大數(shù)據(jù)安全能力實(shí)踐

來源：大數(shù)據(jù)期刊 時間：2018-03-12 17:06:19 作者：杜躍進(jìn) 鄭斌

?摘要：安全的目的是為了保障發(fā)展，如何衡量一個擁有數(shù)據(jù)的組織的數(shù)據(jù)安全保護(hù)能力是十分重要的。探討了擁有數(shù)據(jù)的組織面臨的數(shù)據(jù)安全問題及挑戰(zhàn)，介紹了大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全發(fā)展趨勢和完整的組織級數(shù)據(jù)安全能力框架，闡述了數(shù)據(jù)安全保護(hù)能力實(shí)現(xiàn)的路徑及實(shí)踐過程中可能遇到的難點(diǎn)。最后，以某互聯(lián)網(wǎng)金融企業(yè)為例，分析了利用數(shù)據(jù)安全能力成熟度模型指導(dǎo)企業(yè)進(jìn)行數(shù)據(jù)安全保護(hù)能力建設(shè)的過程和方法。

?關(guān)鍵詞：大數(shù)據(jù)；安全能力；成熟度模型；安全管理

?doi:10.11959/j.issn.2096-0271.2017049

?論文引用格式：杜躍進(jìn), 鄭斌. 大數(shù)據(jù)安全能力實(shí)踐[J]. 大數(shù)據(jù), 2017, 3(5): 30-37.

?DU Y J, ZHENG B. Security capability practice of big data[J]. Big Data Research, 2017, 3(5): 30-37.

?1 引言

?數(shù)據(jù)被稱為新時代的“黃金”或者“石油”，正在成為企業(yè)的核心資產(chǎn)，成為創(chuàng)新的關(guān)鍵來源，成為國家的戰(zhàn)略資源。數(shù)據(jù)越來越值錢，自然成為違法犯罪分子的重點(diǎn)關(guān)注目標(biāo)。他們除了直接盜取數(shù)據(jù)進(jìn)行倒賣之外，也會用全面的數(shù)據(jù)構(gòu)建精準(zhǔn)詐騙活動，甚至對用戶數(shù)據(jù)進(jìn)行加密，然后勒索贖金，這也成為了當(dāng)今的主流攻擊行為之一。在我國，以營利為目的的網(wǎng)絡(luò)“黑灰”產(chǎn)業(yè)鏈活動從2004年底就開始了。隨著網(wǎng)絡(luò)中的應(yīng)用日漸廣泛和深入，犯罪分子能夠攫取利益的地方也越來越多，因此團(tuán)伙的人員規(guī)模也在不斷膨脹。在網(wǎng)絡(luò)“黑灰”產(chǎn)業(yè)鏈中，竊取用戶數(shù)據(jù)是非常重要的一環(huán)。但是，直到2016年“徐玉玉事件”的發(fā)生才真正讓我國全社會開始重視電信詐騙以及背后的數(shù)據(jù)泄露問題。隨后，從各種不斷披露的案例中可以發(fā)現(xiàn)一個現(xiàn)象：很多數(shù)據(jù)泄露都是通過買通內(nèi)部人員來實(shí)施的，這完全不同于大家想象的“黑客范兒”。

