5月27日,2017数博会“大数据安全产业实践高峰论坛”上,全国信息安全标准化技术委员会等部门协同各方着手制定了一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。
作为项目牵头起草方,阿里巴巴安全专家称,DSMM旨在帮助各行业、组织机构基于统一标准来评估其数据安全能力,发现数据安全能力短板,查漏补缺,最终提升大数据产业整体安全管理水平和大数据产业竞争力,促进大数据产业及数字经济发展。
无论是去年7月,微软Window10因未遵守欧盟“安全港”法规,过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告事件,还是频发的内部员工窃取用户信息在网络黑市贩卖案件,都暴露出了企业数据安全能力偏弱的问题。
与会的贵阳市委常委、市政法委书记庞鸿、中国工程院院士沈昌祥、中国信息法学研究会理事、法学专家马民虎、中国电子技术标准化研究院信安中心技术部主任叶润国、中国大数据技术与应用联盟副理事长赵平生等政府官员、学者专家,以及阿里巴巴安全部资深总监侯金刚、伊利、南方电网等企业代表,都在讨论环节介绍,实际上,很多企业并不知道自身数据安全能力究竟处在什么水平,也不知道短板在哪,更不知道依据什么标准进行测评,常常错失查漏补缺最佳时机,导致数据泄露。
5月26日,中国科学院院长白春礼在贵阳数博会上就介绍称,大数据安全对政府治理、法规制度等提出新的挑战,接近50%的数据可能面临被泄露的问题。
DSMM正是要解决大数据环境下的数据安全管理问题,即专注提升组织机构在业务运营中应对数据安全风险的能力,最终使有数据安全需求的所有行业、企业、组织机构,都能基于统一的标准,来评估和提升其数据安全能力。
阿里巴巴数据安全总监郑斌介绍,DSMM是基于阿里多年数据安全实践经验提炼而成,根据DSMM不同维度和不同环节的细分,最终会评出五个安全管理能力等级。一级是最低等级为“非正式执行”,意味组织的数据安全工作来自于被动需求或随机展开,并未主动开展数据安全工作。三级是各个企业的基础目标。等级越高,代表被测评的企业组织机构数据安全管理能力越强。
阿里巴巴数据安全高级专家潘亮透露,DSMM适用范围非常广泛,从现已落地使用的企业来看,涵盖了银行、互联网金融、证券等金融行业,以及百货零售、电器销售等零售行业,也包括体育、音乐、视频等文娱行业,乃至乳制品制造、冶金、电力、物流及互联网+新型企业等产业领域。