通过后,业务部门配合业务检查,信息管理部门配合技术检查; 检查执行完毕,审核检查结果,根据结果进行数据安全问题分析,制定防范措施,落实到数据安全保护的工作中。
五、标准条款
级别 1:初始级
条款1) 在项目中进行了数据访问授权和数据访问监控; 条款2) 对出现的数据安全问题进行分析和管理。
2. 级别 2:受管理级
条款1) 依据数据安全标准在业务部门内部对数据进行了安全等级的划分;
条款2) 在业务部门内部进行了利益相关者需求的识别,并进行了数据访问授权及数据安全保护;
条款3) 在业务部门内部进行了数据访问、使用等方面的监控。
条款4)业务部门内部对潜在数据安全风险进行了分析,制定了预防措施。
3. 级别 3:稳健级
4. 级别 4:量化管理级
条款1) 定义了数据安全管理的考核指标和考核办法;
条款2) 定期汇总数据安全管理工作进展,在组织层面发布数据安全管理工作报告;
条款3) 重点数据的安全控制可落实到字段级,明确核心字段的安全等级和管控措施。
5. 级别 5:优化级
条款1)能主动预防数据安全风险,并对已发生的数据安全问题进行溯源和分析;
条款2)在业界分享最佳实践,成为行业标杆。
THE END
—
想了解更多数据安全的管理制度、标准规范、产品服务、认证评估等,可扫码加入「 数据安全备忘录」知识星球,更多精彩内容持续更新中!
关注【数据安全备忘录】公众号,获取更多行业资讯!