阿裡牽頭研制“大資料安全能力成熟度模型”國家标準

5月27日，2017數博會“大資料安全産業實踐高峰論壇”， 全國資訊安全标準化技術委員會等部門協同各方着手制定了一套用于組織機構資料安全能力的評估标準——《大資料安全能力成熟度模型》 ，該标準是基于阿裡巴巴提出的資料安全成熟度模型（data security maturity model, dsmm）進行制訂。

作為項目牽頭起草方，阿裡巴巴安全專家稱，dsmm旨在幫助各行業、組織機構基于統一标準來評估其資料安全能力，發現資料安全能力短闆，查漏補缺，最終提升大資料産業整體安全管理水準和大資料産業競争力，促進大資料産業及數字經濟發展。

無論是去年7月，微軟window10因未遵守歐盟“安全港”法規，過度搜集使用者資料而遭到法國資料保護監管機構cnil的發函警告事件，還是頻發的内部員工竊取使用者資訊在網絡黑市販賣案件，都暴露出了企業資料安全能力偏弱的問題。

與會的貴陽市委常委、市政法委書記龐鴻、中國工程院院士沈昌祥、中國資訊法學研究會理事、法學專家馬民虎、中國電子技術标準化研究院信安中心技術部主任葉潤國、中國大資料技術與應用聯盟副理事長趙平生等政府官員、學者專家，以及阿裡巴巴安全部資深總監侯金剛、伊利、南方電網等企業代表，都在讨論環節介紹，實際上，很多企業并不知道自身資料安全能力究竟處在什麼水準，也不知道短闆在哪，更不知道依據什麼标準進行測評，常常錯失查漏補缺最佳時機，導緻資料洩露。

5月26日，中國科學院院長白春禮在貴陽數博會上就介紹稱，大資料安全對政府治理、法規制度等提出新的挑戰，接近50%的資料可能面臨被洩露的問題。

dsmm正是要解決大資料環境下的資料安全管理問題，即專注提升組織機構在業務營運中應對資料安全風險的能力，最終使有資料安全需求的所有行業、企業、組織機構，都能基于統一的标準，來評估和提升其資料安全能力。

阿裡巴巴資料安全總監鄭斌介紹，dsmm是基于阿裡多年資料安全實踐經驗提煉而成，根據dsmm不同次元和不同環節的細分，最終會評出五個安全管理能力等級。一級是最低等級為“非正式執行”，意味組織的資料安全工作來自于被動需求或随機展開，并未主動開展資料安全工作。三級是各個企業的基礎目标。等級越高，代表被測評的企業組織機構資料安全管理能力越強。

阿裡巴巴資料安全進階專家潘亮透露， dsmm适用範圍非常廣泛，從現已落地使用的企業來看，涵蓋了銀行、網際網路金融、證券等金融行業，以及百貨零售、電器銷售等零售行業，也包括體育、音樂、視訊等文娛行業，乃至乳制品制造、冶金、電力、物流及網際網路+新型企業等産業領域。

上海拾羽網絡科技有限公司就是其中一家已參與測評的企業，該公司總經理鄭波表示，“‘資料安全成熟度模型’從組織建設、人員人力、制度流程、技術工具四個能力項進行評估，對資料安全規範提出了有效的建議，可以很好地幫助我們管理内部資料的使用權限，保護使用者隐私、防止資料洩露，幫助我們實行統一的安全部署。”

“大資料安全能力成熟度模型這項國家标準的研究課題從去年6月開始立項到今年1月結項，前後總共舉辦了5次專家研讨會，包括中國電子技術标準化研究院、清華大學、中國資訊安全測評中心、中科院軟體所、公安三所、中國移動和360等機關都在積極參與。”一位長期參與信安标委國家标準制定的業内知情人介紹說，目前dsmm國家标準立項已在信安标委大資料安全特别工作組獲得通過，标準草案正在起草中。

而阿裡巴巴集團标準化總監朱紅儒表示： dsmm除了正在制定國家标準外， 阿裡也在itu-t牽頭制定《security reference architecture for lifecycle management of e-commerce business data》的國際标準，在iso牽頭制定《big data security capability maturity model》的國際标準研究項目，在ccsa牽頭制定行業标準《 面向網際網路的資料安全能力技術架構 》，來将阿裡積累多年的資料安全管理經驗通過标準的方式輸出給業界，提升行業的資料安全水準。