数据安全隐患频现 DSMM一招制敌

近几年，数据安全因全球数字化转型步伐的加快变得越来越重要。从个人信息安全，到企业数据安全、上云安全，进而到国家安全，只要有数据应用，安全问题就会伴随其中。如何保障数据要素合法安全、有效流通，充分发挥数据要素价值，是数字化转型过程中，企业面临的重要课题和挑战。

赛宝认证中心资深安全专家段沛鑫指出：近年来数据贩卖、数据垄断、数字滥用、数据窃取等相关的违法案例激增，企业在数字化转型过程中的数据安全问题愈发凸显。据统计2021年全球数据泄露事件的数量超过过去15年的总和。伴随着数据价值的提高，数据安全形势愈发严峻，数据泄露事件频发，数据泄露手段防不胜防，给企业带来了巨大的风险。

数据安全相较于传统网络安全，更加聚焦数据内容本身的保护，关注数据防泄漏、防滥用，注重防范数据风险与数据应用之间的平衡，具有跨组织联动，技术风险、操作风险、商业风险和法律风险并存的特点。

面对数据安全的严峻形势，世界各国陆续发布数据安全相关法律法规，给企业建立数据合规要求。代表性的法律法规有欧盟的《通用数据保护条例》（General DataProtection Regulation，简称GDPR）等。各国在通过数据安全领域立法保护公民隐私安全的同时，也在数据主权保护、国家安全等层面相互博弈。我国在数据安全领域目前已陆续颁布《网络安全法》、《数据安全法》、《个人信息保护法》、《密码法》等法律，数据安全保护法规框架已初步建立。

段沛鑫认为，在考虑组织的数据安全时，应将国家安全放在首位，同时考虑公共利益、公民权益、企业利益，充分考虑数据在组织内部应用流转的需求，这需要基于数据流动场景的数据安全生命周期防护方案。

段沛鑫介绍，目前在数据安全领域推广最为广泛的标准理论是《GT/B 37988-2019信息安全技术 数据安全能力成熟度模型》（简称DSMM）。该标准发布于2019年，借鉴了能力成熟度模型（CMM）的思想，将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM划分成了1-5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。该标准能够用来衡量一个组织的数据安全能力成熟度水平，可以帮助行业、企业和组织发现数据安全能力短板，相关主管部门也可以用于数据安全管理，根据数据安全能力水平高低决定企业拥有数据的类型和范围，最终提升全社会的数据安全水平和行业竞争力，确保大数据产业及数字经济的发展。

赛宝作为首家在国家认证认可监督管理委员会（CNCA）备案DSMM的认证机构，正在全国范围内开展DSMM咨询及评估工作，客户覆盖行业包括政府、金融、电力、通信等多个领域。除此之外，赛宝认证中心通 过实施定制化的数字化转型服务，打造企业的数字能力，为企业的数据管理和数据安全保驾护航。