《數據安全能力成熟度模型》實踐指南:數據分級分類
2019年8月30日,《信息安全技術 數據安全能力成熟度模型》(GB/T 37988-2019)簡稱DSMM(Data Security Maturity Model)正式成為國標對外發布,并已于2020年3月起正式實施。
DSMM將數據按照其生命周期分階段采用不同的能力評估等級,分為數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全六個階段。DSMM從組織建設、制度流程、技術工具、人員能力四個安全能力維度的建設進行綜合考量。DSMM將數據安全成熟度劃分成了1-5個等級,依次為非正式執行級、計劃跟蹤級、充分定義級、量化控制級、持續優化級,形成一個三維立體模型,全方面對數據安全進行能力建設。
圖1:數據分級分類三維立體模型
在此基礎上,DSMM將上述6個生命周期進一步細分,劃分出30個過程域。這30個過程域分別分布在數據生命周期的6個階段,部分過程域貫穿于整個數據生命周期。
圖2:數據生命周期安全過程域
隨著《中華人民共和國數據安全法(草案)》的公布,后續DSMM很可能會成為該法案的具體落地標準和衡量指標,對于中國企業而言,以DSMM為數據安全治理思路方案選型,可以更好的實現數據安全治理的制度合規。
本系列文將以DSMM數據安全治理思路為依托,針對上述各過程域,基于充分定義級視角(3級),提供數據安全建設實踐建議,本文作為開篇,將介紹數據采集安全階段的數據分類分級過程域(PA01)。
01定義
DSMM標準在充分定義級對數據分類分級要求如下:
組織建設
組織應設立負責數據安全分類分級工作的管理崗位利人員,主要負責定義組織整體的數據分類分級的安全原則(BP.01.04)。
制度流程
1)應明確數據分類分級原則、方法和操作指南(BP.01.05);
2)應對組織的數據進行分類分級標識和管理(BP.01.06);
3)應對不同類別利級別的數據建立相應的訪問控制、數據加解密、數據脫敏等安全管理和控制措施(BP.01.07);
4)應明確數據分類分級變更審批流程和機制,通過該流程保證對數據分類分級的變更操作及其結果符合組織的要求(BP.01.08)。
技術工具
應建立數據分類分級打標或數據資產管理工具,實現對數據的分類分級自動標識、標識結果發布、審核等功能(BP.01.09)。
人員能力
負責該項工作的人員應了解數據分類分級的合規要求,能夠識別哪些數據屬于敏感數據(BP.01.10)。
分享
請輸入評論內容...
請輸入評論/評論長度6~500個字
圖片新聞
