信息化觀察網(wǎng)

（原標(biāo)題：阿里巴巴數(shù)據(jù)安全專家：3個(gè)維度4個(gè)層級(jí)解讀《網(wǎng)安法》）

最近幾年，網(wǎng)絡(luò)安全事件頻繁發(fā)生，黑客攻擊網(wǎng)站防不勝防。從2013年的雅虎事件，30億賬戶盜，再到今年的兩次病毒勒索事件，嚴(yán)重影響了我國(guó)金融、醫(yī)療等行業(yè)。幾次大的事件之后國(guó)家已經(jīng)嚴(yán)重意識(shí)到網(wǎng)絡(luò)空間安全的重要性，因此，2017年6月1日，頒布了我國(guó)第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理問題的基礎(chǔ)性法律。

2017年6月1日，《網(wǎng)絡(luò)安全法》正式開始實(shí)施。作為我國(guó)第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理問題的基礎(chǔ)性法律，網(wǎng)安法不僅對(duì)網(wǎng)絡(luò)行為明確了規(guī)范和法律責(zé)任，同時(shí)還對(duì)于如何建設(shè)網(wǎng)絡(luò)安全提供了指引。盡管安全法的各種規(guī)范和要求，其實(shí)已經(jīng)長(zhǎng)期存在于各行業(yè)的行業(yè)標(biāo)準(zhǔn)和主管部門對(duì)社會(huì)網(wǎng)絡(luò)行為的指引中，但對(duì)于企業(yè)安全部門甚至CIO來(lái)講，網(wǎng)絡(luò)安全的現(xiàn)實(shí)還是讓其顯得猝不及防。

如何相應(yīng)《網(wǎng)絡(luò)安全法》的要求，并逐步落實(shí)企業(yè)信息安全，在企業(yè)轉(zhuǎn)型甚至逐漸云化的過(guò)程中，仍是企業(yè)面臨的頭等大事。為此，我們特意邀請(qǐng)阿里巴巴集團(tuán)個(gè)人信息保護(hù)官、數(shù)據(jù)安全總監(jiān)以及數(shù)據(jù)大學(xué)校長(zhǎng)鄭斌（花名：天明）分享了《網(wǎng)絡(luò)安全法》對(duì)企業(yè)以及CIO來(lái)說(shuō)，有哪些不得不關(guān)注的條款，以及CIO該如何應(yīng)對(duì)才能保身。

阿里巴巴集團(tuán)個(gè)人信息保護(hù)官/數(shù)據(jù)安全總監(jiān)/數(shù)據(jù)大學(xué)校長(zhǎng)，主導(dǎo)了國(guó)際、ISO標(biāo)準(zhǔn)《數(shù)據(jù)安全能力成熟度模型》（DSMM）的建設(shè)和產(chǎn)業(yè)落地。

阿里巴巴集團(tuán)個(gè)人信息保護(hù)官/數(shù)據(jù)安全總監(jiān)/數(shù)據(jù)大學(xué)校長(zhǎng)，主導(dǎo)了國(guó)際、ISO標(biāo)準(zhǔn)《數(shù)據(jù)安全能力成熟度模型》（DSMM）的建設(shè)和產(chǎn)業(yè)落地。

以下為天明在ITValue微信群公開課【深V課堂】上的分享內(nèi)容，經(jīng)ITValue編輯整理：

今晚的分享主要有三個(gè)部分：

1. 《網(wǎng)絡(luò)安全法》中對(duì)于數(shù)據(jù)的政策定位。

2. 《網(wǎng)絡(luò)安全法》中有關(guān)的規(guī)定，尤其是涉及企業(yè)CIO相關(guān)的規(guī)定。

3. 結(jié)合阿里的實(shí)踐，重點(diǎn)談一下經(jīng)過(guò)我們多年實(shí)踐總結(jié)出來(lái)的《數(shù)據(jù)安全能力成熟度模型》（DSMM）方法論。

