随着信息时代的发展,数据安全的重要性在当今数字化时代变得愈发突显。而《网络安全法》、《数据安全法》和《个人信息保护法》等的持续出台,也要求企业应当制定并实施严格的数据安全策略,加强对数据的保护和管理。对于企业来说,选择什么样的标准来评估自身的数据安全能力也显得尤为重要。
企业一般熟知等级保护(“等保”)和ISO27001。从等保的要求来看,其主要偏向传统网络系统安全,侧重于物理安全、网络安全、安全建设管理等方面的网络系统安全保护。而ISO27001则是以组织为对象,偏向信息安全管理,侧重于指导组织依据信息安全风险评估的结果选择合适的控制措施,设计构建信息安全管理体系。
2019年,国家市场监督管理总局和中国国家标准化管理委员会共同发布了GB/T37988-2019,《信息技术 数据安全能力成熟度模型》(DataSecurity Capability Maturity Mode,简称M)。由中国电子技术标准化研究院在大量实践和研究的基础上, 联合三十多家企事业单位共同研究制定。该模型提供了一个全面的框架,涵盖了数据安全能力的各个方面,包括政策与规程、组织与人员、技术与工具等,从而全面评估企业在数据安全方面的现状。
根据M的架构,其由四个安全能力维度、七个安全过程维度、五个安全能力等级构成。四个安全能力维度:组织建设、制度流程、技术工具、人员能力;七个安全过程维度:数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全、通用安全;七个过程维度又可细分为共 30 个过程域,关注数据整个生命周期的安全控制以及人员制度等安排;五个安全能力等级:从低到高依次1至5级。
企业如通过M的评估,可获得数据安全能力成熟度证书,证书三年有效,可供全国M公共服务平台和国家市场监督管理总局全国认证认可信息公共服务平台查询。对于企业来说,有被第三方认证的数据安全评估结果,是对其商誉和竞争力的肯定。
同时,做好数据安全评估也有助于企业识别和加强在面对安全威胁时的防御能力,降低遭受数据泄露和攻击的风险,提升企业数据安全能力;也能让企业更好地保护其数据资产,从而保证数据的完整性和保密性,提高其价值和可信度。