“近年来,国内外发生各种涉及个人信息安全案例,如CSDN遭受攻击、12306网站信息泄露、徐玉玉案、Yahoo邮箱泄露案、Equifax征信信息泄露案等,根源都是安全风险。”11月14日,中国社会科学院法学研究所研究员周汉华在杭州出席云栖大会“数据经济 生态共建——数据安全可持续发展”分论坛时称,大数据发展绕不开个人信息保护问题,实现两者之间的平衡是数据治理的关键。
如何保障数据安全?已成为政府、企业和个人都尤为关注的现象级问题。
云栖大会数据安全生态专场当天,阿里巴巴集团安全部资深总监侯金刚就此宣布称,阿里将基于数据安全能力成熟度模型(Data Security Maturity Model, DSMM)推出“数据安全合作伙伴计划”,希望通过与合作伙伴的协同,共享阿里在数据安全方面的经验与能力,帮助各企业、行业建立和提升体系化的数据安全能力,以实现全行业生态的可持续发展。
阿里巴巴安全部资深总监侯金刚表示,全面提升数据安全水平刻不容缓
据悉,数据安全是大数据技术落地、场景价值发挥的前提和保障。阿里巴巴一直在数据安全方面不断实践并贡献自己的经验。2014年,阿里就率先提出数据安全能力成熟度模型(DSMM)概念,并于2015年将数据安全经验“标准化”,去年DSMM开始在产业圈落地实践。
直到今年,包括德勤华永会计师事务所(特殊普通合伙)、安永(中国)企业咨询有限公司、杭州闪捷信息科技有限公司和立信会计师事务所(特殊普通合伙)等在内的17家安全领域知名咨询机构、专业服务公司,与阿里联手展开深度合作,为更多有大数据管理和保护意识、重视大数据价值的组织,提供数据安全专业服务。
在数据安全生态圈中,评估咨询机构、认证机构和产品解决方案等服务机构,都会根据DSMM各维度标准,评估组织的数据安全能力级别,并通过专业的产品和服务,对需要提升数据安全能力的组织进行专项或综合性服务,集聚专业的力量提高整个产业生态圈的数据安全水平。
图说:数据安全合作伙伴计划,希望通过与评估咨询、认证、产品解决方案等合作伙伴的协同,围绕数据安全能力成熟度模型,帮助各企业、行业建立和提升体系化的数据安全能力
DSMM是阿里根据多年数据安全实践经验提炼而成,围绕数据采集、存储、传输、处理、交换、销毁的六个数据生命周期,在数据安全组织建设、制度流程、技术工具、人员能力四大维度,不断提升自身数据安全能力积累沉淀而成,阿里希望将数据安全能力建设的经验积极推广到生态圈,协同专业的服务商参与,使更多企业受益,共同促进国家大数据经济的健康发展。
目的旨在要解决大数据环境下的数据安全管理问题,即专注提升组织机构在业务运营中应对数据安全风险的能力,发现数据安全能力短板、查漏补缺,最终使有数据安全需求的所有组织机构,都能基于统一标准来评估和提升其数据安全能力,甚至是促进大数据产业及数据经济发展。
阿里巴巴数据安全高级专家潘亮透露,DSMM适用范围非常广泛,从现已落地使用的企业来看,涵盖了银行、互联网金融、证券等金融行业,以及百货零售、电器销售等零售行业,也包括体育、音乐、视频等文娱行业,乃至乳制品制造、冶金、电力、物流及互联网+新型企业等产业领域。
据阿里巴巴集团标准化总监朱红儒介绍,DSMM除了正在制定国家标准外,阿里也在ITU-T牵头制定《Security reference architecture for lifecycle management of e-commerce business data》的国际标准,同时在ISO牵头制定《Big data security capability maturity model》的国际标准研究项目,还在CCSA牵头制定行业标准《面向互联网的数据安全能力技术框架》,DSMM今年年底有望正式成为国家标准,向全行业推行。
从标准架构来看,DSMM会就企业组织建设、制度流程、技术工具和人员能力四个关键能力维度,至少30多个安全域进行全方位考核评估,最终将组织机构的数据安全能力划分“非正式执行”、“计划跟踪”、“充分定义”、“量化控制”和“持续优化”,一级至五级的能力成熟等级。
基于数据生命周期的云数据安全产品体系
目前,阿里云已在与合作伙伴共同打造了一套基于DSMM的数据安全解决方案体系。该体系从单点的数据安全产品模式,进化到多个产品之间相互联动的解决方案体系,能更好满足企业各个维度对数据安全的保护。
现阶段方案主要还是针对专有云的数据安全解决方案,后续会陆续开展公有云及其他方面的数据安全解决方案建设。