2025年《数据安全能力成熟度模型》实践指南11：数据分析安全.pdfVIP

勿以恶小而为之，勿以善小而不为。——刘备

《数据安全能力成熟度模型》实践指南11：数据分析安全

《信息安全技术数据安全能力成熟度模型》（GB/T

20258-2025·

简称DSMM正式成为国标对外发布，并已正式实施。美创科技将以

DSMM数据安全治理思路为依托，针对各过程域，基于充分定义级视

角（3级），提供数据安全建设实践建议，形成系列文章。本文作为数

据安全能力成熟度模型系列第十一篇文章，将介绍数据处理安全阶段

的数据分析安全过程域（PA11）。

01定义

数据分析安全，DSMM官方描述定义为通过在数据分析过程采取

适当的安全控制措施，防止数据挖掘、分析过程中有价值信息和个人

隐私泄漏的安全风险。

DSMM标准在充分定义级对数据分析安全要求如下：

1、组织建设

美创科技专家建议组织应设立负责数据分析安全的岗位和人员，

负责整体的数据分析安全原则制定、提供相应技术支持。

2、制度流程

①应明确数据处理与分析过程的安全规范，覆盖构建数据仓

库、建模、分析、挖掘、展现等方面的安全要求，明确个人信息保护、

数据获取方式、访问接口、授权机制、分析逻辑安全、分析结果安全

等内容；

②应明确数据分析安全审核流程，对数据分析的数据源、数

据分析需求、分析逻辑进行审核，以确保数据分析目的、分析操作等

当面的正当性；

③应采取必要的监控审计措施，确保实际进行的分析操作与

分析结果使用与其声明的一致，整体保证数据分析的预期不会超过相

关分析团队对数据的权限范围；

④应明确数据分析结果输出和使用的安全审核、合规评估和

授权流程,防止数据分析结果输出造成安全风险；

3、技术工具

海纳百川，有容乃大；壁立千仞，无欲则刚。——林则徐

①在针对个人信息的数据分析中，组织应采用多种技术手段

以降低数据分析过程中的隐私泄漏风险，如差分隐私保护、K匿名；

②应记录并保存数据处理与分析过程中对个人信息、重要数

据等敏感数据的操作行为；

③应提供组织统一的数据处理与分析系统，并能够呈现数据

处理前后数据间的映射关系。

4、人员能力

应能够基于合规性要求、相关标准对数据安全分析中所可能引发

的数据聚合的安全风险进行有效的评估，并能够针对分析场景提出有

效的解决方案。

02实践指南

1、组织建设

美创科技专家建议组织机构在条件允许的情况下应该设立数据分

析部门并招募相关的技术人员与管理人员，负责为公司提供必要的数

据分析技术支持，负责为公司制定整体的数据分析安全方案和相关制

度，并推动相关要求确实可靠的落地执行。除此之外，还需要为公司

定义数据的获取方式、授权机制、数据使用等内容，明确应该使用那

些数据分析工具以及相应工具的规范使用方法，还应该建立针对数据

分析结果的审核机制，以及针对数据分析过程中的审计机制，确保数

据分析的结果可用性和数据分析事件的可追溯性。

2、人员能力

针对数据分析部门的管理人员来说，必须具备良好的数据安全风

险意识，熟悉国家网络安全法律法规以及组织机构所属行业的政策和

监管要求，在进行数据分析