2021年6月10日,《中华人民共和国数据安全法》已由中华人民共和国第十三届全国人民代表大会常务委员会第二十九次会议表决通过,自2021年9月1日起施行。这表明,数据作为一种新型的、独立的保护对象已经获得立法上的认可。
国家促进数据安全检测评估、认证等服务的发展,支持数据安全检测评估、认证等专业机构依法开展服务活动。 国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据安全风险评估、防范、处置等方面开展协作。
目前,我国在数据管理领域,已经正式出台的国家标准有《数据管理能力成熟度评估模型(GB/T 36073-2018)》(DCMM),在数据安全检测评估、认证领域的标准有《数据安全能力成熟度模型(GB/T 37988-2019)》(DSMM)和团体标准《数据安全治理能力评估方法》(T/ISC-0011-2021),这三个标准可以成为各行业、企业开展数据治理、数据安全风险评估的参考标准
《数据管理能力成熟度评估模型(GB/T 36073-2018)》
该标准在业界一般简称为DCMM(Data management Capability Maturity assessment Model),是我国数据管理领域中的第一个国家标准。该标准注重从源头数据规范管理抓起,进一步保障数据应用全生命周期的科学、规范、安全、可行,为我国数据管理体系建设、企业数据管理能力提升提供了标准化支撑。
DCMM主要围绕企业的数据架构的八个方面,对企业数据管理能力进行评估,如下图:
并将企业数据管理能力成熟度水平分为初始级、受管理级、稳健级、量化管理级、优化级等五个等级。
通过实施该标准,可以规范和指导相关单位提升数据管理水平,充分挖掘释放数据要素对其他要素效率的倍增作用,帮助企业查明问题,找到差距,指出方向,建设与企业发展战略相匹配的数据管理能力体系。目前,该标准已在全国金融、通讯、能源、传媒等行业的龙头企业进行贯标试点推广,取得显著成效。
DCMM标准的能力域和能力项如下:
《数据安全能力成熟度模型(GB/T 37988-2019)》 该标准在业界一般简称为DSMM(Data Security Capability Maturity Model)。该标准给出了组织数据安全能力的成熟度模型架构,规定了数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全的成熟度等级要求。 该标准特点如下: 以数据生命周期安全为核心 围绕数据生命周期,提炼出大数据环境下,以数据为中心,针对数据生命周期各阶段建立的相关数据安全过程域体系。 1)组织建设:数据安全组织机构的架构建立、职责分配和沟通协作。 2)制度流程:组织机构关键数据安全领域的制度规范和流程落地建设。 3)技术工具:通过技术手段和产品工具固化安全要求或自动化实现安全工作。 4)人员能力:执行数据安全工作的人员的意识及专业能力。 能力成熟度等级划分 1级-非正式执行级 2级-计划跟踪级 3级-充分定义级 4级-量化控制级 5级-持续改进级 能力级别从一级至五级逐级高,标志着组织机构的数据安全保障能力的成熟度不断提升。每个级别规定了对应的公共特征和通用实践。 该标准适合用来作为评估组织数据安全能力的方法和标准,亦可在组织开展数据安全能力建设的过程中被用作参考目标和依据。 《数据安全治理能力评估方法(T/ISC-0011-2021)》 该标准为团体标准,由中国互联网协会牵头制定。该标准为今年新发布的标准,可指导电信行业、互联网企业数据安全治理能力建设,帮助企业发现数据安全治理能力的不足,促进行业数据安全治理能力发展。 该标准以数据全生命周期的安全治理能力建设为切入点,关注数据安全治理要点和关键环节的建设情况,梳理治理能力级别并分级制定考核指标,以对电信行业、互联网企业的数据安全治理能力进行度量,为企业不断提升数据安全治理能力提供可操作的实施指南。 该标准描述了各类数据治理活动及其相关平台应遵循的数据安全治理能力要求和评估方法,包括评估等级划分方法,包括评估等级划分方法、数据安全战略、数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据共享安全、数据销毁安全、基础安全等能力的具体评估等级确定原则。 数据安全治理能力:包括数据安全战略、数据全生命周期安全、基础安全三部分。 数据安全战略能力:包括数据安全规划、机构人员安全管理。 数据全生命周期安全能力:包括数据采集安全、数据传输安全、数据存储安全、数据使用安全、数据共享安全、数据销毁安全。 基础安全:包括数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、安全事件应急。 该标准适用于电信行业和互联网行业等企业开展数据治理工作,为其数据安全治理能力评估提供参考和指引。
