“徐玉玉遭電信詐騙致死”、“國(guó)內(nèi)酒店2000萬入住信息遭泄露”、“勒索軟件(WannaCry)全球蔓延”，據(jù)上海社會(huì)科學(xué)院互聯(lián)網(wǎng)研究中心評(píng)選出的“2013年以來國(guó)內(nèi)外發(fā)生的十大典型數(shù)據(jù)安全案例”顯示，相當(dāng)部分?jǐn)?shù)據(jù)安全事件發(fā)生在企業(yè)或社會(huì)組織，泄漏量動(dòng)輒過億條。

業(yè)內(nèi)數(shù)據(jù)安全專家透露，目前，各行業(yè)、企業(yè)、社會(huì)組織間數(shù)據(jù)交互頻繁，任何一家企業(yè)數(shù)據(jù)發(fā)生泄漏，隨時(shí)會(huì)危及其他組織，“這是全局性問題，只要數(shù)據(jù)存在的地方，都應(yīng)建立安全機(jī)制。”

據(jù)最新消息，近日，旨在提高大數(shù)據(jù)行業(yè)整體安全水平、由阿里在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)牽頭的《數(shù)據(jù)安全能力成熟度模型》國(guó)家標(biāo)準(zhǔn)正式進(jìn)入征求意見稿階段，該標(biāo)準(zhǔn)日后有望成為行業(yè)數(shù)據(jù)安全管理的重要依據(jù)。

▲圖說：《數(shù)據(jù)安全能力成熟度模型》國(guó)家標(biāo)準(zhǔn)意見征求的通知

數(shù)據(jù)泄露動(dòng)輒上億條危害重大

今年初，公安部破獲一起特大竊取販賣公民個(gè)人信息案。被竊用戶信息主要涉及交通、物流、醫(yī)療、社交和銀行等領(lǐng)域，隨后數(shù)億條個(gè)人信息在網(wǎng)絡(luò)黑市被販賣。

警方發(fā)現(xiàn)，犯罪嫌疑人是發(fā)生信息泄漏的這家公司員工。業(yè)內(nèi)數(shù)據(jù)安全專家評(píng)價(jià)稱，這家公司內(nèi)部數(shù)據(jù)安全管理存在缺陷。

國(guó)外情況亦不樂觀。2016年9月，全球互聯(lián)網(wǎng)巨頭雅虎證實(shí)，在2014年至少有5億用戶的賬戶信息被竊取。竊取的內(nèi)容涉及用戶姓名、電子郵箱、電話號(hào)碼、出生日期和部分登陸密碼。

DT時(shí)代，數(shù)據(jù)日益成為核心生產(chǎn)要素，數(shù)據(jù)驅(qū)動(dòng)創(chuàng)新、數(shù)據(jù)驅(qū)動(dòng)發(fā)展已經(jīng)成為社會(huì)共識(shí)，然而，數(shù)據(jù)安全問題是擺在政府、行業(yè)、企業(yè)面前的巨大挑戰(zhàn)，阿里巴巴圍繞著數(shù)據(jù)采集、存儲(chǔ)、傳輸、處理、交換、銷毀的全生命周期，在數(shù)據(jù)安全組織建設(shè)、制度流程、技術(shù)工具、人員能力四大維度不斷提升自身數(shù)據(jù)安全能力，積累沉淀了“數(shù)據(jù)安全成熟度模型(Data Security Maturity Model, DSMM)”，并將數(shù)據(jù)安全能力建設(shè)的經(jīng)驗(yàn)積極推廣到生態(tài)圈，協(xié)同專業(yè)的服務(wù)商參與，使更多企業(yè)受益，共同促進(jìn)國(guó)家大數(shù)據(jù)經(jīng)濟(jì)的健康發(fā)展。

據(jù)了解，為解決數(shù)據(jù)安全問題，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)的數(shù)據(jù)安全標(biāo)準(zhǔn)化專家學(xué)者和產(chǎn)業(yè)代表企業(yè)協(xié)同，正在著手制定用于評(píng)估組織機(jī)構(gòu)數(shù)據(jù)安全能力的標(biāo)準(zhǔn)——《數(shù)據(jù)安全能力成熟度模型》，該標(biāo)準(zhǔn)正是基于阿里巴巴提出的數(shù)據(jù)安全成熟度模型(Data Security Maturity Model, DSMM)進(jìn)行制訂。

《模型》旨在提高行業(yè)整體水位

現(xiàn)如今，在云計(jì)算和大數(shù)據(jù)環(huán)境以及多樣化的工作方式、BYOD等新型模式的沖擊下，組織的電子化數(shù)據(jù)不再僅僅存儲(chǔ)于單一的信息系統(tǒng)和工作環(huán)境中，數(shù)據(jù)會(huì)經(jīng)由組織及組織相關(guān)的業(yè)務(wù)流程及應(yīng)用，在各業(yè)務(wù)系統(tǒng)、云平臺(tái)、工作終端、員工的個(gè)人終端等不同的系統(tǒng)環(huán)境中進(jìn)行流轉(zhuǎn)和處理。

