5月27日,中國互聯網協會副秘書長石現升稱,互聯網日益成為經濟社會運行基礎,網絡數據安全意識、能力和保護手段正面臨新挑戰。
今年6月1日即將施行的《網絡安全法》針對企業機構泄露數據的相關問題,重點做了強調。法案要求各類組織應切實承擔保障數據安全的責任,即保密性、完整性和可用性。另外需保障個人對其個人信息的安全可控。
石現升介紹,實際早在2015年國務院就發布過《促進大數據發展行動綱要》,就明確要“健全大數據安全保障體系”、“強化安全支撐,提升基礎設施關鍵設備安全可靠水平”。
“目前,很多企業和機構還並不知道該如何提升自己的數據安全管理能力,也不知道依據什麽標準作為衡量。”壹位業內人士分析稱,問題的癥結在於國內數據安全管理尚處起步階段,很多企業機構都沒有設立數據安全評估體系,或者沒有完整的評估參考標準。
“大數據安全能力成熟度模型”已提國標申請
數博會期間,記者從“大數據安全產業實踐高峰論壇”上了解到,為解決此問題,全國信息安全標準化技術委員會等職能部門與數據安全領域的標準化專家學者和產業代表企業協同,著手制定壹套用於組織機構數據安全能力的評估標準——《大數據安全能力成熟度模型》,該標準是基於阿裏巴巴提出的數據安全成熟度模型(Data Security Maturity Model, DSMM)進行制訂。
圖說:阿裏巴巴集團安全部總監鄭斌介紹DSMM。
作為此標準項目的牽頭起草方,阿裏巴巴集團安全部總監鄭斌介紹說,該標準是阿裏巴巴基於自身數據安全管理實踐經驗成果DSMM擬定初稿,旨在與同行業分享阿裏經驗,提升行業整體安全能力。
“互聯網用戶的信息安全從來都不是某壹家公司企業的事。”鄭斌稱,《大數據安全能力成熟度模型》的制訂還由中國電子技術標準化研究院、國家信息安全工程技術研究中心、中國信息安全測評中心、公安三所、清華大學和阿裏雲計算有限公司等業內權威數據安全機構、學術單位企業等***同合作提出意見。
壹位數據安全研究人員分析,企業要提升數據安全管理能力,首先就得認清自身數據保護能力水平,再對癥下藥彌補缺失和短板,而該標準正是針對大多數企業普遍存在的,不了解或不清楚自身數據安全管理能力的問題。
從標準架構來看,會從組織機構數據采集、存儲、傳輸、處理、交換和銷毀六個數據生命周期,就企業組織建設、制度流程、技術工具和人員能力四個關鍵能力維度,至少30多個安全域進行全方位考核評估,最終將組織機構的數據安全能力劃分非正式執行、計劃跟蹤、充分定義、量化控制和持續優化,1級至5級的能力成熟等級,等級越高意味數據安全能力越強。