5月27日,中國互聯網協會副秘書長石現生表示,互聯網日益成為經濟社會運行的基礎,網絡數據安全的意識、能力和保護手段面臨新的挑戰。
將於今年6月1實施的《網絡安全法》,重點關註企事業單位數據泄露相關問題。該法案要求各類機構承擔確保數據安全的責任,即保密性、完整性和可用性。此外,需要確保個人對其個人信息的安全和可控。
史憲生介紹,早在2015年,國務院就發布了《促進大數據發展行動計劃》,明確提出要“完善大數據安全保障體系”,“強化安全支撐,提高關鍵基礎設施設備安全可靠性水平”。
“目前很多企事業單位不知道如何提高數據安全管理能力,也不知道用什麽標準來衡量。”壹位業內人士表示,問題的癥結在於國內的數據安全管理還處於初級階段,很多企業沒有建立數據安全評估體系,或者說沒有完整的評估參考標準。
“大數據安全能力成熟度模型”已申請國家標準。
博覽會期間,記者從“大數據安全產業實踐高峰論壇”上獲悉,為解決這壹問題,全國信息安全標準化技術委員會等職能部門,聯合數據安全領域的標準化專家學者和行業代表企業,著手制定壹套機構數據安全能力的評估標準——“大數據安全能力成熟度模型”,該模型基於阿裏巴巴提出的數據安全成熟度模型(Data Security Maturity Model,DSMM)。
描述:阿裏巴巴集團安全部部長鄭斌介紹DSMM。
作為該標準項目的主要起草人,阿裏巴巴集團安全部總監鄭斌表示,該標準是DSMM基於阿裏巴巴自身數據安全管理實踐經驗起草的第壹份草案,旨在與同行業分享阿裏的經驗,提升行業整體安全能力。
“互聯網用戶的信息安全從來就不是壹個公司的事情。”鄭斌表示,“大數據安全能力成熟度模型”的制定也是由中國電子技術標準化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安第三研究所、清華大學和阿裏雲計算有限公司等權威數據安全機構、學術機構和企業共同提出的。
壹位數據安全研究員分析,企業要提升數據安全管理能力,首先要認清自己的數據保護能力,然後補救不足和缺陷。該標準針對的是大多數企業對自身數據安全管理能力不了解或不了解的問題。
從標準架構來看,從組織的數據采集、存儲、傳輸、處理、交換、銷毀六個數據生命周期,以及企業組織建設、系統流程、技術工具、人員能力四個關鍵能力維度,綜合評估至少30個安全域。最後,組織的數據安全能力將分為非正式執行、計劃跟蹤、全面定義、量化控制和持續優化,1到5的能力成熟。