郑斌：企业数据安全能力框架——数据安全能力成熟度模型的构建及应用

摘要

安全的目的是为了保障发展，如何衡量一个拥有数据的组织的数据安全保护能力十分重要。本文探讨了这种组织所面临的数据问题及其挑战，介绍了大数据环境下数据安全发展的趋势和完整的组织级数据安全能力框架，阐述了数据安全保护能力的实现路径及实践过程中可能遇到的难点，最后分析了利用数据安全能力成熟度模型指导企业进行数据安全保护能力建设的过程和方法。

大数据时代，数据成为越来越重要的资源，自然也成为违法犯罪分子的重点关注目标。2016年4月，欧洲议会通过了《一般数据保护条例》，对欧盟公民的隐私保护做出了极为严格的要求，违规企业可能最高被处以2000万欧元或者前一年全球总年营业额4%的罚款。2016年11月7日，我国颁布了《中华人民共和国网络安全法》，保护个人信息和重要数据的安全是这部法律的重要内容。安全的目的是为了保障发展，在目前的大数据应用和安全的环境下，一项迫切工作是，如何衡量一个拥有数据的组织的数据安全保护能力。

一、拥有数据的组织面临的挑战

大数据环境下，各组织机构都将面临着以下的数据问题及挑战。

＊数据无处不在。伴随着信息化的开展，各组织机构的业务被大量数据化，上至管理者，下至一线业务岗位，都需要使用数据。

＊系统、组织之间数据边界模糊。数据共享使得组织内各系统间存在大量的数据接口，每个系统都是其他系统的一部分，同时其他系统也是自身系统的一部分。

＊数据关联、聚合更容易。大数据技术使数据的采集、使用更加便利，运算能力的提升加快、加大了数据关联或聚合的效率和吞吐量。

＊数据流动、处理更实时。实时数据处理技术的发展使数据的流动和处理更加实时，同时也加剧了对安全的挑战。

＊海量数据加密（性能、成本）。传统的数据加密手段捉襟见肘，如何在灵活使用数据的同时高效安全地保护数据也是需要解决的问题。

＊数据的交换、交易。如何确保数据交易的安全，进而维护好国家、组织、个人的合法权益是巨大的挑战。

＊数据所有者和权利不停转换。目前行业里主流的数据相关方有数据主体、数据生产者、数据提供者、数据管理者、数据加工者、数据消费者，数据权利不停转换，而数据的所有者及相关权利的界定至今未能达成一致意见。

＊业务的国际化。各国虽然在网络主权的提法上各执己见，但在实践层面却无一例外对本国网络加以严厉管制，防止受到外部干涉。

二、数据安全能力框架

大数据环境下的数据安全具有五大趋势：从注重系统的防护到聚焦数据内容本身的保护；从单一组织的保障到跨组织的联动；从数据的保密到（大）数据经济秩序的保障；从技术风险+操作风险到技术风险+操作风险+商业风险+法律风险；从传统的数据技术到大数据技术。因此数据安全能力必须充分考虑组织保障、管理政策及流程的落地、大数据治理、数据生命周期的安全、数据的风控、数据生态的安全协同六大要素。

1. 数据安全能力成熟度模型简介

数据安全能力成熟度模型（DSMM）以数据生命周期为主线，聚焦数据安全相关的四大能力：组织建设、制度流程、技术工具、人员能力，针对组织机构的数据安全能力进行评级（如图1所示）。组织的数据安全成熟度模型具有5个成熟度等级，分别是非正式执行、计划跟踪、充分定义、量化控制、持续优化。

图1 数据安全能力成熟度模型

＊数据生命周期的6个阶段

基于大数据环境下数据在组织机构业务中的流转情况，定义了数据生命周期的六个阶段：数据采集阶段、数据存储阶段、数据传输阶段、数据处理阶段、数据交换阶段、数据销毁阶段。

