數據的重要性已成全球共識,但數據安全問題卻逐漸成為數字經濟發展的最大障礙,如何扭轉因數據安全問題陷入“數據恐慌”的局面,成為今年貴陽數博會上備受關注的焦點議題。
中國電子技術標準化研究院信息安全研究中心數據安全部主任胡影解讀DSMM
5月26日,貴陽數博會期間,阿里巴巴集團安全部在貴陽生態會議中心舉辦“數據安全管理與產業發展論壇”,邀請政府、企業、專家學者等多方角色共同探討數據安全治理問題,首次對外公佈今年以來DSMM(數據安全能力成熟度模型)在貴陽這塊數據安全“試驗田”的實踐經驗,併為首批DSMM測評師代表現場頒發證書。
“實踐表明,DSMM受到企業的廣泛認可,可以作為數據安全治理的基本抓手,” 阿里巴巴集團首席安全專家杜躍進表示,“只有全行業的安全水位提升,才能真正解決數據安全問題,為數字經濟的持續發展創造良好條件。”
DSMM成貴陽數據安全治理抓手
26日,貴陽市大數據發展管理委員會副主任宋曉偉在此次論壇發言中,用一組數據道出了當前數據安全的嚴峻形勢:近年來企業數據丟失數量及造成的經濟損失3年來增速超過了400%,數據洩露事件的主要根源中,47%的事件涉及惡意或犯罪行為,25%是由於員工或承包商疏忽,28%涉及系統故障,包括IT和業務流程故障。
“數據安全的邊界逐漸模糊、數據跨組織的流動和交換產生安全風險等挑戰和變化不斷出現,過去數據安全領域的經驗基本上全都作廢了。”杜躍進表示,目前全球都缺乏數據安全管理和治理的成功經驗。
為滿足貴州在數據安全管理方面的需求,早在2017年7月,貴州省就和阿里巴巴簽訂戰略合作協議,發起成立全國第一個以數據安全為目標的“大數據安全工程研究中心”,其理事單位匯聚了中國信息安全認證中心、國家信息技術安全研究中心、中國電子技術標準化研究院等一大批國家級機構。同年11月,大數據安全工程研究中心落地貴陽市經開區;今年4月,在貴陽市政府的支持下,15家當地企事業單位開始開展DSMM試點測評。
目前,阿里巴巴基於多年數據安全經驗積累總結出的DSMM已進入國家標準報批稿,並在ISO/IEC JTC1 SC27全會上獲得通過,在ITU-T作為國際標準發佈。
阿里巴巴集團首席安全專家杜躍進在貴陽數博會上分享DSMM實踐經驗
測評師上崗推動DSMM落地
在26日論壇現場,中國電子技術標準化研究院信息安全研究中心數據安全部主任胡影就對DSMM進行了解讀。她介紹稱,這套標準給出了組織機構大數據安全治理的能力成熟度模型,以數據為中心,重點圍繞數據生命週期,從組織建設、制度流程、技術工具和人員能力四個方面進行安全保障。數據安全能力成熟度等級分五個等級:一級是最低等級為“非正式執行”,意味組織的數據安全工作來自於被動需求或隨機展開,並未主動開展數據安全工作;三級代表組織有較為正式、規範的數據安全過程治理,等級越高代表被測評的組織數據安全治理能力越強。
如今,DSMM已在10多個領域的50多家機構開展了落地實踐,涵蓋政府、銀行、證券等行業。
杜躍進指出,DSMM在貴陽的落地實踐是集合各方面權威力量共同開展的測評,由貴陽市政府負責整體部署指導,貴州大數據安全工程研究中心的多家理事單位參與其中,設立標準規範、測評培訓、項目管理、質量管理等小組,聘請大數據技術和安全領域專家組建顧問組,保障試點測評的公正、準確。
測評師隊伍的建立也是貴陽實踐首創。26日論壇上,經過嚴格培訓並通過考試的首批107名測評師代表拿到了“實習測評師”證書,將上崗工作。據瞭解,他們均來自各企事業單位一線的信息安全工作者,多數從業經歷在十年以上。
5月26日,首批測評師代表在論壇現場領取“實習測評師”證書
國家信息技術安全研究中心審查評估處雲計算服務網絡安全審查負責人劉俊河就是其中一位。他表示,DSMM是首批體系化、流程化的數據安全能力測評項目,是數據安全保護領域的新探索,也是數據安全測評領域的新大陸。
作為貴陽當地的“獨角獸”企業,貨車幫高度重視數據安全,不僅專設數據安全部門,且根據測評結果著力提升自身安全能力。“DSMM的意義在於給所有公司提供一個全方位的數據安全指導性綱要,也讓我們對自身數據安全建設有了信心,”貨車幫運維負責人屈耀華在現場發言中指出。
“目前,貴陽市大數據發展管理委員會提議將DSMM相關經驗納入‘貴陽市大數據安全管理條例’中,成都、武漢、銀川等地也都在積極探索,”杜躍進表示,未來DSMM將根據實踐情況不斷優化、完善,“因為安全沒有盡頭,需要不斷適應新情況。如果數據安全治理做得好,企業未來會發現安全不是成本,而是競爭力。”
閱讀更多 AliTech 的文章