?2016年4月，歐洲議會通過了《一般數(shù)據(jù)保護(hù)條例》，并將在2018年5月25日生效。該條例對歐盟公民的隱私保護(hù)做出了極為嚴(yán)格的要求，違規(guī)企業(yè)可能最高被處以罰款2 000萬歐元或者前一年全球總年?duì)I業(yè)額的4%?！兑话銛?shù)據(jù)保護(hù)條例》對全球眾多企業(yè)都會產(chǎn)生非常大的影響。經(jīng)過長時間的醞釀和討論，2016年11月7日我國發(fā)布了《中華人民共和國網(wǎng)絡(luò)安全法》，該法律于2017年6月1日實(shí)施。個人信息和重要數(shù)據(jù)的安全是這部法律的重要內(nèi)容，相關(guān)的執(zhí)行細(xì)則和標(biāo)準(zhǔn)（包括個人信息如何保護(hù)、數(shù)據(jù)跨境如何評估等）也在緊鑼密鼓地制定。數(shù)據(jù)安全問題受到全世界從政府到普通消費(fèi)者的各種不同角度的關(guān)注，但隨著對數(shù)據(jù)安全的關(guān)注度越來越高，人們似乎正在陷入另外一種風(fēng)險之中，那就是“數(shù)據(jù)恐慌”。這種“數(shù)據(jù)恐慌”表現(xiàn)為對數(shù)據(jù)采集和使用的過度限制或者禁止，而不是通過數(shù)據(jù)保護(hù)能力的提升來改善數(shù)據(jù)安全水平。如果這種趨勢不能扼制，會導(dǎo)致法律法規(guī)、政策標(biāo)準(zhǔn)嚴(yán)重制約數(shù)字經(jīng)濟(jì)的發(fā)展，會使廣大消費(fèi)者對新經(jīng)濟(jì)喪失信心，從而導(dǎo)致各種創(chuàng)業(yè)創(chuàng)新嚴(yán)重受挫，這對于數(shù)字經(jīng)濟(jì)的發(fā)展是很危險的。安全的目的是為了保障發(fā)展，在目前的大數(shù)據(jù)應(yīng)用和安全的環(huán)境下，非常迫切的一項(xiàng)工作是衡量一個擁有數(shù)據(jù)的組織的數(shù)據(jù)安全保護(hù)能力。

?2 擁有數(shù)據(jù)的組織面臨的挑戰(zhàn)

?數(shù)據(jù)只有流通共享，才能促進(jìn)產(chǎn)業(yè)間協(xié)同，優(yōu)化資源配置，更好地激活生產(chǎn)力?？梢哉f，大數(shù)據(jù)時代下的生產(chǎn)過程就是數(shù)據(jù)采集、產(chǎn)生、應(yīng)用、流通共享的過程，這是一個以數(shù)據(jù)為中心的經(jīng)濟(jì)時代，以數(shù)據(jù)為中心的安全能力至關(guān)重要。

?大數(shù)據(jù)環(huán)境下，各組織機(jī)構(gòu)都將面臨著以下的數(shù)據(jù)問題及挑戰(zhàn)。

?（1）數(shù)據(jù)無處不在

?伴隨著信息化的開展，各組織機(jī)構(gòu)的業(yè)務(wù)被大量數(shù)據(jù)化，數(shù)據(jù)被廣泛應(yīng)用于組織的業(yè)務(wù)支撐、經(jīng)營分析與決策、新產(chǎn)品研發(fā)、外部合作，數(shù)據(jù)也不再只是管理者擁有的權(quán)利，上至管理者，下至一線業(yè)務(wù)崗位，都需要使用數(shù)據(jù)。

?（2）系統(tǒng)、組織之間數(shù)據(jù)邊界模糊

?組織內(nèi)部的核心業(yè)務(wù)系統(tǒng)、內(nèi)部辦公系統(tǒng)、外部協(xié)同系統(tǒng)不再是豎井式的架構(gòu)，數(shù)據(jù)的共享使得各系統(tǒng)間存在大量的數(shù)據(jù)接口，系統(tǒng)間呈網(wǎng)狀結(jié)構(gòu)，互為上下游，每個系統(tǒng)都是其他系統(tǒng)的一部分，同時，其他系統(tǒng)也是自身系統(tǒng)的一部分。數(shù)據(jù)的流通共享也進(jìn)一步促進(jìn)了組織間的協(xié)同，組織間的部分職能也互為上下游。

?（3）數(shù)據(jù)關(guān)聯(lián)、聚合更容易

?大數(shù)據(jù)技術(shù)使得數(shù)據(jù)的采集、使用更加便利，數(shù)據(jù)的種類豐富，可被關(guān)聯(lián)的數(shù)據(jù)要素大大增加，同時，運(yùn)算能力的提升加大、加快了數(shù)據(jù)關(guān)聯(lián)或聚合的效率和吞吐量。

?（4）數(shù)據(jù)流動、處理更實(shí)時

?實(shí)時數(shù)據(jù)處理技術(shù)的發(fā)展使得數(shù)據(jù)的流動和處理更加實(shí)時，在提升效率的同時，也加劇了安全的挑戰(zhàn)。

?（5）海量數(shù)據(jù)加密

?組織內(nèi)沉淀了大量的數(shù)據(jù)，涉敏數(shù)據(jù)量也遠(yuǎn)遠(yuǎn)超出以往的數(shù)量，傳統(tǒng)的數(shù)據(jù)加密手段開始捉襟見肘，如何在靈活使用數(shù)據(jù)的同時，高效、安全地保護(hù)數(shù)據(jù)，也是需要解決的問題。