在科技發(fā)展大趨勢(shì)下，我國(guó)已經(jīng)將大數(shù)據(jù)作為國(guó)家基礎(chǔ)性戰(zhàn)略資源。在《網(wǎng)絡(luò)安全法》第25條特別提到：國(guó)家建設(shè)網(wǎng)絡(luò)與信息安全保障體系，提升網(wǎng)絡(luò)與信息安全保護(hù)，加強(qiáng)網(wǎng)絡(luò)和信息技術(shù)的創(chuàng)新研究和開發(fā)應(yīng)用，實(shí)現(xiàn)網(wǎng)絡(luò)和信息核心技術(shù)，關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)及數(shù)據(jù)的安全可控。

這里特別提到對(duì)于關(guān)鍵基礎(chǔ)設(shè)施和重要領(lǐng)域信息系統(tǒng)的數(shù)據(jù)安全可控的重要舉措?！毒W(wǎng)絡(luò)安全法》正是承載著國(guó)家對(duì)于數(shù)據(jù)的定義，數(shù)據(jù)是基礎(chǔ)性戰(zhàn)略資源，來(lái)要求所有從事互聯(lián)網(wǎng)服務(wù)的企業(yè)，要遵從《網(wǎng)絡(luò)安全法》。

數(shù)據(jù)安全意識(shí)與CIO互聯(lián)

《網(wǎng)絡(luò)安全法》里面主要有三個(gè)部分涉及到網(wǎng)絡(luò)安全相關(guān)規(guī)范與責(zé)任：

1. 應(yīng)用型的安全。

2. 信息內(nèi)容的安全。

3. 數(shù)據(jù)的安全。

應(yīng)用型的安全就是要確保系統(tǒng)是穩(wěn)定、持續(xù)地提供服務(wù)，不能出現(xiàn)例如“今天開了一個(gè)網(wǎng)站騙了用戶的錢財(cái)，卷了錢就走了這樣的現(xiàn)象”，這肯定不行。

信息內(nèi)容的安全就是不能出現(xiàn)各種反動(dòng)、涉政、涉恐、涉暴、涉黃等這樣的一些言論，主要涉及一些視頻網(wǎng)站、音樂網(wǎng)站、社區(qū)、聊天工具等。

數(shù)據(jù)安全是非常重要的一點(diǎn)，國(guó)家對(duì)于數(shù)據(jù)的定位是基礎(chǔ)性的戰(zhàn)略資源。所以，我們?cè)诮庾x《網(wǎng)絡(luò)安全法》里面要重點(diǎn)解讀跟數(shù)據(jù)安全有關(guān)的條款。

在數(shù)據(jù)安全相關(guān)的條款里面，主要分為三個(gè)層次，從底往上依次是最基礎(chǔ)的數(shù)據(jù)安全要得到保障、公眾的個(gè)人信息保護(hù)（公眾公民的個(gè)人利益，在信息權(quán)力上要得到保護(hù)）、國(guó)家層面的數(shù)據(jù)安全與保護(hù)。

首先，基礎(chǔ)數(shù)據(jù)安全得到保障，所有的企業(yè)都要做到。

《網(wǎng)絡(luò)安全法》第10條：維護(hù)網(wǎng)絡(luò)數(shù)據(jù)的完整性、保密性和可用性。第21條：防止網(wǎng)絡(luò)數(shù)據(jù)泄漏或者是被竊取、篡改。第27條：不得提供專門用于竊取網(wǎng)絡(luò)數(shù)據(jù)等危害網(wǎng)絡(luò)安全活動(dòng)的程序、工具。第31條：一旦遭到破壞、喪失功能或者是數(shù)據(jù)泄漏，可能嚴(yán)重危害國(guó)家安全、國(guó)計(jì)民生、公共利益的關(guān)鍵信息基礎(chǔ)設(shè)施。

