数据安全成熟度能力模型.docxVIP

一、背景

在DSMM数据安全能力成熟度模型总结与交流一文中介绍了DSMM针对数据安全不同生命周期提出了不同的安全要求，数据安全生命周期分为采集、传输、存储、处理、交换、销毁。今天来聊一聊数据安全生命周期的第一个阶段——数据采集安全。

在上一篇文章中，我们讲述了DSMM分为5个成熟度等级分别为：非正式执行、计划跟踪、充分定义、量化控制、持续优化；安全能力的维度包括组织建设、制度流程、技术工具、人员能力。我们在落地执行的时候一般按照等级3即充分定义级进行相关的工作，因为在充分定义级里面完整的包含了安全能力维度的四个方面，而等级1和等级2是没有覆盖完全的，至于等级4和等级5就是进行一些量化细化和持续改进的，可以在DSMM体系建设完成后进行拔高。每个过程域都是按照这样的思路进行要求的，所以接下来介绍的数据采集安全过程的各过程域都是按照这个思路进行建设的。

二、定义

数据采集安全是数据安全生命周期的第一个过程，是对数据来源安全的管理，这是整个DSMM能够落实好的基础阶段，所有的后续工作都是以此为基础。所以该阶段的重要性不言而喻。该过程包含四个过程域，分别为：数据分类分级、数据采集安全管理、数据源鉴别及记录、数据质量管理。

2.1数据分类分级

官方描述为基于法律法规以及业务需求确定组织机构内部的数据分类分级方法，对生成或收集的数据进行分类分级标识。

数据分类分级是数据采集阶段的基础工作，也是整个数据安全生命周期中最基础的工作，它是数据安全防护和管理中各种策略制定、制度落实的依据和附着点。

DSMM标准在充分定义级要求如下：

组织建设：

组织机构设立负责数据分类分级工作的管理岗位和人员，主要负责定义组织机构整体的数据资产分类分级的安全原则以及相关能力提供。

在DSMM的要求中这个几乎都是一样的，每个过程域都需要指定专人和专岗负责该项工作，并能够胜任此工作，数据分类分级也是这样的要求。在实际工作中，可能所有的过程域在这个维度上都是同样的一个或多个人，可以单独任命，也可以在相应的制度章节中进行说明。

制度流程：

建立数据资产分类分级原则、方法和操作指南。

对组织机构的数据资产进行分类分级标识和管理。

对不同类别和级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施。

建立数据分类分级变更审批流程和机制，通过该流程保证对数据分类分级的变更操作及其结果符合组织机构的策略要求。

在建立制度流程的时候，首先应要建立组织/公司自己的的数据分类分级原则和方法，将数据按照重要程度进行分类，然后在数据分类的基础上根据数据安全在受到破坏后，对组织造成的影响和损失进行分级，如果组织层面已经具有相关的分类分级标准，可酌情进行参考。在实际执行时如果一下子做不到完全细粒度区分，可以多步实现，循序渐进，不要设计过度复杂的方案。在进行数据分类分级后需要有针对性地制定数据防护要求，设置不同的访问权限、对重要数据进行加密存储和传输、敏感数据进行脱敏处理、重要操作进行审计记录和分析等。在进行分类分级工作中要明确相关内容和操作流程的审核和审批机制，保证数据分类分级工作符合组织的分类分级原则和制度要求。

技术工具：

建立数据分类分级打标或数据资产管理工具，实现对数据资产的分类分级自动标识、标识结果发布、审核等功能。在技术层面需要建立数据管理平台，按照数据分类分级原则和制度要求对数据打标签，进行数据分类和分级区分，并依据此设置访问控制策略和加解密策略，还要能够对新增数据根据要求进行自动打标签处理。

人员能力：

负责该项工作的人员应了解数据分类分级的合规要求、能够识别哪些数据属于敏感数据。

在编制数据分类分级的制度时可以参考以下关键点：

下面给出我们在进行分类分级时制定的一个模板，欢迎提出更好的意见。

2.2数据采集安全管理

官方描述为在采集外部客户、合作伙伴等相关方的数据的过程中，需明确采集数据的目的和用途，确保数据源的真实性、有效性和最少够用等原则要求，并规范数据采集的渠道、数据的格式以及相关的流程和方式，从而保证数据采集的合规性、正当性和执行上的一致性，符合相关法律法规要求。

数据采集过程中涉及包含个人信息及商业数据在内的海量数据，现今社会对于个人信息和商业秘密的保护提出了很高的要求，需要防止个人信息和商业数据滥用，采集过程需要信息主体授权，并应当依照法律、行政法规的规定和与用户的约定，处理相关数据；另外还应在满足相关法定的规则的前提下，在数据应用和数据安全保护见寻找适度的平衡。

DSMM标准在充分定义级要求如下：

组织建设：

成立组织机构的数据采集安全合规管理的实体/虚拟团队，负责制定相关的数据采集安全合规管理的制度规范，并推动相关要求、流程的落地。

设立组织机构的数据采集风险评估小组，对具体业务场景下的数据采集进行风险评估并制定改进方案，组织机构负责数据安