《数据安全能力成熟度模型》实践指南：数据分级分类

美创科技第59号安全实验室

2019年8月30日，《信息安全技术数据安全能力成熟度模型》（GB/T37988-2019）简称DSMM（Data Security Maturity Model）正式成为国标对外发布，并已于2020年3月起正式实施。

DSMM将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM 从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM 将数据安全成熟度划分成了1-5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。

在此基础上，DSMM将上述6个生命周期进一步细分，划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段，部分过程域贯穿于整个数据生命周期。

随着《中华人民共和国数据安全法(草案)》的公布，后续DSMM很可能会成为该法案的具体落地标准和衡量指标，对于中国企业而言，以DSMM为数据安全治理思路方案选型，可以更好的实现数据安全治理的制度合规。

本系列文将以DSMM数据安全治理思路为依托，针对上述各过程域，基于充分定义级视角（3级），提供数据安全建设实践建议，本文作为开篇，将介绍数据采集安全阶段的数据分类分级过程域（PA01）。

01定义

DSMM标准在充分定义级对数据分类分级要求如下：

组织建设：

组织应设立负责数据安全分类分级工作的管理岗位人员，主要负责定义组织整体的数据分类分级的安全原则（BP.01.04）。

制度流程：

1）应明确数据分类分级原则、方法和操作指南（BP.01.05）；

2）应对组织的数据进行分类分级标识和管理（BP.01.06）；

3）应对不同类别利级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施（BP.01.07）；401k计划

4）应明确数据分类分级变更审批流程和机制，通过该流程保证对数据分类分级的变更操作及其结果符合组织的要求(BP.01.08)。

技术工具：

瓜达尔港对中国的意义

应建立数据分类分级打标或数据资产管理工具，实现对数据的分类分级自动标识、标识结果发布、审核等功能(BP.01.09)。

人员能力：

负责该项工作的人员应了解数据分类分级的合规要求，能够识别哪些数据属于敏感数据(BP.01.10)。

02实践指南

组织建设：

人造细胞组织机构在条件允许的情况下应该设立一个数据分类分级部门并招募相关人员，负责公司整

体的数据分类分级工作，包括负责定义组织机构整体的数据分类分级安全原则和操作指南、推动相关指南的落地情况、建立数据分类分级审批机制、对组织机构中的进行完数据分类分级的数据进行标识和管理、对识别到的敏感数据进行脱敏处理、对数据分类分级中的重要操作进行审计和记录等。

人员能力：

针对数据分类分级岗位的相关人员，需要具备良好的数据安全风险意识，熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求，在采集数据的过程中严格按照《网络安全法》、《个人信息安全规范》等相关国家法律法规和行业规范执行，除此之外，还需要相关人员具备良好的数据分类分级基础，了解公司内部的数据资产范围、组织架构，能够准确识别出哪些数据属于敏感数据等，同时还需要相关人员熟悉数据分类分级的合规要求，熟练掌握数据安全措施，拥有制定标准化流程或制度的经验，能够根据公司的具体情况制定出符合公司真实环境的数据分类分级原则、数据分类分级操作指南、数据分类分级管理制度、数据分类分级清单等，并推动相关要求与制度的真实落地。

写论文

落地执行性确认：

针对组织建设和对应人员能力的实际落地执行性确认，可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。

制度流程：

1）数据分级分类原则

数据分级分类应结合实际情况，明确需求，以数据的属性为基础，遵循科学性、稳定性、实用性和扩

展性原则。

❖科学性——按照数据的多维特征以及相互间客观存在的逻辑关联进行科学和系统化的分级分类；

❖稳定性——根据实际情况，以数据最稳定的特征和属性为依据指定分级分类方案；❖实用性——数据的分级分类要确保每个类目下要有数据，不设没有意义的类目；

❖扩展性——数据分级分类方案在总体上应具有概括性和包容性，能够实现各种类型数据的分类，以及满足将来可能出现的数据类型。

2）分级分类方法及细则

❖数据分类常用方法：按关系分类，基于业务（来源）、基于内容、基于监管等。

❖数据分级常用方法：按特性分级，基于价值（公开、内部、重要核心等）、基于敏感程度（公开、秘密、机密、绝密等）、基于司法影响范围（大陆境内、跨区、跨境等）。

❖常见公用数据分类方法：重要数据、个人及企业信息、业务数据。（重要数据指泄露可导致危害国家安全/公共利益生命财产安全/危害国家关键基础设施/扰乱市场秩序/可推论出国家秘密等的数据。）

项目管理技术

❖个人及企业信息包含直接个人信息：以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份或企业的各种信息。

❖业务数据包含：企业或公共组织从事经营活动或例行社会管理功能、事务处理等一系列活动产生的可存储的数据。

根据上述公共分类，其对应分级分别如下：

金属学报

企业可基于上述公共分类、分级策略，结合自身业务、合规需求实际，规划出自己的数据分类分级方法，建立组织/公司自己的的数据分类分级原则和方法，将数据按照重要程度进行分类，然后在数据分类的基础上根据数据安全在受到破坏后，对组织造成的影响和损失进行分级。

本文发布于:2024-09-22 10:00:00，感谢您对本站的认可！

本文链接：https://www.17tex.com/xueshu/470127.html

上一篇：基于信息熵的数据集重标识风险评估方法

下一篇：电力数据对外服务全生命周期安全管控

标签：数据分类分级组织进行数据安全

留言与评论（共有 0 条评论）