一位數(shù)據(jù)安全研究人員分析，企業(yè)要提升數(shù)據(jù)安全管理能力，首先就得認(rèn)清自身數(shù)據(jù)保護(hù)能力水平，再對(duì)癥下藥彌補(bǔ)缺失和短板，而該標(biāo)準(zhǔn)正是針對(duì)大多數(shù)企業(yè)普遍存在的，不了解或不清楚自身數(shù)據(jù)安全管理能力的問題。

▲圖說：上海社會(huì)科學(xué)院互聯(lián)網(wǎng)研究中心評(píng)選出的“十大典型數(shù)據(jù)安全案例”

從標(biāo)準(zhǔn)架構(gòu)來看，會(huì)從組織機(jī)構(gòu)數(shù)據(jù)采集、存儲(chǔ)、傳輸、處理、交換和銷毀六個(gè)數(shù)據(jù)生命周期，就企業(yè)組織建設(shè)、制度流程、技術(shù)工具和人員能力四個(gè)關(guān)鍵能力維度，共30多個(gè)安全過程域進(jìn)行全方位考核評(píng)估，最終將組織機(jī)構(gòu)的數(shù)據(jù)安全能力劃分非正式執(zhí)行、計(jì)劃跟蹤、充分定義、量化控制和持續(xù)優(yōu)化，1級(jí)至5級(jí)的能力成熟等級(jí)，等級(jí)越高意味數(shù)據(jù)安全能力越強(qiáng)。

只有具備了3級(jí)的數(shù)據(jù)安全能力，才意味這家企業(yè)或組織機(jī)構(gòu)能針對(duì)數(shù)據(jù)安全風(fēng)險(xiǎn)進(jìn)行全面有效控制。

據(jù)阿里巴巴集團(tuán)安全部總監(jiān)鄭斌介紹說，該標(biāo)準(zhǔn)是阿里巴巴基于自身數(shù)據(jù)安全管理實(shí)踐經(jīng)驗(yàn)成果DSMM擬定初稿，旨在與同行業(yè)分享阿里經(jīng)驗(yàn)，提升行業(yè)整體數(shù)據(jù)安全能力。

“互聯(lián)網(wǎng)用戶的數(shù)據(jù)安全從來都不是某一家企業(yè)的事。”鄭斌稱，《數(shù)據(jù)安全能力成熟度模型》標(biāo)準(zhǔn)的制訂還由中國(guó)電子技術(shù)標(biāo)準(zhǔn)化研究院、國(guó)家信息安全工程技術(shù)研究中心、中國(guó)信息安全測(cè)評(píng)中心、公安三所、清華大學(xué)和聯(lián)想等業(yè)內(nèi)權(quán)威數(shù)據(jù)安全機(jī)構(gòu)、學(xué)術(shù)單位企業(yè)等共同合作完成。

目前，針對(duì)《數(shù)據(jù)安全能力成熟度模型》，阿里巴巴已完成在內(nèi)部業(yè)務(wù)、生態(tài)圈、各行業(yè)領(lǐng)域內(nèi)20多家組織機(jī)構(gòu)的DSMM實(shí)踐，在各行各業(yè)試點(diǎn)落地，幫助企業(yè)提升自身數(shù)據(jù)安全能力。當(dāng)前已覆蓋了制造、軟件、金融、文娛、零售、物流、冶金礦產(chǎn)、服務(wù)、互聯(lián)網(wǎng)+新型企業(yè)等多個(gè)行業(yè)領(lǐng)域，并有伊利、南方電網(wǎng)、廣發(fā)證券等龍頭企業(yè)及其他行業(yè)的典型代表企業(yè)參與實(shí)踐。

“我們希望將產(chǎn)業(yè)實(shí)踐的經(jīng)驗(yàn)貢獻(xiàn)到行業(yè)標(biāo)準(zhǔn)、國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)建設(shè)中，致力于推動(dòng)形成安全、健康、有序的產(chǎn)業(yè)生態(tài)環(huán)境。”阿里巴巴集團(tuán)標(biāo)準(zhǔn)化高級(jí)專家李克鵬稱。

據(jù)最新消息，阿里在全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)牽頭的《數(shù)據(jù)安全能力成熟度模型》國(guó)家標(biāo)準(zhǔn)日前正式進(jìn)入征求意見稿階段，這意味著該項(xiàng)國(guó)標(biāo)向大眾正式揭開了神秘面紗。

為確保標(biāo)準(zhǔn)質(zhì)量，全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)針對(duì)該標(biāo)準(zhǔn)，面向社會(huì)廣泛征求意見。