圖說：5月26日，在阿里安全舉辦的“數(shù)據(jù)安全管理與產(chǎn)業(yè)發(fā)展論壇”上，中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心數(shù)據(jù)安全部主任胡影對(duì)DSMM進(jìn)行解讀

　　數(shù)據(jù)的重要性已成全球共識(shí)，但數(shù)據(jù)安全問題卻逐漸成為數(shù)字經(jīng)濟(jì)發(fā)展的最大障礙，如何扭轉(zhuǎn)因數(shù)據(jù)安全問題陷入“數(shù)據(jù)恐慌”的局面，成為今年貴陽數(shù)博會(huì)上備受關(guān)注的焦點(diǎn)議題。

　　5月26日，貴陽數(shù)博會(huì)期間，阿里巴巴集團(tuán)安全部在貴陽生態(tài)會(huì)議中心舉辦“數(shù)據(jù)安全管理與產(chǎn)業(yè)發(fā)展論壇”，邀請(qǐng)政府、企業(yè)、專家學(xué)者等多方角色共同探討數(shù)據(jù)安全治理問題，首次對(duì)外公布今年以來DSMM(數(shù)據(jù)安全能力成熟度模型)在貴陽這塊數(shù)據(jù)安全“試驗(yàn)田”的實(shí)踐經(jīng)驗(yàn)，并為首批DSMM測評(píng)師代表現(xiàn)場頒發(fā)證書。

　　“實(shí)踐表明，DSMM受到企業(yè)的廣泛認(rèn)可，可以作為數(shù)據(jù)安全治理的基本抓手，” 阿里巴巴集團(tuán)首席安全專家杜躍進(jìn)表示，“只有全行業(yè)的安全水位提升，才能真正解決數(shù)據(jù)安全問題，為數(shù)字經(jīng)濟(jì)的持續(xù)發(fā)展創(chuàng)造良好條件。”

　　DSMM成貴陽數(shù)據(jù)安全治理抓手

　　26日，貴陽市大數(shù)據(jù)發(fā)展管理委員會(huì)副主任宋曉偉在此次論壇發(fā)言中，用一組數(shù)據(jù)道出了當(dāng)前數(shù)據(jù)安全的嚴(yán)峻形勢：近年來企業(yè)數(shù)據(jù)丟失數(shù)量及造成的經(jīng)濟(jì)損失3年來增速超過了400%，數(shù)據(jù)泄露事件的主要根源中，47%的事件涉及惡意或犯罪行為，25%是由于員工或承包商疏忽，28%涉及系統(tǒng)故障，包括IT和業(yè)務(wù)流程故障。

　　“數(shù)據(jù)安全的邊界逐漸模糊、數(shù)據(jù)跨組織的流動(dòng)和交換產(chǎn)生安全風(fēng)險(xiǎn)等挑戰(zhàn)和變化不斷出現(xiàn)，過去數(shù)據(jù)安全領(lǐng)域的經(jīng)驗(yàn)基本上全都作廢了。”杜躍進(jìn)表示，目前全球都缺乏數(shù)據(jù)安全管理和治理的成功經(jīng)驗(yàn)。

　　為滿足貴州在數(shù)據(jù)安全管理方面的需求，早在2017年7月，貴州省就和阿里巴巴簽訂戰(zhàn)略合作協(xié)議，發(fā)起成立全國第一個(gè)以數(shù)據(jù)安全為目標(biāo)的“大數(shù)據(jù)安全工程研究中心”，其理事單位匯聚了中國信息安全認(rèn)證中心、國家信息技術(shù)安全研究中心、中國電子技術(shù)標(biāo)準(zhǔn)化研究院等一大批國家級(jí)機(jī)構(gòu)。同年11月，大數(shù)據(jù)安全工程研究中心落地貴陽市經(jīng)開區(qū);今年4月，在貴陽市政府的支持下，15家當(dāng)?shù)仄笫聵I(yè)單位開始開展DSMM試點(diǎn)測評(píng)。

　　目前，阿里巴巴基于多年數(shù)據(jù)安全經(jīng)驗(yàn)積累總結(jié)出的DSMM已進(jìn)入國家標(biāo)準(zhǔn)報(bào)批稿，并在ISO/IEC JTC1 SC27全會(huì)上獲得通過，在ITU-T作為國際標(biāo)準(zhǔn)發(fā)布。

圖說：阿里巴巴集團(tuán)首席安全專家杜躍進(jìn)在貴陽數(shù)博會(huì)上分享DSMM實(shí)踐經(jīng)驗(yàn)

