《数据安全法》解读—数据安全检测评估与认证
发布时间 2021-06-28《数据安全法》提出了数据安全检测评估与认证的要求。那么要如何开展此项工作才能满足法律的合规要求?本文结合公司多年在数据安全治理咨询项目中积累的丰富经验,给出以下几点建议供参考。
《数据安全法》第十八条要求
国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。
国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
专业解读
目前,我国在数据管理领域,已经正式出台的国家标准有《数据管理能力成熟度评估模型(GB/T 36073-2018)》(DCMM),在数据安全检测评估、认证领域的标准有《数据安全能力成熟度模型(GB/T 37988-2019)》(DSMM)和团体标准《数据安全治理能力评估方法》(T/ISC-0011-2021),这三个标准可以成为各行业、企业开展数据治理、数据安全风险评估的参考标准。
下面结合启明星辰集团在数据安全咨询服务领域的项目经验,对以上三个标准进行简要介绍。
● 《数据管理能力成熟度评估模型(GB/T 36073-2018)》
该标准在业界一般简称为DCMM(Data management Capability Maturity assessment Model),是我国数据管理领域中的第一个国家标准。该标准注重从源头数据规范管理抓起,进一步保障数据应用全生命周期的科学、规范、安全、可行,为我国数据管理体系建设、企业数据管理能力提升提供了标准化支撑。
DCMM主要围绕企业的数据架构的八个方面,对企业数据管理能力进行评估,如下图:
并将企业数据管理能力成熟度水平分为初始级、受管理级、稳健级、量化管理级、优化级等五个等级。
通过实施该标准,可以规范和指导相关单位提升数据管理水平,充分挖掘释放数据要素对其他要素效率的倍增作用,帮助企业查明问题,找到差距,指出方向,建设与企业发展战略相匹配的数据管理能力体系。目前,该标准已在全国金融、通讯、能源、传媒等行业的龙头企业进行贯标试点推广,取得显著成效。
DCMM标准的能力域和能力项如下:
●《数据安全能力成熟度模型(GB/T 37988-2019)》
该标准在业界一般简称为DSMM(Data Security Capability Maturity Model),启明星辰集团参与了此标准的编写。该标准给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。
该标准特点如下:
▶ 以数据生命周期安全为核心
围绕数据生命周期,提炼出大数据环境下,以数据为中心,针对数据生命周期各阶段建立的相关数据安全过程域体系。
▶ 安全能力维度要求
明确组织机构在各数据安全领域所需要具备的能力维度,明确为组织建设、制度流程、技术工具和人员能力四个关键能力的维度。各个关键能力维度要求如下:
1)组织建设:数据安全组织机构的架构建立、职责分配和沟通协作。
2)制度流程:组织机构关键数据安全领域的制度规范和流程落地建设。
3)技术工具:通过技术手段和产品工具固化安全要求或自动化实现安全工作。
4)人员能力:执行数据安全工作的人员的意识及专业能力。
▶ 能力成熟度等级划分
基于统一的分级标准,细化组织机构在各数据安全过程域的五个级别的能力成熟度分级要求。其中安全过程域体系覆盖数据生命周期的六个阶段,包含数据生命周期通用安全的过程域和数据生命周期各阶段安全的过程域。
组织机构的数据安全能力成熟度模型分为五个成熟度等级:
1级-非正式执行级
2级-计划跟踪级
3级-充分定义级
4级-量化控制级
5级-持续改进级
能力级别从一级至五级逐级高,标志着组织机构的数据安全保障能力的成熟度不断提升。每个级别规定了对应的公共特征和通用实践。
该标准适合用来作为评估组织数据安全能力的方法和标准,亦可在组织开展数据安全能力建设的过程中被用作参考目标和依据。
●《数据安全治理能力评估方法(T/ISC-0011-2021)》
该标准为团体标准,由中国互联网协会牵头制定,启明星辰集团参与了此标准的编写。该标准为今年新发布的标准,可指导电信行业、互联网企业数据安全治理能力建设,帮助企业发现数据安全治理能力的不足,促进行业数据安全治理能力发展。
该标准以数据全生命周期的安全治理能力建设为切入点,关注数据安全治理要点和关键环节的建设情况,梳理治理能力级别并分级制定考核指标,以对电信行业、互联网企业的数据安全治理能力进行度量,为企业不断提升数据安全治理能力提供可操作的实施指南。
该标准描述了各类数据治理活动及其相关平台应遵循的数据安全治理能力要求和评估方法,包括评估等级划分方法,包括评估等级划分方法、数据安全战略、数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据共享安全、数据销毁安全、基础安全等能力的具体评估等级确定原则。
该标准中规定的数据安全治理能力总体要求如下:
数据安全治理能力:包括数据安全战略、数据全生命周期安全、基础安全三部分。
数据安全战略能力:包括数据安全规划、机构人员安全管理。
数据全生命周期安全能力:包括数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据共享安全、数据销毁安全。
基础安全:包括数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急。
该标准适用于电信行业和互联网行业等企业开展数据治理工作,为其数据安全治理能力评估提供参考和指引。
上面已经对三个标准进行了简要的介绍,下面对三个标准的异同点分析:
在“数字中国”时代,数据要素安全更加成为大家关注的焦点,而《数据安全法》的正式颁发,让数据要素安全实现了有法可依,也为数字经济的发展指明了方向。启明星辰集团作为信息安全行业的领军企业,自成立以来就非常重视云计算、人工智能、物联网、大数据等前沿技术研究和探索,在数据安全领域具备丰富的实践经验和专业的技术优势,可更好地为客户筑牢数据要素化市场安全体系,为数字经济、数字中国高水平、高质量发展添砖加瓦。
往期相关文章链接:
京公网安备11010802024551号