＊数据安全过程域体系

包含数据生命周期各阶段安全和数据生命周期通用安全，如图2所示。

图2 数据安全过程域体系

2. 安全能力维度

通过对各项安全过程所需具备安全能力的量化，可供组织机构评估每项安全过程的实现能力。安全能力从组织建设、制度流程、技术工具及人员能力四个维度展开。

3. 数据安全能力通用实践

＊能力级别1—非正式执行。数据安全过程域的基本实践通常被执行，但基本实践的执行可能未经严格的计划和跟踪，而是基于个人的知识和努力。

＊能力级别2—计划跟踪。过程域基本实践的执行是经计划并被跟踪的，并对实践情况进行验证。

＊能力级别3 — 充分定义。基本实践按照充分定义的过程执行。充分定义的过程是依据对文档化的标准过程进行裁剪并经批准的过程版本。

＊能力级别4 —量化控制。这个级别是对收集、分析执行的详细测量。这将获得对过程能力和改进能力的量化理解以预测执行情况。执行的管理是客观的，数据安全管理的质量是量化的。

＊能力级别5 — 持续优化。在这个级别上，基于组织机构的商务目标并针对过程的有效性和执行效率建立量化执行目标。通过执行已定义的过程和已创建的新概念、新技术的量化反馈来保证对这些目标进行持续过程改进。

4. 等级评定方法

组织机构的数据安全能力成熟度等级取决于各项数据安全过程域的能力成熟度等级。本标准采用“木桶效应”的等级评定方法，组织机构整体的能力成熟度取决于各项数据安全规程域的能力成熟度级别中的最低级别。

三、实现路径与方法

1. 设立组织

为了有效保障数据安全政策的落地实施，企业应该设置专职的数据安全团队。此外，还需要设立面向全组织的数据安全委员会，委员会需要有来自业务、数据、安全、法律等领域的不同角色参与，形成专业上的互补和完整的组织视角，委员会的负责人是组织里最高管理层分管安全或者数据的管理者。

2. 盘点现状

数据资产的盘点：重点梳理数据的种类、数据量、核心的数据内容、数据来源以及数据的安全分级分类情况和流转链路。

数据相关部门的盘点：梳理全组织与数据相关的部门数量、部门内部各岗位的职责、工作流程、数据操作环境，重点关注操作风险高的环节。

数据相关业务/产品的盘点：在产品研发、测试和对外服务的过程中，梳理数据在业务/产品中的应用原理、交互的系统接口、相关的责任人。对外提供的数据内容也需要进行合格性的盘点梳理。

数据相关流程的盘点：需要梳理数据的采集、存储、授权、内部使用、传输、对外披露、销毁等过程所有线上线下的流程。数据相关风险管理盘点：梳理数据风险的识别、风险评估及判定、风险跟踪及改进情况。

3. 运用DSMM进行评估

如图2所示，DSMM包含40个安全域，涵盖组织的数据全生命周期过程，每个安全域含有相应的评估点和评估标准，由数据安全实体团队针对评估点参照评估标准进行安全能力评估。

4. 制定风险修复与短板提升计划

DSMM不但能够评估出数据安全能力，也能反映数据安全的风险，总体评估完成后，需要得到两部分的改进计划：一部分是风险修复计划，一部分是数据安全能力短板提升计划。

四、实践中的难点与挑战

在实践过程中，通常会遇到如下挑战：

1.高层重视度不足；

2.业务部门配合意愿度低；

3.内部系统繁多，数据庞杂；

4.政策落地难；

5.业务快速发展，迭代升级频繁，数据安全政策及技术手段更新容易滞后；

6.组织的关联公司多，如何安全可控地分享数据是大型组织常见的挑战。

五、数据安全成熟度模型的行业实践情况

数据安全成熟度模型的适用范围非常广泛，企业在实践过程中就数据安全能力构建达成了以下共识：

1.数据安全是商业落地的重要基石；

2.以“数据”为中心的安全：大部分组织机构的安全工作集中于对网络系统的边界防护层面，但无法有效应对基于数据价值的安全保护需求，安全管理的思路亟待转变；

3.大数据下的数据安全必须具有产业生态的视角：聚焦于数据本身安全的同时，还需要聚焦产业上下游间数据流通、共享带来的安全挑战；

4.数据安全技术创新/产品需求的迫切性：大数据下的数据安全能力建设急需安全技术的创新及以数据为中心的体系化的数据安全产品解决方案。

全文PDF下载

作者

郑斌

阿里巴巴集团数据安全部总监

长按识别文章后面的二维码

即可下载PDF原文