《数据清静法》解读—数据清静检测评估与认证

宣布时间 2021-06-28

《数据清静法》提出了数据清静检测评估与认证的要求。那么要怎样开展此项事情才华知足执法的合规要求 ?本文团结公司多年在数据清静治理咨询项目中积累的富厚履历 ,给出以下几点建议供参考。


《数据清静法》第十八条要求


国家增进数据清静检测评估、认证等服务的生长 ,支持数据清静检测评估、认证等专业机构依法开展服务运动。


国家支持有关部分、行业组织、企业、教育和科研机构、有关专业机构等在数据清静危害评估、提防、处置惩罚等方面开展协作。


专业解读


现在 ,我国在数据治理领域 ,已经正式出台的国家标准有《数据治理能力成熟度评估模子(GB/T 36073-2018)》(DCMM) ,在数据清静检测评估、认证领域的标准有《数据清静能力成熟度模子(GB/T 37988-2019)》(DSMM)和整体标准《数据清静治理能力评估要领》(T/ISC-0011-2021) ,这三个标准可以成为各行业、企业开展数据治理、数据清静危害评估的参考标准。


下面团结优发国际网站官网集团在数据清静咨询服务领域的项目履历 ,对以上三个标准举行简要先容。


● 《数据治理能力成熟度评估模子(GB/T 36073-2018)》


该标准在业界一样平常简称为DCMM(Data management Capability Maturity assessment Model),是我国数据治理领域中的第一个国家标准。该标准注重从源头数据规范治理抓起 ,进一步包管数据应用全生命周期的科学、规范、清静、可行 ,为我国数据治理系统建设、企业数据治理能力提升提供了标准化支持。


DCMM主要围绕企业的数据架构的八个方面,对企业数据治理能力举行评估 ,如下图:


1.png


并将企业数据治理能力成熟度水中分为初始级、受治理级、稳健级、量化治理级、优化级等五个品级。


2.png


通过实验该标准 ,可以规范和指导相关单位提升数据治理水平 ,充分挖掘释放数据要素对其他要素效率的倍增作用 ,资助企业查明问题 ,找到差别 ,指出偏向 ,建设与企业生长战略相匹配的数据治理能力系统。现在 ,该标准已在天下金融、通讯、能源、传媒等行业的龙头企业举行贯标试点推广 ,取得显著效果。


DCMM标准的能力域和能力项如下:


3.png


●《数据清静能力成熟度模子(GB/T 37988-2019)》


该标准在业界一样平常简称为DSMM(Data Security Capability Maturity Model),优发国际网站官网集团加入了此标准的编写。该标准给出了组织数据清静能力的成熟度模子架构 ,划定了数据收罗清静、数据传输清静、数据存储清静、数据处置惩罚清静、数据交流清静、数据销毁清静、通用清静的成熟度品级要求。


4.png


该标准特点如下:


? 以数据生命周期清静为焦点


围绕数据生命周期 ,提炼出大数据情形下 ,以数据为中心 ,针对数据生命周期各阶段建设的相关数据清静历程域系统。 


? 清静能力维度要求


明确组织机构在各数据清静领域所需要具备的能力维度 ,明确为组织建设、制度流程、手艺工具和职员能力四个要害能力的维度。各个要害能力维度要求如下:


1)组织建设:数据清静组织机构的架构建设、职责分派和相同协作。

2)制度流程:组织机构要害数据清静领域的制度规范和流程落地建设。

3)手艺工具:通过手艺手段和产品工具固化清静要求或自动化实现清静事情。

4)职员能力:执行数据清静事情的职员的意识及专业能力。


? 能力成熟度品级划分


基于统一的分级标准 ,细化组织机构在各数据清静历程域的五个级别的能力成熟度分级要求。其中清静历程域舷笼罩数据生命周期的六个阶段 ,包括数据生命周期通用清静的历程域和数据生命周期各阶段清静的历程域。


组织机构的数据清静能力成熟度模子分为五个成熟度品级:


1级-非正式执行级

2级-妄想跟踪级

3级-充分界说级

4级-量化控制级

5级-一连刷新级


能力级别从一级至五级逐级高 ,标记着组织机构的数据清静包管能力的成熟度一直提升。每个级别划定了对应的公共特征和通用实践。


该标准适适用来作为评估组织数据清静能力的要领和标准 ,亦可在组织开展数据清静能力建设的历程中被用作参考目的和依据。


●《数据清静治理能力评估要领(T/ISC-0011-2021)》


该标准为整体标准 ,由中国互联网协会牵头制订 ,优发国际网站官网集团加入了此标准的编写。该标准为今年新宣布的标准 ,可指导电信行业、互联网企业数据清静治理能力建设 ,资助企业发明数据清静治理能力的缺乏 ,促举行业数据清静治理能力生长。


该标准以数据全生命周期的清静治理能力建设为切入点 ,关注数据清静治理要点和要害环节的建设情形 ,梳理治理能力级别并分级制订审核指标 ,以对电信行业、互联网企业的数据清静治理能力举行怀抱 ,为企业一直提升数据清静治理能力提供可操作的实验指南。


该标准形貌了种种数据治理运动及其相关平台应遵照的数据清静治理能力要求和评估要领 ,包括评估品级划分要领 ,包括评估品级划分要领、数据清静战略、数据收罗清静、数据传输清静、数据存储清静、数据使用清静、数据共享清静、数据销毁清静、基础清静等能力的详细评估品级确定原则。


该标准中划定的数据清静治理能力总体要求如下:


数据清静治理能力:包括数据清静战略、数据全生命周期清静、基础清静三部分。


数据清静战略能力:包括数据清静妄想、机构职员清静治理。


数据全生命周期清静能力:包括数据收罗清静、数据传输清静、数据存储清静、数据使用清静、数据共享清静、数据销毁清静。


基础清静:包括数据分类分级、合规治理、相助方治理、监控审计、判别与会见、危害和需求剖析、清静事务应急。


5.png


该标准适用于电信行业和互联网行业等企业开展数据治理事情 ,为其数据清静治理能力评估提供参考和指引。


上面已经对三个标准举行了简要的先容 ,下面临三个标准的异同点剖析:


6.png


在“数字中国”时代 ,数据要素清静越发成为各人关注的焦点 ,而《数据清静法》的正式揭晓 ,让数据要素清静实现了有法可依 ,也为数字经济的生长指明晰偏向。优发国际网站官网集团作为信息清静行业的领军企业 ,自建设以来就很是重视云盘算、人工智能、物联网、大数据等前沿手艺研究和探索 ,在数据清静领域具备富厚的实践履历和专业的手艺优势 ,可更好地为客户筑牢数据要素化市场清静系统 ,为数字经济、数字中国高水平、高质量生长添砖加瓦。


往期相关文章链接:

正式公布!解读《中华人民共和国数据清静法》

《数据清静法》专业解读2