?（6）數(shù)據(jù)的交換、交易

?數(shù)據(jù)成為核心生產(chǎn)資料，其價值被高度重視，數(shù)據(jù)的交換、交易行為以及相關(guān)市場孕育而生，如何確保這些行為的安全，進(jìn)而維護(hù)好國家、組織、個人的合法權(quán)益，是巨大的挑戰(zhàn)。

?（7）數(shù)據(jù)所有者和權(quán)利不停轉(zhuǎn)換

?目前行業(yè)里主流的數(shù)據(jù)相關(guān)方有數(shù)據(jù)主體、數(shù)據(jù)生產(chǎn)者、數(shù)據(jù)提供者、數(shù)據(jù)管理者、數(shù)據(jù)加工者、數(shù)據(jù)消費(fèi)者，數(shù)據(jù)權(quán)利不停轉(zhuǎn)換，而數(shù)據(jù)的所有者及相關(guān)權(quán)利的界定至今未能達(dá)成一致意見。

?（8）業(yè)務(wù)的國際化

?互聯(lián)網(wǎng)化加劇了“地球村”的發(fā)展，網(wǎng)絡(luò)雖然無國界，但是網(wǎng)絡(luò)基礎(chǔ)設(shè)施、網(wǎng)民、網(wǎng)絡(luò)公司等實(shí)體都是有國籍的，各國雖然在網(wǎng)絡(luò)主權(quán)的提法上各執(zhí)己見，但在實(shí)踐層面卻無一例外對本國網(wǎng)絡(luò)加以嚴(yán)厲管制，防止受到外部干涉。

?3 數(shù)據(jù)安全能力框架

?大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全具有五大趨勢：從注重系統(tǒng)的防護(hù)到聚焦數(shù)據(jù)內(nèi)容本身的保護(hù)、從單一組織的保障到跨組織的聯(lián)動、從數(shù)據(jù)的保密到（大）數(shù)據(jù)經(jīng)濟(jì)秩序的保障、從技術(shù)風(fēng)險+操作風(fēng)險到技術(shù)風(fēng)險+操作風(fēng)險+商業(yè)風(fēng)險+法律風(fēng)險、從傳統(tǒng)的數(shù)據(jù)技術(shù)到大數(shù)據(jù)技術(shù)。因此數(shù)據(jù)安全的能力必須充分考慮組織保障、管理政策及流程的落地、大數(shù)據(jù)治理、數(shù)據(jù)生命周期的安全、數(shù)據(jù)的風(fēng)控、數(shù)據(jù)生態(tài)的安全協(xié)同六大要素。

?如圖1所示，數(shù)據(jù)安全能力成熟度模型（data security maturity model， DSMM）以數(shù)據(jù)生命周期為主線，聚焦數(shù)據(jù)安全相關(guān)的四大能力：組織建設(shè)、人員能力、制度流程、技術(shù)工具，對組織機(jī)構(gòu)的數(shù)據(jù)安全能力進(jìn)行評級，能夠很好地幫助組織自身及合作伙伴評估數(shù)據(jù)安全能力，找到差距，有的放矢地提升數(shù)據(jù)安全能力，并作為數(shù)據(jù)共享的風(fēng)險評判依據(jù)之一。能力成熟度等級維度組織的數(shù)據(jù)安全成熟度模型具有5個成熟度等級，分別是非正式執(zhí)行（1級：隨機(jī)、被動的安全過程）、計(jì)劃跟蹤（2級：主動、非正式的安全過程）、安全可控（3級：正式的規(guī)范的安全過程）、量化控制（4級：安全過程可控）、持續(xù)改進(jìn)（5級：安全過程可調(diào)整）。

