數據安全法解讀―數據安全檢測評估與認證
發布時間: 2023-01-13 15:12 點擊:
數據安全法解讀―數據安全檢測評估與認證
《數據安全法》提出了數據安全檢測評估與認證的要求。那么要如何開展此項工作才能滿足法律的合規要求?本文結合公司多年在數據安全治理咨詢項目中積累的豐富經驗,給出以下幾點建議供參考。
《數據安全法》第十八條要求
國家促進數據安全檢測評估、認證等服務的發展,支持數據安全檢測評估、認證等專業機構依法開展服務活動。
國家支持有關部門、行業組織、企業、教育和科研機構、有關專業機構等在數據安全風險評估、防范、處置等方面開展協作。
專業解讀
目前,我國在數據管理領域,已經正式出臺的國家標準有《數據管理能力成熟度評估模型(GB/T 36073-2018)》(DCMM),在數據安全檢測評估、認證領域的標準有《數據安全能力成熟度模型(GB/T 37988-2019)》(DSMM)和團體標準《數據安全治理能力評估方法》(T/ISC-0011-2021),這三個標準可以成為各行業、企業開展數據治理、數據安全風險評估的參考標準。
下面結合啟明星辰(002439)集團在數據安全咨詢服務領域的項目經驗,對以上三個標準進行簡要介紹。
· 《數據管理能力成熟度評估模型(GB/T36073-2018)》
該標準在業界一般簡稱為DCMM(Data management Capability Maturity assessment Model),是我國數據管理領域中的第一個國家標準。該標準注重從源頭數據規范管理抓起,進一步保障數據應用全生命周期的科學、規范、安全、可行,為我國數據管理體系建設、企業數據管理能力提升提供了標準化支撐。
DCMM主要圍繞企業的數據架構的八個方面,對企業數據管理能力進行評估,如下圖:
并將企業數據管理能力成熟度水平分為初始級、受管理級、穩健級、量化管理級、優化級等五個等級。
通過實施該標準,可以規范和指導相關單位提升數據管理水平,充分挖掘釋放數據要素對其他要素效率的倍增作用,幫助企業查明問題,找到差距,指出方向,建設與企業發展戰略相匹配的數據管理能力體系。目前,該標準已在全國金融、通訊、能源、傳媒等行業的龍頭企業進行貫標試點推廣,取得顯著成效。
DCMM標準的能力域和能力項如下:
·《數據安全能力成熟度模型(GB/T37988-2019)》
該標準在業界一般簡稱為DSMM(Data Security Capability Maturity Model),啟明星辰集團參與了此標準的編寫。該標準給出了組織數據安全能力的成熟度模型架構,規定了數據采集安全、數據傳輸安全、數據存儲安全、數據處理安全、數據交換安全、數據銷毀安全、通用安全的成熟度等級要求。
該標準特點如下:
以數據生命周期安全為核心
圍繞數據生命周期,提煉出大數據環境下,以數據為中心,針對數據生命周期各階段建立的相關數據安全過程域體系。
安全能力維度要求
明確組織機構在各數據安全領域所需要具備的能力維度,明確為組織建設、制度流程、技術工具和人員能力四個關鍵能力的維度。各個關鍵能力維度要求如下:
1)組織建設:數據安全組織機構的架構建立、職責分配和溝通協作。
2)制度流程:組織機構關鍵數據安全領域的制度規范和流程落地建設。
3)技術工具:通過技術手段和產品工具固化安全要求或自動化實現安全工作。
4)人員能力:執行數據安全工作的人員的意識及專業能力。
能力成熟度等級劃分
基于統一的分級標準,細化組織機構在各數據安全過程域的五個級別的能力成熟度分級要求。其中安全過程域體系覆蓋數據生命周期的六個階段,包含數據生命周期通用安全的過程域和數據生命周期各階段安全的過程域。
組織機構的數據安全能力成熟度模型分為五個成熟度等級:
1級-非正式執行級
2級-計劃跟蹤級
3級-充分定義級
4級-量化控制級
5級-持續改進級
能力級別從一級至五級逐級高,標志著組織機構的數據安全保障能力的成熟度不斷提升。每個級別規定了對應的公共特征和通用實踐。
該標準適合用來作為評估組織數據安全能力的方法和標準,亦可在組織開展數據安全能力建設的過程中被用作參考目標和依據。
·《數據安全治理能力評估方法(T/ISC-0011-2021)》
該標準為團體標準,由中國互聯網協會牽頭制定,啟明星辰集團參與了此標準的編寫。該標準為今年新發布的標準,可指導電信行業、互聯網企業數據安全治理能力建設,幫助企業發現數據安全治理能力的不足,促進行業數據安全治理能力發展。
該標準以數據全生命周期的安全治理能力建設為切入點,關注數據安全治理要點和關鍵環節的建設情況,梳理治理能力級別并分級制定考核指標,以對電信行業、互聯網企業的數據安全治理能力進行度量,為企業不斷提升數據安全治理能力提供可操作的實施指南。
該標準描述了各類數據治理活動及其相關平臺應遵循的數據安全治理能力要求和評估方法,包括評估等級劃分方法,包括評估等級劃分方法、數據安全戰略、數據采集安全、數據傳輸安全、數據存儲安全、數據使用安全、數據共享安全、數據銷毀安全、基礎安全等能力的具體評估等級確定原則。
該標準中規定的數據安全治理能力總體要求如下:
數據安全治理能力:包括數據安全戰略、數據全生命周期安全、基礎安全三部分。
數據安全戰略能力:包括數據安全規劃、機構人員安全管理。
數據全生命周期安全能力:包括數據采集安全、數據傳輸安全、數據存儲安全、數據使用安全、數據共享安全、數據銷毀安全。
基礎安全:包括數據分類分級、合規管理、合作方管理、監控審計、鑒別與訪問、風險和需求分析、安全事件應急。
該標準適用于電信行業和互聯網行業等企業開展數據治理工作,為其數據安全治理能力評估提供參考和指引。
上面已經對三個標準進行了簡要的介紹,下面對三個標準的異同點分析:
在“數字中國”時代,數據要素安全更加成為大家關注的焦點,而《數據安全法》的正式頒發,讓數據要素安全實現了有法可依,也為數字經濟的發展指明了方向。啟明星辰集團作為信息安全行業的領軍企業,自成立以來就非常重視云計算、人工智能、物聯網、大數據等前沿技術研究和探索,在數據安全領域具備豐富的實踐經驗和專業的技術優勢,可更好地為客戶筑牢數據要素化市場安全體系,為數字經濟、數字中國高水平、高質量發展添磚加瓦。
中國中鴻實業有限公司 www.splida.com
1998年至今 ISO認證/企業資質服務 直辦非中介 全國接單 遠程或就近安排審核
1.年薪10萬誠聘專兼職ISO審核員(全國/符合條件可免費定向培養);誠聘專職ISO認證咨詢老師/專職市場專員;
2.全國誠招ISO認證代理人(個人級/企業級),轉發信息即傭金,免費培訓;
3.本年度ISO內審員免費培訓開始了,每月免費名額有限,從速預計。