　　測評(píng)師上崗?fù)苿?dòng)DSMM落地

　　在26日論壇現(xiàn)場，中國電子技術(shù)標(biāo)準(zhǔn)化研究院信息安全研究中心數(shù)據(jù)安全部主任胡影就對(duì)DSMM進(jìn)行了解讀。她介紹稱，這套標(biāo)準(zhǔn)給出了組織機(jī)構(gòu)大數(shù)據(jù)安全治理的能力成熟度模型，以數(shù)據(jù)為中心，重點(diǎn)圍繞數(shù)據(jù)生命周期，從組織建設(shè)、制度流程、技術(shù)工具和人員能力四個(gè)方面進(jìn)行安全保障。數(shù)據(jù)安全能力成熟度等級(jí)分五個(gè)等級(jí)：一級(jí)是最低等級(jí)為“非正式執(zhí)行”，意味組織的數(shù)據(jù)安全工作來自于被動(dòng)需求或隨機(jī)展開，并未主動(dòng)開展數(shù)據(jù)安全工作;三級(jí)代表組織有較為正式、規(guī)范的數(shù)據(jù)安全過程治理，等級(jí)越高代表被測評(píng)的組織數(shù)據(jù)安全治理能力越強(qiáng)。

　　如今，DSMM已在10多個(gè)領(lǐng)域的50多家機(jī)構(gòu)開展了落地實(shí)踐，涵蓋政府、銀行、證券等行業(yè)。

　　杜躍進(jìn)指出，DSMM在貴陽的落地實(shí)踐是集合各方面權(quán)威力量共同開展的測評(píng)，由貴陽市政府負(fù)責(zé)整體部署指導(dǎo)，貴州大數(shù)據(jù)安全工程研究中心的多家理事單位參與其中，設(shè)立標(biāo)準(zhǔn)規(guī)范、測評(píng)培訓(xùn)、項(xiàng)目管理、質(zhì)量管理等小組，聘請(qǐng)大數(shù)據(jù)技術(shù)和安全領(lǐng)域?qū)＜医M建顧問組，保障試點(diǎn)測評(píng)的公正、準(zhǔn)確。

　　測評(píng)師隊(duì)伍的建立也是貴陽實(shí)踐首創(chuàng)。26日論壇上，經(jīng)過嚴(yán)格培訓(xùn)并通過考試的首批107名測評(píng)師代表拿到了“實(shí)習(xí)測評(píng)師”證書，將上崗工作。據(jù)了解，他們均來自各企事業(yè)單位一線的信息安全工作者，多數(shù)從業(yè)經(jīng)歷在十年以上。

圖說：5月26日，首批測評(píng)師代表在論壇現(xiàn)場領(lǐng)取“實(shí)習(xí)測評(píng)師”證書，他們將持證上崗

　　國家信息技術(shù)安全研究中心審查評(píng)估處云計(jì)算服務(wù)網(wǎng)絡(luò)安全審查負(fù)責(zé)人劉俊河就是其中一位。他表示，DSMM是首批體系化、流程化的數(shù)據(jù)安全能力測評(píng)項(xiàng)目，是數(shù)據(jù)安全保護(hù)領(lǐng)域的新探索，也是數(shù)據(jù)安全測評(píng)領(lǐng)域的新大陸。

　　作為貴陽當(dāng)?shù)氐?ldquo;獨(dú)角獸”企業(yè)，貨車幫高度重視數(shù)據(jù)安全，不僅專設(shè)數(shù)據(jù)安全部門，且根據(jù)測評(píng)結(jié)果著力提升自身安全能力。“DSMM的意義在于給所有公司提供一個(gè)全方位的數(shù)據(jù)安全指導(dǎo)性綱要，也讓我們對(duì)自身數(shù)據(jù)安全建設(shè)有了信心，”貨車幫運(yùn)維負(fù)責(zé)人屈耀華在現(xiàn)場發(fā)言中指出。

　　“目前，貴陽市大數(shù)據(jù)發(fā)展管理委員會(huì)提議將DSMM相關(guān)經(jīng)驗(yàn)納入‘貴陽市大數(shù)據(jù)安全管理?xiàng)l例’中，成都、武漢、銀川等地也都在積極探索，”杜躍進(jìn)表示，未來DSMM將根據(jù)實(shí)踐情況不斷優(yōu)化、完善，“因?yàn)榘踩珱]有盡頭，需要不斷適應(yīng)新情況。如果數(shù)據(jù)安全治理做得好，企業(yè)未來會(huì)發(fā)現(xiàn)安全不是成本，而是競爭力。”