《数据宁静法》解读—数据宁静检测评估与认证

宣布时间 2021-06-28

《数据宁静法》提出了数据宁静检测评估与认证的要求。那么要如何开展此项事情才气满足执法的合规要求 ?本文结合公司多年在数据宁静治理咨询项目中积累的富厚经验,给出以下几点建议供参考。


《数据宁静法》第十八条要求


国家促进数据宁静检测评估、认证等服务的生长,支持数据宁静检测评估、认证等专业机构依法开展服务活动。


国家支持有关部门、行业组织、企业、教育和科研机构、有关专业机构等在数据宁静风险评估、防范、处置等方面开展协作。


专业解读


目前,我国在数据管理领域,已经正式出台的国家尺度有《数据管理能力成熟度评估模型(GB/T 36073-2018)》(DCMM),在数据宁静检测评估、认证领域的尺度有《数据宁静能力成熟度模型(GB/T 37988-2019)》(DSMM)和团体尺度《数据宁静治理能力评估要领》(T/ISC-0011-2021),这三个尺度可以成为各行业、企业开展数据治理、数据宁静风险评估的参考尺度。


下面结合东森平台集团在数据宁静咨询服务领域的项目经验,对以上三个尺度进行简要介绍。


● 《数据管理能力成熟度评估模型(GB/T 36073-2018)》


该尺度在业界一般简称为DCMM(Data management Capability Maturity assessment Model),是我国数据管理领域中的第一个国家尺度。该尺度注重从源头数据规范管理抓起,进一步保障数据应用全生命周期的科学、规范、宁静、可行,为我国数据管理体系建设、企业数据管理能力提升提供了尺度化支撑。


DCMM主要围绕企业的数据架构的八个方面,对企业数据管理能力进行评估,如下图:


1.png


并将企业数据管理能力成熟度水平分为初始级、受管理级、稳健级、量化管理级、优化级等五个品级。


2.png


通过实施该尺度,可以规范和指导相关单元提升数据管理水平,充实挖掘释放数据要素对其他要素效率的倍增作用,资助企业查明问题,找到差距,指出偏向,建设与企业生长战略相匹配的数据管理能力体系。目前,该尺度已在全国金融、通讯、能源、传媒等行业的龙头企业进行贯标试点推广,取得显著成效。


DCMM尺度的能力域和能力项如下:


3.png


●《数据宁静能力成熟度模型(GB/T 37988-2019)》


该尺度在业界一般简称为DSMM(Data Security Capability Maturity Model),东森平台集团加入了此尺度的编写。该尺度给出了组织数据宁静能力的成熟度模型架构,规定了数据收罗宁静、数据传输宁静、数据存储宁静、数据处置宁静、数据交换宁静、数据销毁宁静、通用宁静的成熟度品级要求。


4.png


该尺度特点如下:


? 以数据生命周期宁静为核心


围绕数据生命周期,提炼出大数据环境下,以数据为中心,针对数据生命周期各阶段建立的相关数据宁静过程域体系。 


? 宁静能力维度要求


明确组织机构在各数据宁静领域所需要具备的能力维度,明确为组织建设、制度流程、技术工具和人员能力四个要害能力的维度。各个要害能力维度要求如下:


1)组织建设:数据宁静组织机构的架构建立、职责分配和相同协作。

2)制度流程:组织机构要害数据宁静领域的制度规范和流程落地建设。

3)技术工具:通过技术手段和产物工具固化宁静要求或自动化实现宁静事情。

4)人员能力:执行数据宁静事情的人员的意识及专业能力。


? 能力成熟度品级划分


基于统一的分级尺度,细化组织机构在各数据宁静过程域的五个级此外能力成熟度分级要求。其中宁静过程域体系笼罩数据生命周期的六个阶段,包罗数据生命周期通用宁静的过程域和数据生命周期各阶段宁静的过程域。


组织机构的数据宁静能力成熟度模型分为五个成熟度品级:


1级-非正式执行级

2级-计划跟踪级

3级-充实界说级

4级-量化控制级

5级-连续革新级


能力级别从一级至五级逐级高,标志着组织机构的数据宁静保障能力的成熟度不停提升。每个级别规定了对应的公共特征和通用实践。


该尺度适合用来作为评估组织数据宁静能力的要领和尺度,亦可在组织开展数据宁静能力建设的过程中被用作参考目标和依据。


●《数据宁静治理能力评估要领(T/ISC-0011-2021)》


该尺度为团体尺度,由中国互联网协会牵头制定,东森平台集团加入了此尺度的编写。该尺度为今年新宣布的尺度,可指导电信行业、互联网企业数据宁静治理能力建设,资助企业发现数据宁静治理能力的不足,促进行业数据宁静治理能力生长。


该尺度以数据全生命周期的宁静治理能力建设为切入点,关注数据宁静治理要点和要害环节的建设情况,梳理治理能力级别并分级制定考核指标,以对电信行业、互联网企业的数据宁静治理能力进行度量,为企业不停提升数据宁静治理能力提供可操作的实施指南。


该尺度描述了种种数据治理活动及其相关平台应遵循的数据宁静治理能力要求和评估要领,包罗评估品级划分要领,包罗评估品级划分要领、数据宁静战略、数据收罗宁静、数据传输宁静、数据存储宁静、数据使用宁静、数据共享宁静、数据销毁宁静、基础宁静等能力的具体评估品级确定原则。


该尺度中规定的数据宁静治理能力总体要求如下:


数据宁静治理能力:包罗数据宁静战略、数据全生命周期宁静、基础宁静三部门。


数据宁静战略能力:包罗数据宁静规划、机构人员宁静管理。


数据全生命周期宁静能力:包罗数据收罗宁静、数据传输宁静、数据存储宁静、数据使用宁静、数据共享宁静、数据销毁宁静。


基础宁静:包罗数据分类分级、合规管理、合作方管理、监控审计、鉴别与访问、风险和需求分析、宁静事件应急。


5.png


该尺度适用于电信行业和互联网行业等企业开展数据治理事情,为其数据宁静治理能力评估提供参考和指引。


上面已经对三个尺度进行了简要的介绍,下面对三个尺度的异同点分析:


6.png


在“数字中国”时代,数据要素宁静越发成为各人关注的焦点,而《数据宁静法》的正式发表,让数据要素宁静实现了有法可依,也为数字经济的生长指明了偏向。东森平台集团作为信息宁静行业的领军企业,自建立以来就非常重视云计算、人工智能、物联网、大数据等前沿技术研究和探索,在数据宁静领域具备富厚的实践经验和专业的技术优势,可更好地为客户筑牢数据要素化市场宁静体系,为数字经济、数字中国高水平、高质量生长添砖加瓦。


往期相关文章链接:

正式颁布!解读《中华人民共和国数据宁静法》

《数据宁静法》专业解读2