?圖1 數(shù)據(jù)安全能力成熟度模型

?4 實(shí)現(xiàn)路徑與方法

?（1）設(shè)立組織

?為了有效保障數(shù)據(jù)安全政策的落地實(shí)施，企業(yè)應(yīng)該設(shè)置專職的數(shù)據(jù)安全團(tuán)隊(duì)。此外，還需要設(shè)立面向全組織的數(shù)據(jù)安全委員會，委員會需要有來自業(yè)務(wù)、數(shù)據(jù)、安全、法律等領(lǐng)域的不同角色參與，形成專業(yè)上的互補(bǔ)和完整的組織視角，統(tǒng)籌全局的數(shù)據(jù)安全管理政策，兼顧發(fā)展與安全，推進(jìn)各部門落實(shí)數(shù)據(jù)安全各項(xiàng)政策。數(shù)據(jù)安全是個系統(tǒng)工程，服務(wù)于組織的大數(shù)據(jù)戰(zhàn)略，需要得到組織高層管理者的重視，數(shù)據(jù)安全委員會的負(fù)責(zé)人應(yīng)該是組織里最高管理層里分管安全或者數(shù)據(jù)的管理者。

?同時，還需要內(nèi)部各相關(guān)部門的緊密配合。對于有多個業(yè)態(tài)的集團(tuán)型組織，各業(yè)務(wù)的負(fù)責(zé)人應(yīng)為該業(yè)態(tài)下數(shù)據(jù)安全第一責(zé)任人，與數(shù)據(jù)安全委員會、數(shù)據(jù)安全實(shí)體團(tuán)隊(duì)共同推動本業(yè)態(tài)下的數(shù)據(jù)安全工作。

?（2）盤點(diǎn)現(xiàn)狀

?數(shù)據(jù)安全管理的核心是數(shù)據(jù)，需要對組織內(nèi)的海量數(shù)據(jù)資產(chǎn)以及與數(shù)據(jù)相關(guān)的部門、業(yè)務(wù)/產(chǎn)品、流程、數(shù)據(jù)風(fēng)險管理進(jìn)行盤點(diǎn)。

?數(shù)據(jù)資產(chǎn)的盤點(diǎn)：重點(diǎn)梳理數(shù)據(jù)的種類、數(shù)據(jù)量、核心的數(shù)據(jù)內(nèi)容、數(shù)據(jù)來源以及數(shù)據(jù)的安全分級分類情況和流轉(zhuǎn)鏈路。

?數(shù)據(jù)相關(guān)部門的盤點(diǎn)：與數(shù)據(jù)相關(guān)的部門往往是數(shù)據(jù)風(fēng)險的高發(fā)部門，屬于高敏感崗位，需要梳理全組織與數(shù)據(jù)相關(guān)的部門數(shù)量、部門內(nèi)部各崗位的職責(zé)、工作流程、數(shù)據(jù)操作環(huán)境，重點(diǎn)關(guān)注操作風(fēng)險高的環(huán)節(jié)。

?數(shù)據(jù)相關(guān)業(yè)務(wù)/產(chǎn)品的盤點(diǎn)：與數(shù)據(jù)相關(guān)的業(yè)務(wù)主要是指以數(shù)據(jù)為核心生產(chǎn)要素的業(yè)務(wù)，這類業(yè)務(wù)高度依賴數(shù)據(jù)，是組織對外提供數(shù)據(jù)服務(wù)的業(yè)務(wù)，在產(chǎn)品研發(fā)、測試和對外服務(wù)的過程中都需要對數(shù)據(jù)進(jìn)行梳理，需要梳理數(shù)據(jù)在業(yè)務(wù)/產(chǎn)品中的應(yīng)用原理、交互的系統(tǒng)接口、相關(guān)的責(zé)任人，此過程同樣重點(diǎn)關(guān)注高風(fēng)險的環(huán)節(jié)。同時，由于對外提供的是數(shù)據(jù)服務(wù)，提供的數(shù)據(jù)內(nèi)容也需要進(jìn)行合格性的盤點(diǎn)梳理。

?數(shù)據(jù)相關(guān)流程的盤點(diǎn)：數(shù)據(jù)相關(guān)流程指數(shù)據(jù)的采集、存儲、授權(quán)、內(nèi)部使用、傳輸、對外披露、銷毀等過程，這些環(huán)節(jié)構(gòu)成了數(shù)據(jù)在組織內(nèi)部的主要流程，需要梳理所有線上線下的流程。

?數(shù)據(jù)相關(guān)風(fēng)險管理盤點(diǎn)：梳理數(shù)據(jù)風(fēng)險的識別、風(fēng)險評估及判定、風(fēng)險跟蹤及改進(jìn)情況，包括基礎(chǔ)性的治理，例如風(fēng)險的日志數(shù)據(jù)、風(fēng)險的定級機(jī)制、風(fēng)險的響應(yīng)機(jī)制。

?（3）運(yùn)用DSMM進(jìn)行評估

?如圖2所示，DSMM包含32個安全域，涵蓋組織的數(shù)據(jù)全生命周期過程，每個安全域含有相應(yīng)的評估點(diǎn)和評估標(biāo)準(zhǔn)，由數(shù)據(jù)安全實(shí)體團(tuán)隊(duì)針對評估點(diǎn)參照評估標(biāo)準(zhǔn)進(jìn)行安全能力評估。

?