這四條特別提到我們對(duì)于數(shù)據(jù)的安全要做到保障。

其次，個(gè)人信息保護(hù)相關(guān)方面。

《網(wǎng)絡(luò)安全法》第40條到第44條，主要提到了在搜集、使用用戶的權(quán)力，以及在銷毀或者是違約的情況下，企業(yè)要盡到的一些責(zé)任。如：

第40條：網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)對(duì)其收集的用戶信息嚴(yán)格保密，并建立健全用戶信息保護(hù)制度。

第41條：網(wǎng)絡(luò)運(yùn)營(yíng)者收集、使用個(gè)人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則，明示收集、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。

網(wǎng)絡(luò)運(yùn)營(yíng)者不得收集與其提供的服務(wù)無(wú)關(guān)的個(gè)人信息，不得違反法律、行政法規(guī)的規(guī)定和雙方的約定收集、使用個(gè)人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定和與用戶的約定，處理其保存的個(gè)人信息。

第42條：網(wǎng)絡(luò)運(yùn)營(yíng)者不得泄露、篡改、毀損其收集的個(gè)人信息；未經(jīng)被收集者同意，不得向他人提供個(gè)人信息。但是，經(jīng)過(guò)處理無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的除外。

網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取技術(shù)措施和其他必要措施，確保其收集的個(gè)人信息安全，防止信息泄露、毀損、丟失。在發(fā)生或者可能發(fā)生個(gè)人信息泄露、毀損、丟失的情況時(shí)，應(yīng)當(dāng)立即采取補(bǔ)救措施，按照規(guī)定及時(shí)告知用戶并向有關(guān)主管部門報(bào)告。

第43條：個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者刪除其個(gè)人信息；發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營(yíng)者收集、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營(yíng)者予以更正。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)采取措施予以刪除或者更正。

第44條：任何個(gè)人和組織不得竊取或者以其他非法方式獲取個(gè)人信息，不得非法出售或者非法向他人提供個(gè)人信息。

最后，是國(guó)家層面的數(shù)據(jù)安全保護(hù)方面。

《網(wǎng)絡(luò)安全法》第37條提到：關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)的在中華人民共和國(guó)境內(nèi)運(yùn)營(yíng)和產(chǎn)生的個(gè)人信息和重要數(shù)據(jù)，應(yīng)當(dāng)在境內(nèi)存儲(chǔ)。第51條強(qiáng)調(diào)：國(guó)家網(wǎng)信部門的責(zé)任，主要是網(wǎng)信辦或者是各個(gè)地方的網(wǎng)信辦。第52條是對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施的要求。

在最底層（基礎(chǔ)層）數(shù)據(jù)安全強(qiáng)調(diào)的是保密、完整和可用；在個(gè)人層面的信息保護(hù)，首先要做到數(shù)據(jù)的安全，然后要做到個(gè)人的信息控制權(quán)力，以及網(wǎng)絡(luò)運(yùn)營(yíng)等相關(guān)尊重個(gè)人控制權(quán)力的義務(wù)。在國(guó)家數(shù)據(jù)安全層面同樣要做到數(shù)據(jù)的安全，同時(shí)是重要數(shù)據(jù)的支配權(quán)，以及防止重要數(shù)據(jù)遭到二次使用，導(dǎo)致國(guó)家安全的危險(xiǎn)。

這是數(shù)據(jù)安全在三個(gè)層次上的主要意識(shí)。而最底層說(shuō)的是保密、完整和可用，這是獲取信息安全的方面，是屬于數(shù)據(jù)安全的子集，現(xiàn)代的數(shù)據(jù)安全應(yīng)該是包含這三個(gè)層面。

我們重點(diǎn)強(qiáng)調(diào)個(gè)人信息層面和國(guó)家層面的數(shù)據(jù)安全意識(shí)。

第一，在個(gè)人信息層面的關(guān)注點(diǎn)特別提到的是與個(gè)人相關(guān)數(shù)據(jù)的權(quán)力，一共有七個(gè)環(huán)節(jié)，搜集個(gè)人信息的時(shí)候要授權(quán)同意。在處理、保存、刪除、更正，以及在安全事件和使用方面，都特別賦予了個(gè)人對(duì)其個(gè)人信息非常強(qiáng)的控制權(quán)。

