从美国知名社交媒体脸书(Facebook)用户数据泄露,到阿里巴巴集团协助浙江绍兴越城警方侦破史上规模大数据窃取案件,成功阻止了30亿条用户信息的泄露……近年来,世界各国均面临着如何有效保护数据安全的新课题,亟需探索有效方法实现数据安全与隐私保护。
△2018(第三届)数据安全与隐私保护大会现场
9月29日,在2018(第三届)数据安全与隐私保护大会上,阿里巴巴集团、数梦工场等联合发布《数据安全能力建设实施指南》(以下简称指南),成为目前业内最领先的数据安全实践经验总结宝典。
该指南以数据为核心,重点围绕数据生命周期,从组织建设、制度流程、技术工具和人员能力等四个方面,提供数据安全能力建设的具体实施指南,是业内首个依据DSMM(数据安全能力成熟度模型)制定的实用数据安全能力建设参考手册。
基于阿里巴巴多年数据安全经验积累总结,DSMM(数据安全能力成熟度模型)将数据安全管理经验标准化,是一套用于解决数据安全保障的方法。DSMM具有5个成熟度等级,分别是:
如今,DSMM升级成为ITU-T(国际电信联盟电信标准部门)发布的国际网络安全标准,已在ISO/IEC JTC1 SC27全会上获得通过。目前,该标准已进入国家标准报批阶段。在10多个领域的50多家机构,DSMM也开展了落地实践,涵盖政府、银行、证券等行业。在今年5月贵阳数博会上,首批107名DSMM测评师持证上岗,进一步丰富了DSMM的实践经验。
△阿里巴巴、数梦工场、蚂蚁金服等联合发布
在中国电子技术标准化研究院指导下,数梦工场副总裁孙晖与阿里巴巴、蚂蚁金服等合作伙伴联合发布《数据安全能力建设实施指南》,该指南将作为DSMM落地的配套实操指南,助推DSMM更好地应用于实践。
作为该指南的主要起草单位之一,数梦工场已服务于全国超100家大型政务公共平台(包括政务云、政务大数据平台、政务数据共享交换平台、城市大脑等)建设,在建设和运营中积累起云安全及大数据安全能力。数据工场依据DSMM方法论,完整实践了省级政务公共数据平台的DSMM评估,在行业内具有领先优势。在技术方面,数梦工场围绕敏感数据的安全管理,形成了核心解决方案DCAP。
数梦工场通过对客户的数据进行全生命周期的安全评估,帮助客户发现数据安全能力短板,了解整体的数据安全风险,明确自身的数据安全管理水平;参照大数据安全能力成熟度模型标准,制定有针对性的数据安全改进方案及短期提升计划,指导组织后期数据安全建设的方向。
△数梦工场安全产品线副总经理 何维群
会上,数梦工场安全产品线副总经理何维群在《基于政务公共数据平台的DSMM应用实践》主题演讲中指出,当下各组织在数据安全方面,有着颠覆性的需求。
以政务数据为例,以前数据以部门为中心,是一种有限的数据流动,数据只在安全域内使用,数据分散且风险低,数据来源通常是数据的使用方,数据流程短,接触人员少。而如今,政府正在进行数字化转型,数据以人民为中心,通过让数据跑路代替群众跑腿,需要将分散在各个政务部门的数据汇聚、共享交换。如果是一个省级政务公共数据平台,每天的数据交换量可以达到千万次以上,而数据汇集涉及省市县的上百个部门。大量的数据集中和交换,以及跨部门数据流动,任何一个环节出现问题,都会将安全风险无限放大。
何维群认为,在大数据场景下,数据的流动性、多种类、可变性和大容量等特性,对组织机构的数据安全管理带来了新的挑战。数据安全与隐私保护需避免“头痛医头脚痛医脚”的静态数据保护,取而代之的应该是全盘性、系统性的安全能力建设。
围绕此场景下数据安全痛点和需求,何维群认为应参照DSMM标准进行数据安全建设,对DSMM标准应用过程中的重点及难点进行剖析,进行有关数据安全评估、数据在生命周期各阶段风险分析等应用实践。
数梦工场副总裁孙晖认为,在标准侧,当前政务行业数据安全标准不完善,目前只有一些地方性规范;在运营侧,数据安全是一个强运营市场,行业数据安全人才严重不足;在技术侧,各部门部署的单点技术产品不解决问题,需要与安全运营结合进行体系化创新。
因此,数梦工场建议政府与企业建立联合创新机制,围绕敏感数据生命周期管理探索可持续的数据安全运营体系。
据悉,本届大会由中国保密协会隐私保护专业委员会、网络空间安全协会网络治理与国际合作工作委员会共同主办,阿里巴巴数据安全研究院等单位承办,杭州数梦工场科技有限公司等单位共同协办。
相关阅读:
热门专题
