圖說:5月26日,在阿裡安全舉辦的“資料安全管理與産業發展論壇”上,中國電子技術标準化研究院資訊安全研究中心資料安全部主任胡影對DSMM進行解讀
資料的重要性已成全球共識,但資料安全問題卻逐漸成為數字經濟發展的最大障礙,如何扭轉因資料安全問題陷入“資料恐慌”的局面,成為今年貴陽數博會上備受關注的焦點議題。
5月26日,貴陽數博會期間,阿裡巴巴集團安全部在貴陽生态會議中心舉辦“資料安全管理與産業發展論壇”,邀請政府、企業、專家學者等多方角色共同探讨資料安全治理問題,首次對外公布今年以來DSMM(資料安全能力成熟度模型)在貴陽這塊資料安全“試驗田”的實踐經驗,并為首批DSMM測評師代表現場頒發證書。
“實踐表明,DSMM受到企業的廣泛認可,可以作為資料安全治理的基本抓手,” 阿裡巴巴集團首席安全專家杜躍進表示,“隻有全行業的安全水位提升,才能真正解決資料安全問題,為數字經濟的持續發展創造良好條件。”
DSMM成貴陽資料安全治理抓手
26日,貴陽市大資料發展管理委員會副主任宋曉偉在此次論壇發言中,用一組資料道出了目前資料安全的嚴峻形勢:近年來企業資料丢失數量及造成的經濟損失3年來增速超過了400%,資料洩露事件的主要根源中,47%的事件涉及惡意或犯罪行為,25%是由于員工或承包商疏忽,28%涉及系統故障,包括IT和業務流程故障。
“資料安全的邊界逐漸模糊、資料跨組織的流動和交換産生安全風險等挑戰和變化不斷出現,過去資料安全領域的經驗基本上全都廢棄了。”杜躍進表示,目前全球都缺乏資料安全管理和治理的成功經驗。
為滿足貴州在資料安全管理方面的需求,早在2017年7月,貴州省就和阿裡巴巴簽訂戰略合作協定,發起成立全國第一個以資料安全為目标的“大資料安全工程研究中心”,其理事機關彙聚了中國資訊安全認證中心、國家資訊技術安全研究中心、中國電子技術标準化研究院等一大批國家級機構。同年11月,大資料安全工程研究中心落地貴陽市經開區;今年4月,在貴陽市政府的支援下,15家當地企事業機關開始開展DSMM試點測評。
目前,阿裡巴巴基于多年資料安全經驗積累總結出的DSMM已進入國家标準報批稿,并在ISO/IEC JTC1 SC27全會上獲得通過,在ITU-T作為國際标準釋出。
圖說:阿裡巴巴集團首席安全專家杜躍進在貴陽數博會上分享DSMM實踐經驗
測評師上崗推動DSMM落地
在26日論壇現場,中國電子技術标準化研究院資訊安全研究中心資料安全部主任胡影就對DSMM進行了解讀。她介紹稱,這套标準給出了組織機構大資料安全治理的能力成熟度模型,以資料為中心,重點圍繞資料生命周期,從組織建設、制度流程、技術工具和人員能力四個方面進行安全保障。資料安全能力成熟度等級分五個等級:一級是最低等級為“非正式執行”,意味組織的資料安全工作來自于被動需求或随機展開,并未主動開展資料安全工作;三級代表組織有較為正式、規範的資料安全過程治理,等級越高代表被測評的組織資料安全治理能力越強。
如今,DSMM已在10多個領域的50多家機構開展了落地實踐,涵蓋政府、銀行、證券等行業。
杜躍進指出,DSMM在貴陽的落地實踐是集合各方面權威力量共同開展的測評,由貴陽市政府負責整體部署指導,貴州大資料安全工程研究中心的多家理事機關參與其中,設立标準規範、測評教育訓練、項目管理、品質管理等小組,聘請大資料技術和安全領域專家組建顧問組,保障試點測評的公正、準确。
測評師隊伍的建立也是貴陽實踐首創。26日論壇上,經過嚴格教育訓練并通過考試的首批107名測評師代表拿到了“實習測評師”證書,将上崗工作。據了解,他們均來自各企事業機關一線的資訊安全工作者,多數從業經曆在十年以上。
圖說:5月26日,首批測評師代表在論壇現場領取“實習測評師”證書,他們将持證上崗
國家資訊技術安全研究中心審查評估處雲計算服務網絡安全審查負責人劉俊河就是其中一位。他表示,DSMM是首批體系化、流程化的資料安全能力測評項目,是資料安全保護領域的新探索,也是資料安全測評領域的新大陸。
作為貴陽當地的“獨角獸”企業,貨車幫高度重視資料安全,不僅專設資料安全部門,且根據測評結果着力提升自身安全能力。“DSMM的意義在于給所有公司提供一個全方位的資料安全指導性綱要,也讓我們對自身資料安全建設有了信心,”貨車幫運維負責人屈耀華在現場發言中指出。
“目前,貴陽市大資料發展管理委員會提議将DSMM相關經驗納入‘貴陽市大資料安全管理條例’中,成都、武漢、銀川等地也都在積極探索,”杜躍進表示,未來DSMM将根據實踐情況不斷優化、完善,“因為安全沒有盡頭,需要不斷适應新情況。如果資料安全治理做得好,企業未來會發現安全不是成本,而是競争力。”