對(duì)于企業(yè)來(lái)講，我們對(duì)于個(gè)人信息的保護(hù)原則主要是：

1. 以權(quán)力上的保障，采集用戶或者是搜集用戶的信息，要是非常明確的目的，叫目的明確原則。同時(shí)我們要給用戶選擇權(quán)，所以是選擇同意的原則。

2. 遵守最少雇傭的原則。

3. 公開透明原則。

4. 個(gè)人信息保護(hù)主體參與的原則。所謂的參與就是有電話投訴或者是郵件、反饋渠道的參與。

同時(shí)，作為企業(yè)對(duì)于個(gè)人信息保護(hù)方面要盡到的安全義務(wù)，主要是剛才的三個(gè)性：保密性、完整性、可用性。

保密性是我們要確保這些數(shù)據(jù)不會(huì)隨意泄漏。完整性是確保用戶的數(shù)據(jù)在這里是完整的，不能有丟失，尤其是跟金錢相關(guān)的，賬和錢財(cái)丟失了是要負(fù)責(zé)任的?？捎眯约创_保系統(tǒng)能夠穩(wěn)定持續(xù)地提供服務(wù)。

第二，在國(guó)家層面的數(shù)據(jù)安全規(guī)范以及關(guān)注點(diǎn)，主要是對(duì)于重要數(shù)據(jù)的跨境流動(dòng)的安全評(píng)估。重要數(shù)據(jù)的流動(dòng)是要受到監(jiān)管的。重要數(shù)據(jù)是什么呢？重點(diǎn)是指：與國(guó)家的安全、經(jīng)濟(jì)的發(fā)展以及社會(huì)公共利益密切相關(guān)的數(shù)據(jù)。

例如在企業(yè)我們也是會(huì)把企業(yè)內(nèi)部的數(shù)據(jù)分成個(gè)人的數(shù)據(jù)（客戶數(shù)據(jù)）、企業(yè)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)、國(guó)家的數(shù)據(jù)，各大企業(yè)甚至央企的數(shù)據(jù)分類會(huì)多一點(diǎn)，還有特別管制的行業(yè)會(huì)多一些。

但是這種分類可能要做一些適當(dāng)?shù)恼{(diào)整，因?yàn)樵谶^(guò)去國(guó)家的數(shù)據(jù)相對(duì)分類比較清晰，但在大數(shù)據(jù)的時(shí)代下，很多的數(shù)據(jù)搜集其實(shí)已經(jīng)在國(guó)家政府的主管部門之外，而且很多企業(yè)掌握了獨(dú)特的數(shù)據(jù)資源，這些數(shù)據(jù)資源也影響到了國(guó)家和公眾利益的可能性。

所有的這些數(shù)據(jù)具備了雙重屬性，一方面是企業(yè)內(nèi)部的個(gè)人數(shù)據(jù)或者是企業(yè)數(shù)據(jù)、業(yè)務(wù)數(shù)據(jù)，一方面同時(shí)也具備了國(guó)家數(shù)據(jù)的屬性，這也是特別提醒各位CIO要特別注意的，在我們企業(yè)內(nèi)部一定要把這一部分的數(shù)據(jù)區(qū)分出來(lái)，否則凡是涉及到國(guó)家的數(shù)據(jù)，我們一旦沒有保護(hù)好的話，得到的懲罰甚至處罰是非常厲害的。

國(guó)內(nèi)數(shù)據(jù)跨境傳輸或者是跨境的評(píng)估辦法正在制定當(dāng)中，大概的流程主要是由企業(yè)提供數(shù)據(jù)出境的申請(qǐng)，由網(wǎng)信部門指派相應(yīng)的部門來(lái)進(jìn)行評(píng)估，評(píng)估合適、風(fēng)險(xiǎn)可控就可以允許出鏡，經(jīng)過(guò)評(píng)估不合適，會(huì)禁止出境。