?圖2 DSMM的安全域

?（4）制定風(fēng)險修復(fù)與短板提升計(jì)劃

?DSMM不但能夠評估出數(shù)據(jù)安全能力，也能反映數(shù)據(jù)安全的風(fēng)險，總體評估完成后，需要得到兩部分的改進(jìn)計(jì)劃：一部分是風(fēng)險修復(fù)計(jì)劃，一部分是數(shù)據(jù)安全能力短板提升計(jì)劃。

?5 實(shí)踐中的難點(diǎn)與挑戰(zhàn)

?在實(shí)踐過程中，通常會遇到如下挑戰(zhàn)。

?（1）高層重視度不足

?負(fù)責(zé)人的層級不夠，難以協(xié)調(diào)；提供的資源投入有限，力度不夠；僅僅作為合規(guī)需求，響應(yīng)被動；缺乏前瞻性的布局，前瞻性的數(shù)據(jù)安全技術(shù)研究與投入缺乏或者不足。

?（2）業(yè)務(wù)部門配合意愿度低

?其他業(yè)務(wù)部門認(rèn)為是安全部門的事情，主動性不強(qiáng)，業(yè)務(wù)要素的輸入不足，導(dǎo)致數(shù)據(jù)安全政策不夠貼近業(yè)務(wù)，既影響落地，又可能造成數(shù)據(jù)安全一刀切的局面，影響業(yè)務(wù)的發(fā)展。

?（3）內(nèi)部系統(tǒng)繁多，數(shù)據(jù)龐雜

?業(yè)務(wù)的IT化促成了大量的系統(tǒng)產(chǎn)生，沉淀了大量的數(shù)據(jù)，應(yīng)用系統(tǒng)的梳理、系統(tǒng)間的數(shù)據(jù)接口以及數(shù)據(jù)的盤點(diǎn)成為了基礎(chǔ)治理工作的重中之重，日常實(shí)踐中，基礎(chǔ)治理工作往往得不到應(yīng)有的重視，管理者往往急功近利，忽視基礎(chǔ)治理工作的重要性。

?（4）政策落地難

?由于歷史因素，組織里存在著大量的歷史業(yè)務(wù)，大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全政策難免與現(xiàn)有業(yè)務(wù)流程產(chǎn)生沖突，沖突發(fā)生時的取舍容易導(dǎo)致數(shù)據(jù)安全為業(yè)務(wù)讓路，造成數(shù)據(jù)安全政策落地難的局面。

?（5）業(yè)務(wù)快速發(fā)展

?“互聯(lián)網(wǎng)+”或“大數(shù)據(jù)+”引發(fā)業(yè)務(wù)創(chuàng)新的加速，業(yè)務(wù)出現(xiàn)快速發(fā)展的勢頭，頻繁迭代升級，數(shù)據(jù)安全政策及技術(shù)手段更新容易滯后。

?（6）組織的關(guān)聯(lián)公司多

?大數(shù)據(jù)環(huán)境下，組織間的業(yè)務(wù)合作促進(jìn)了數(shù)據(jù)的共享，如何安全可控地分享數(shù)據(jù)是大型組織常見的挑戰(zhàn)。

?6 案例分析：某互聯(lián)網(wǎng)金融企業(yè)

