提高数据安全水平 阿里牵头《数据安全能力成熟度模型》国标对外征求意见

“徐玉玉遭电信诈骗致死”“国内酒店2000万入住信息遭泄露”“勒索软件（WannaCry）全球蔓延”，据上海社会科学院互联网研究中心评选出的“2013年以来国内外发生的十大典型数据安全案例”显示，相当部分数据安全事件发生在企业或社会组织，泄漏量动辄过亿条。

业内数据安全专家透露，目前，各行业、企业、社会组织间数据交互频繁，任何一家企业数据发生泄漏，随时会危及其他组织，“这是全局性问题，只要数据存在的地方，都应建立安全机制。”

据最新消息，近日，旨在提高大数据行业整体安全水平、由阿里在全国信息安全标准化技术委员会牵头的《数据安全能力成熟度模型》国家标准正式进入征求意见稿阶段，该标准日后有望成为行业数据安全管理的重要依据。

数据泄露动辄上亿条危害重大

今年初，公安部破获一起特大窃取贩卖公民个人信息案。被窃用户信息主要涉及交通、物流、医疗、社交和银行等领域，随后数亿条个人信息在网络黑市被贩卖。

警方发现，犯罪嫌疑人是发生信息泄漏的这家公司员工。业内数据安全专家评价称，这家公司内部数据安全管理存在缺陷。

国外情况亦不乐观。2016年9月，全球互联网巨头雅虎证实，在2014年至少有5亿用户的账户信息被窃取。窃取的内容涉及用户姓名、电子邮箱、电话号码、出生日期和部分登陆密码。

DT时代，数据日益成为核心生产要素，数据驱动创新、数据驱动发展已经成为社会共识，然而，数据安全问题是摆在政府、行业、企业面前的巨大挑战，阿里巴巴围绕着数据采集、存储、传输、处理、交换、销毁的全生命周期，在数据安全组织建设、制度流程、技术工具、人员能力四大维度不断提升自身数据安全能力，积累沉淀了“数据安全成熟度模型（Data Security Maturity Model, DSMM）”，并将数据安全能力建设的经验积极推广到生态圈，协同专业的服务商参与，使更多企业受益，共同促进国家大数据经济的健康发展。

据了解，为解决数据安全问题，全国信息安全标准化技术委员会的数据安全标准化专家学者和产业代表企业协同，正在着手制定用于评估组织机构数据安全能力的标准——《数据安全能力成熟度模型》，该标准正是基于阿里巴巴提出的数据安全成熟度模型（Data Security Maturity Model, DSMM）进行制订。

《模型》旨在提高行业整体水位

现如今，在云计算和大数据环境以及多样化的工作方式、BYOD等新型模式的冲击下，组织的电子化数据不再仅仅存储于单一的信息系统和工作环境中，数据会经由组织及组织相关的业务流程及应用，在各业务系统、云平台、工作终端、员工的个人终端等不同的系统环境中进行流转和处理。

一位数据安全研究人员分析，企业要提升数据安全管理能力，首先就得认清自身数据保护能力水平，再对症下药弥补缺失和短板，而该标准正是针对大多数企业普遍存在的，不了解或不清楚自身数据安全管理能力的问题。

从标准架构来看，会从组织机构数据采集、存储、传输、处理、交换和销毁六个数据生命周期，就企业组织建设、制度流程、技术工具和人员能力四个关键能力维度，共30多个安全过程域进行全方位考核评估，最终将组织机构的数据安全能力划分非正式执行、计划跟踪、充分定义、量化控制和持续优化，1级至5级的能力成熟等级，等级越高意味数据安全能力越强。

只有具备了3级的数据安全能力，才意味这家企业或组织机构能针对数据安全风险进行全面有效控制。

据阿里巴巴集团安全部总监郑斌介绍说，该标准是阿里巴巴基于自身数据安全管理实践经验成果DSMM拟定初稿，旨在与同行业分享阿里经验，提升行业整体数据安全能力。

“互联网用户的数据安全从来都不是某一家企业的事。”郑斌称，《数据安全能力成熟度模型》标准的制订还由中国电子技术标准化研究院、国家信息安全工程技术研究中心、中国信息安全测评中心、公安三所、清华大学和联想等业内权威数据安全机构、学术单位企业等共同合作完成。

目前，针对《数据安全能力成熟度模型》，阿里巴巴已完成在内部业务、生态圈、各行业领域内20多家组织机构的DSMM实践，在各行各业试点落地，帮助企业提升自身数据安全能力。当前已覆盖了制造、软件、金融、文娱、零售、物流、冶金矿产、服务、互联网+新型企业等多个行业领域，并有伊利、南方电网、广发证券等龙头企业及其他行业的典型代表企业参与实践。

“我们希望将产业实践的经验贡献到行业标准、国家标准和国际标准建设中，致力于推动形成安全、健康、有序的产业生态环境。” 阿里巴巴集团标准化高级专家李克鹏称。

据最新消息，阿里在全国信息安全标准化技术委员会牵头的《数据安全能力成熟度模型》国家标准日前正式进入征求意见稿阶段，这意味着该项国标向大众正式揭开了神秘面纱。

为确保标准质量，全国信息安全标准化技术委员会针对该标准，面向社会广泛征求意见。

来源：中国网