阿里发布业内首份《数据安全能力建设实施指南V1.0》

背景回顾   

    2018年9月29日，在2018(第三届)数据安全与隐私保护大会上，阿里巴巴数据安全研究院联合多家单位发布业内首份《数据安全能力建设实施指南V1.0》征求意见稿。该指南作为DSMM配套文档，以充分定义级（3级）为目标，结合数据安全合规要求和组织的业务发展需求，从组织建设、制度流程、技术工具和人员能力等四个方面整体框架设计和规划入手，对DSMM的安全域设置目的和要求进行详细解读，并辅以实践案例，为各行各业具体组织的数据安全能力建设提供实践参考。

参与单位：

阿里巴巴（中国）有限公司

杭州数梦工场科技有限公司

杭州安恒信息技术股份有限公司

浙江蚂蚁小微金融服务集团

阿里云计算有限公司

//重要内容节选//

一、数据安全能力建设框架

    基于《信息安全技术 数据安全能力成熟度模型》标准能力成熟度等级3级要求，数据安全能力建设可参考以下实施框架：

二、数据安全组织建设

    设计数据安全的组织架构时，可按照决策层、管理层、执行层、员工和合作伙伴、监督层的组织架构设计。在具体执行过程中，组织也可赋予已有安全团队与其它相关部门数据安全的工作职能，或寻求第三方专业团队等形式开展工作，组织架构图如下：

三、数据安全人员能力

    数据安全治理不是简单技术形的工种，在现在大数据背景下，是一个复合型的工作，所需要配备的人员也需要具有多方面的能力。数据安全领域较新，在国内这方面培养的人员较少，也是当前逐步需要提升的关键任务。

    数据安全的人员能力主要包括几个维度，数据安全管理能力、数据安全运营能力、数据安全技术能力和数据安全合规能力。通用能力在本章节中不再具体描述。

四、数据安全制度流程

    制度流程需要从组织层面整体考虑和设计，并形成体系框架。制度体系需要分层，层与层之间，同一层不同模块之间需要有关联逻辑，在内容上不能重复或矛盾。一般按照分为四级：

具体制度体系框架示例：

五、数据安全技术工具

    数据生命周期中所有安全域涉及到的技术工具，可以是独立的系统平台、工具、功能或算法技术等，在规划设计时不用单独针对某个安全域，需要整体考虑。尤其涉及到通用的技术工具，需要整合，且和组织的业务系统和信息系统等进行衔接。

围绕组织业务系统和数据流，技术工具整体设计框架参考如下图：

每个数据安全域在制度流程和技术工具方面的具体实施指南和案例参考，参见指南。