?大數(shù)據(jù)時代是機(jī)遇與挑戰(zhàn)并存的時代，在大數(shù)據(jù)產(chǎn)生巨大價值的同時，也為個人信息保護(hù)帶來了難題。個人信息去標(biāo)識化是個人信息保護(hù)研究領(lǐng)域的一個分支，也是近年來新興的研究方向。目前在去標(biāo)識化方法、模型和評估方面已經(jīng)取得了不少成果。本文針對規(guī)范化開展個人信息去標(biāo)識化工作的迫切需求，結(jié)合去標(biāo)識化技術(shù)的特點(diǎn)，提出包括去標(biāo)識化過程、技術(shù)支撐和管理保障在內(nèi)的去標(biāo)識化框架，給出了規(guī)范化的去標(biāo)識化過程指南，并就去標(biāo)識化的標(biāo)準(zhǔn)規(guī)范工作提出了建議。在未來工作中，可以以該架構(gòu)為指導(dǎo)，進(jìn)行具體案例的實(shí)施，積極推進(jìn)有關(guān)標(biāo)準(zhǔn)化工作，具有良好的應(yīng)用前景。

?6.1 企業(yè)概況

?該企業(yè)融合“互聯(lián)網(wǎng)+金融+汽車”，以互聯(lián)網(wǎng)為主要渠道，為借款人與出借人實(shí)現(xiàn)直接借貸提供信息搜集、信息公布、資信評估、信息交互、借貸撮合等服務(wù)。車貸作為該企業(yè)的核心產(chǎn)品，其業(yè)務(wù)模式已經(jīng)具備一套標(biāo)準(zhǔn)的流程，從自建工具實(shí)現(xiàn)貸款的線上操作管理，到自建車輛評估和全球定位系統(tǒng)（global positioning system，GPS）管理系統(tǒng)，實(shí)現(xiàn)數(shù)據(jù)化分析管理。在深耕車貸細(xì)分市場的同時，開啟信用貸款、汽車消費(fèi)金融、供應(yīng)鏈金融等多個領(lǐng)域的持續(xù)性深度探索，逐步搭建以數(shù)據(jù)為核心生產(chǎn)資料的產(chǎn)品體系，有效提升了行業(yè)競爭力。

?6.2 企業(yè)數(shù)據(jù)概況

?主營業(yè)務(wù)中借款人與出借人的基本數(shù)據(jù)、車輛信息、與信用相關(guān)的數(shù)據(jù)、借還款行為數(shù)據(jù)、債權(quán)數(shù)據(jù)成為了業(yè)務(wù)的核心數(shù)據(jù)，數(shù)據(jù)概況見表1。

?

?表1 某互聯(lián)網(wǎng)金融企業(yè)的數(shù)據(jù)概況

?6.3 數(shù)據(jù)安全最緊迫的問題

?該企業(yè)擁有幾百萬借款人和幾十萬投資人信息，近年來安全法律法規(guī)相繼出臺，監(jiān)管日益趨嚴(yán)，滿足監(jiān)管及合規(guī)、保護(hù)個人隱私尤為重要，同時該企業(yè)雖然部署了很多信息系統(tǒng)安全設(shè)備和產(chǎn)品，但對于數(shù)據(jù)泄露仍然十分擔(dān)心。

?企業(yè)缺乏數(shù)據(jù)安全管理組織：運(yùn)維團(tuán)隊(duì)兼職網(wǎng)絡(luò)安全、主機(jī)安全、系統(tǒng)安全等工作；IT團(tuán)隊(duì)負(fù)責(zé)工作電腦終端管理、上網(wǎng)行為管理；人力資源部部分工作覆蓋到人力資源安全；法務(wù)部負(fù)責(zé)合規(guī)工作，督導(dǎo)監(jiān)察部負(fù)責(zé)各主管部門的制度落地執(zhí)行、監(jiān)督和違規(guī)處罰等工作；數(shù)據(jù)庫管理員和各級主管承擔(dān)了權(quán)限審批職責(zé)。安全團(tuán)隊(duì)職能分散，缺乏統(tǒng)一的管理和協(xié)同，沒有整體負(fù)責(zé)數(shù)據(jù)安全的專職團(tuán)隊(duì)，數(shù)據(jù)安全工作缺乏組織持續(xù)跟進(jìn)執(zhí)行。

?企業(yè)數(shù)據(jù)安全制度流程缺失：企業(yè)內(nèi)部相關(guān)制度中有部分?jǐn)?shù)據(jù)安全相關(guān)內(nèi)容，數(shù)據(jù)安全策略及規(guī)范、數(shù)據(jù)分類分級規(guī)范、數(shù)據(jù)對外披露流程細(xì)則等缺乏，沒有權(quán)限申請的流程，數(shù)據(jù)安全缺乏制度保障。

