2018年9月29日,在2018(第三届)数据安全与隐私保护大会上,阿里巴巴数据安全研究院联合多家单位发布业内首份《数据安全能力建设实施指南V1.0》征求意见稿。该指南作为DSMM配套文档,以充分定义级(3级)为目标,结合数据安全合规要求和组织的业务发展需求,从组织建设、制度流程、技术工具和人员能力等四个方面整体框架设计和规划入手,对DSMM的安全域设置目的和要求进行详细解读,并辅以实践案例,为各行各业具体组织的数据安全能力建设提供实践参考。

参与单位:阿里巴巴(中国)有限公司、杭州数梦工场科技有限公司、杭州安恒信息技术股份有限公司、浙江蚂蚁小微金融服务集团、阿里云计算有限公司

重要内容节选

一、数据安全能力建设框架

基于《信息安全技术 数据安全能力成熟度模型》标准能力成熟度等级3级要求,数据安全能力建设可参考以下实施框架:

二、数据安全组织建设

设计数据安全的组织架构时,可按照决策层、管理层、执行层、员工和合作伙伴、监督层的组织架构设计。在具体执行过程中,组织也可赋予已有安全团队与其它相关部门数据安全的工作职能,或寻求第三方专业团队等形式开展工作,组织架构图如下:

三、数据安全人员能力

数据安全治理不是简单技术形的工种,在现在大数据背景下,是一个复合型的工作,所需要配备的人员也需要具有多方面的能力。数据安全领域较新,在国内这方面培养的人员较少,也是当前逐步需要提升的关键任务。

数据安全的人员能力主要包括几个维度,数据安全管理能力、数据安全运营能力、数据安全技术能力和数据安全合规能力。通用能力在本章节中不再具体描述。

表1:人员能力与组织架构映射关系

组织架构

管理能力

运营能力

技术能力

合规能力

策略层

M1、M2、M3、M6、M7、M10

O1

T2、T3

C1、C2、

管理层

M1、M2、M3、M4、M5、M6、M7、M8、M9、M11

O1、O4

T1、T3

C1、C2、C3、C4

执行层

(运营)

M1、M6、M8、M9、M11

O1、O2、O3、O4

T1、T2、T3、T4

C1、C4

执行层

(技术)

M1、M6、M8、M9、M11

O2、O3

T1、T2、T3、T4、T5、T6

C1、C4

监督层

M1、M2、M3、M4、M5、M6、M7、M8、M9、M11

O3、O4

T1、T4、T5

C1、C4

员工、

合作伙伴

M11

/

/

/

四、数据安全制度流程

制度流程需要从组织层面整体考虑和设计,并形成体系框架。制度体系需要分层,层与层之间,同一层不同模块之间需要有关联逻辑,在内容上不能重复或矛盾。一般按照分为四级:

具体制度体系框架示例:

五、数据安全技术工具

数据生命周期中所有安全域涉及到的技术工具,可以是独立的系统平台、工具、功能或算法技术等,在规划设计时不用单独针对某个安全域,需要整体考虑。尤其涉及到通用的技术工具,需要整合,且和组织的业务系统和信息系统等进行衔接。

围绕组织业务系统和数据流,技术工具整体设计框架参考如下图:

技术工具和PA对照表

阶段

技术工具

涉及PA

安全域

通用

账号管理平台

PA1-PA27

编号 安全域PA01 数据分类分级PA02 数据采集安全管理PA03 数据源鉴别及记录PA04 数据质量管理PA05 数据传输加密PA06 网络可用性管理PA07 存储介质安全PA08 逻辑存储安全PA09 数据备份和恢复PA10 数据脱敏PA11 数据分析安全PA12 数据正当使用PA13 数据处理环境安全PA14 数据导入导出安全PA15 数据共享安全PA16 数据发布安全PA17 数据接口安全PA18 数据销毁处置PA19 介质销毁处置PA20 数据安全策略PA21 人力资源安全PA22 合规管理PA23 数据资产管理PA24 数据供应链安全PA25 元数据安全PA26 终端数据安全PA27 监控与审计

权限管理平台

PA1-PA27

流程审批平台

PA1-PA27

数据资产管理平台

PA1-PA27

监控/审计平台

PA1-PA27

日志管理平台

PA1-PA27

数据供应链管理平台

PA1-PA05,PA14-PA19

数据安全门户

PA1-PA27

元数据管理平台

PA1-PA27

数据血缘管理

PA1-PA27

数据质量监控

PA1-PA17,PA23-PA25

安全合规管理

PA02、PA16、PA22

数据采集

数据分类分级

PA01

数据源认证

PA02、PA03

数据传输

加密技术

PA05

脱敏技术

数据存

加密技术

PA07、PA08、P09

密钥管理

PA07、PA08

备份/恢复

PA09

数据处理

加密技术

PA10-PA14

脱敏技术

数据交换

数据接口管理

PA17

数据交换监控

PA14-PA16

数据销毁

数据清理/销毁

PA18

介质清理/销毁

PA19

每个数据安全域在制度流程和技术工具方面的具体实施指南和案例参考,参见指南。

指南下载:https://survey.alibaba.com/survey/Aw7npOhR7

声明:本文来自阿里巴巴数据安全研究院,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。