第三方数据安全测评标准上线，能否缓解公众数据安全“恐慌”？

《财经》记者 张瑶/文  李恩树/编辑

企业数据丢失数量及造成的经济损失3年来增速超过400%——这一数据，被贵阳市大数据发展管理委员会副主任宋晓伟，在5月26日举办的数博会“数据安全管理与产业发展论坛”上披露。

宋晓伟称，数据泄露事件的主要根源中，47%的事件涉及恶意或犯罪行为，25%是由于员工或承包商疏忽，28%涉及系统故障，包括IT和业务流程故障。

如何避免企业和公众因安全问题而形成的“数据恐慌”，成为产业发展痛点。数博会期间，正在报批国家标准的《数据安全能力成熟度模型》在贵阳测试经验首次公布，15家贵阳企业开始试点测评，效果良好，107名测评师代表拿到“实习测评师”证书。

中国电子技术标准化研究院信息安全研究中心数据安全部主任胡影介绍，这套标准以数据为中心，重点围绕数据从产生、存储、使用、传输、共享到销毁的生命周期，从组织建设、制度流程、技术工具和人员能力四个方面进行安全保障，量化评估。

数据安全能力成熟度等级分五个等级：一级是最低等级为“非正式执行”，意味着组织的数据安全工作来自于被动需求或随机展开，并未主动开展数据安全工作；三级代表组织有较为正式、规范的数据安全过程治理，等级越高代表被测评的组织数据安全治理能力越强。

阿里巴巴集团首席安全专家杜跃进表示，目前全球都缺乏数据安全管理和治理的成功经验。“数据安全的边界逐渐模糊、数据跨组织的流动和交换产生安全风险等挑战和变化不断出现，过去数据安全领域的经验基本上全都作废了。”这一标准由阿里巴巴开发，系基于其自身经验的总结。

“如果无法打消公众的恐慌心理，大数据产业发展将寸步难行。”杜跃进表示，目前许多大数据应用还较为初级，产业发展空间很大，但必须解决数据安全问题。对公众而言，数据安全保护背后涉及技术细节过于复杂难以判断，因而需要第三方机构根据统一标准作出评价帮助判断。

自2016年至2018年，这一对企业数据安全能力进行评估的标准先后在10多个领域50多家机构开展落地试点，涵盖政府、银行、互联网金融、证券、电力及零售行业等。

数据安全能力是该标准强调的一个维度，要求在组织建设、人员能力、制度流程等方面，量化企业的安全能力。

杜跃进举例，比如客服在无场景支持的前提下访问了某个用户数据，会被立刻发现并酌情报警或纳入黑名单制度等，安全能力蕴含在产品背后的组织安全能力中。

货车帮是参与该次试点评测的贵阳当地独角兽企业，其运维负责人屈耀华表示，货车帮的数据链条长，其专设数据安全部门，对具体业务有涉及数据安全的“一票否决权”；在本次1个半月的测评中，也通过数据分类、分级，人员建设等方式，提高自身数据安全建设。

2017年初，货车帮曾陷入与同行运满满的数据窃取传闻，被指从运满满盗取数千万货源信息数据，双方互诉立案后未公开结果，2017年底两家公司合并。

基于数据安全能力成熟度模型的国际标准《大数据安全与隐私保护过程》已在国际标准化组织ISO/IEC JTC1SC27（信息安全分技术委员会）上通过，下一步将在各个成员国之间的投票中寻求最终通过。

胡影表示，《数据安全能力成熟度模型》已于2018年1月报批中国国家标准，有望于今年通过。

声明：本文来自财经网，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。