2017年10月23日 星期一
当前位置:首页 >> 资讯中心 >> 会员信息 >> 阿里牵头研制“大数据安全能力成熟度模型”国家标准

阿里牵头研制“大数据安全能力成熟度模型”国家标准

更新时间:2017-06-02 21:59:07  

    5月27日,2017数博会“大数据安全产业实践高峰论坛”上,全国信息安全标准化技术委员会等部门协同各方着手制定了一套用于组织机构数据安全能力的评估标准——《大数据安全能力成熟度模型》,该标准是基于阿里巴巴提出的数据安全成熟度模型(Data Security Maturity Model, DSMM)进行制订。
   
    作为项目牵头起草方,阿里巴巴安全专家称,DSMM旨在帮助各行业、组织机构基于统一标准来评估其数据安全能力,发现数据安全能力短板,查漏补缺,最终提升大数据产业整体安全管理水平和大数据产业竞争力,促进大数据产业及数字经济发展。
   
    无论是去年7月,微软Window10因未遵守欧盟“安全港”法规,过度搜集用户数据而遭到法国数据保护监管机构CNIL的发函警告事件,还是频发的内部员工窃取用户信息在网络黑市贩卖案件,都暴露出了企业数据安全能力偏弱的问题。
  
    与会的贵阳市委常委、市政法委书记庞鸿、中国工程院院士沈昌祥、中国信息法学研究会理事、法学专家马民虎、中国电子技术标准化研究院信安中心技术部主任叶润国、中国大数据技术与应用联盟副理事长赵平生等政府官员、学者专家,以及阿里巴巴安全部资深总监侯金刚、伊利、南方电网等企业代表,都在讨论环节介绍,实际上,很多企业并不知道自身数据安全能力究竟处在什么水平,也不知道短板在哪,更不知道依据什么标准进行测评,常常错失查漏补缺最佳时机,导致数据泄露。
  
    5月26日,中国科学院院长白春礼在贵阳数博会上就介绍称,大数据安全对政府治理、法规制度等提出新的挑战,接近50%的数据可能面临被泄露的问题。
  
    DSMM正是要解决大数据环境下的数据安全管理问题,即专注提升组织机构在业务运营中应对数据安全风险的能力,最终使有数据安全需求的所有行业、企业、组织机构,都能基于统一的标准,来评估和提升其数据安全能力。
  
    阿里巴巴数据安全总监郑斌介绍,DSMM是基于阿里多年数据安全实践经验提炼而成,根据DSMM不同维度和不同环节的细分,最终会评出五个安全管理能力等级。一级是最低等级为“非正式执行”,意味组织的数据安全工作来自于被动需求或随机展开,并未主动开展数据安全工作。三级是各个企业的基础目标。等级越高,代表被测评的企业组织机构数据安全管理能力越强。
  
    阿里巴巴数据安全高级专家潘亮透露,DSMM适用范围非常广泛,从现已落地使用的企业来看,涵盖了银行、互联网金融、证券等金融行业,以及百货零售、电器销售等零售行业,也包括体育、音乐、视频等文娱行业,乃至乳制品制造、冶金、电力、物流及互联网+新型企业等产业领域。
  
    上海拾羽网络科技有限公司就是其中一家已参与测评的企业,该公司总经理郑波表示,“‘数据安全成熟度模型’从组织建设、人员人力、制度流程、技术工具四个能力项进行评估,对数据安全规范提出了有效的建议,可以很好地帮助我们管理内部数据的使用权限,保护用户隐私、防止数据泄露,帮助我们实行统一的安全部署。”
  
    “大数据安全能力成熟度模型这项国家标准的研究课题从去年6月开始立项到今年1月结项,前后总共举办了5次专家研讨会,包括中国电子技术标准化研究院、清华大学、中国信息安全测评中心、中科院软件所、公安三所、中国移动和360等单位都在积极参与。”一位长期参与信安标委国家标准制定的业内知情人介绍说,目前DSMM国家标准立项已在信安标委大数据安全特别工作组获得通过,标准草案正在起草中。
  
    而阿里巴巴集团标准化总监朱红儒也向记者介绍,DSMM除了正在制定国家标准外,阿里也在ITU-T牵头制定《Security reference architecture for lifecycle management of e-commerce business data》的国际标准,在ISO牵头制定《Big data security capability maturity model》的国际标准研究项目,在CCSA牵头制定行业标准《面向互联网的数据安全能力技术框架》,来将阿里积累多年的数据安全管理经验通过标准的方式输出给业界,提升行业的数据安全水平。


分享到:

[政府部门] 工业和信息化部 | 国务院新闻办公室 | 科技部 | 商务部 | 文化部 | 公安部 | 民政部 | 新闻出版总署 | [更多]

[相关机构] 中国科学院 | 中国工程院 | 中国科学技术协会 | 政务和公益机构域名注册管理中心 | 中国互联网络信息中心 | 工业和信息化部信息中心 |             国家计算机网络应急技术处理协调中心 | 12321举报中心 |

[国际组织] ITU | ICANN | ISOC | IETF | APNIC | IEEE | CERT | IGF | SPAMHAUS |