?外部合規(guī)缺乏持續(xù)跟進(jìn)：目前企業(yè)內(nèi)部缺乏專職人員跟進(jìn)數(shù)據(jù)安全相關(guān)法律法規(guī)，合規(guī)風(fēng)險極大。

?6.4 數(shù)據(jù)安全評估過程

?基于數(shù)據(jù)安全能力成熟度模型的內(nèi)容，考慮該企業(yè)的業(yè)務(wù)需求，以成熟度等級的2級作為一年內(nèi)數(shù)據(jù)安全能力的基礎(chǔ)目標(biāo)進(jìn)行評估。通過梳理數(shù)據(jù)生命周期各階段的數(shù)據(jù)安全控制現(xiàn)狀，整體評估數(shù)據(jù)安全能力現(xiàn)狀，識別出在2級的要求下有待提升的數(shù)據(jù)安全領(lǐng)域，并給出提升相關(guān)數(shù)據(jù)安全能力的建議。

?評估過程：由雙方召集相關(guān)人員進(jìn)行整體項(xiàng)目介紹，明確評估項(xiàng)目目標(biāo)、項(xiàng)目時間計(jì)劃、雙方的職責(zé)分工和協(xié)作方式、項(xiàng)目溝通機(jī)制、數(shù)據(jù)安全成熟度模型、評估方法及項(xiàng)目交付成果等。

?總體摸底：全面了解業(yè)務(wù)及業(yè)務(wù)系統(tǒng)、人員和組織情況，準(zhǔn)備評估所需的相關(guān)資料，確定評估范圍，制定詳細(xì)評估計(jì)劃，確?，F(xiàn)場評估工作順利開展，消除業(yè)務(wù)障礙，確保訪談時高效進(jìn)行。

?現(xiàn)場評估：一般包括人員訪談、文檔審核、配置檢查、工具測試和旁站式驗(yàn)證5種方式，并將獲得的各項(xiàng)結(jié)果記錄在檢查表中，保存相關(guān)的證據(jù)。

?報告輸出：基于現(xiàn)場評估記錄的檢查表和相關(guān)證據(jù)，由評估人員負(fù)責(zé)編寫數(shù)據(jù)安全能力成熟度評估報告，期間可能會要求業(yè)務(wù)方補(bǔ)充材料或證據(jù)。

?結(jié)果確認(rèn)：由雙方人員共同確認(rèn)評估結(jié)果是否符合業(yè)務(wù)方的現(xiàn)狀，評估結(jié)果準(zhǔn)確，內(nèi)容描述無誤。

?6.5 改進(jìn)建議

?該企業(yè)擁有大量個人信息，涉及身份信息、銀行卡信息、資金信息等十分敏感的數(shù)據(jù)，個人隱私保護(hù)將是其長期的工作重點(diǎn)，以《中華人民共和國網(wǎng)絡(luò)安全法》和個人信息保護(hù)為切入點(diǎn)，成立由副總裁負(fù)責(zé)的獨(dú)立的專職團(tuán)隊(duì)，3個月內(nèi)制定出個人信息保護(hù)策略，細(xì)化個人信息在采集、存儲、使用、共享、傳輸和銷毀過程中的各種安全細(xì)則，并盡快執(zhí)行。同時，不斷擴(kuò)展企業(yè)數(shù)據(jù)安全策略、組織和人員，逐步引入數(shù)據(jù)安全能力成熟度模型。

?7 結(jié)束語

?本文重點(diǎn)探討了擁有數(shù)據(jù)的組織的數(shù)據(jù)安全保護(hù)能力建設(shè)和評估問題，分析了我國大數(shù)據(jù)安全面臨的問題和挑戰(zhàn)，介紹了數(shù)據(jù)安全能力成熟度模型和數(shù)據(jù)安全能力建設(shè)的實(shí)踐方法及難點(diǎn)，并以某互聯(lián)網(wǎng)金融企業(yè)為例，詳細(xì)分析了利用數(shù)據(jù)安全能力成熟度模型指導(dǎo)企業(yè)進(jìn)行數(shù)據(jù)安全保護(hù)能力建設(shè)的實(shí)踐過程，為其他擁有數(shù)據(jù)的組織提供了一定的參考。

【作者簡介】

杜躍進(jìn)，鄭斌

阿里巴巴集團(tuán)，浙江 杭州 310013

責(zé)任編輯：陳近梅