評(píng)估的標(biāo)準(zhǔn)主要包括個(gè)人信息是否是會(huì)侵害到我國(guó)公民的利益，同時(shí)也會(huì)看這個(gè)數(shù)據(jù)是否會(huì)侵害到社會(huì)的利益。很重要的一點(diǎn)，當(dāng)企業(yè)數(shù)據(jù)的量大到一定的程度，能夠反映中國(guó)大陸的一些經(jīng)濟(jì)運(yùn)行的情況或者是社會(huì)治安、社會(huì)公共利益等相關(guān)的信息，是嚴(yán)禁出境的。

總結(jié)一下，國(guó)家在信息安全保護(hù)上相關(guān)的標(biāo)準(zhǔn)主要是兩個(gè)部分：

第一是國(guó)家主權(quán)控制權(quán)?？刂茩?quán)的問題強(qiáng)調(diào)的是對(duì)個(gè)人信息保護(hù)的控制權(quán)，國(guó)家要對(duì)中華人民共和國(guó)境內(nèi)的公民在個(gè)人信息的權(quán)力上起到保護(hù)的義務(wù)，也有三個(gè)標(biāo)準(zhǔn)：

1. 《個(gè)人信息安全規(guī)范》。這個(gè)已經(jīng)報(bào)批了，很快就要發(fā)布。

2. 《個(gè)人信息安全影響評(píng)估指南》。這是便于指導(dǎo)企業(yè)做個(gè)人信息安全的影響評(píng)估的方法論。

3. 《個(gè)人信息標(biāo)識(shí)化指南》。

第二是安全。安全類別有五個(gè)：

1. 大數(shù)據(jù)服務(wù)安全的要求，凡是提供大數(shù)據(jù)服務(wù)的平臺(tái)、系統(tǒng)、產(chǎn)品，有一個(gè)安全的要求。

2. 《數(shù)據(jù)安全能力成熟度模型》，叫DSMM。

3. 數(shù)據(jù)交易服務(wù)安全要求，這個(gè)主要是覆蓋數(shù)據(jù)交易、共享方面的安全要求。

4. 《大數(shù)據(jù)安全的管理指南》。

5. 《數(shù)據(jù)出境的安全評(píng)估指南》，就是剛才提到的數(shù)據(jù)出境安全評(píng)估的一整套流程。

《數(shù)據(jù)安全能力成熟度模型》，即DSMM

在國(guó)家提出既要保障數(shù)據(jù)的安全，又要促進(jìn)大數(shù)據(jù)的發(fā)展，即國(guó)家提出“十三五”《大數(shù)據(jù)發(fā)展行動(dòng)綱要》之際，促發(fā)展，保安全，并結(jié)合產(chǎn)業(yè)的需求，我們提出《數(shù)據(jù)安全能力成熟度模型》。

我們發(fā)現(xiàn)數(shù)據(jù)的流動(dòng)和共享是一個(gè)好事情，它促進(jìn)了信息的打通，也促成了分享的經(jīng)濟(jì)模式（包含一些新的商業(yè)模式），大數(shù)據(jù)的安全就成了新商業(yè)模式通道的一環(huán)。如果這些分享過(guò)程不安全、分享的模式不安全，那么新的商業(yè)模式就是不牢靠的。

因此，我們有這樣一個(gè)結(jié)論：大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全是整個(gè)新的數(shù)字經(jīng)濟(jì)時(shí)代非常核心的一環(huán)。

同時(shí)我們認(rèn)為大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全包含五大特點(diǎn)：

1. 由過(guò)去數(shù)據(jù)的保密工作屬性變成了大數(shù)據(jù)經(jīng)濟(jì)秩序的保障，不再是一個(gè)簡(jiǎn)單的技術(shù)事情。

2. 從過(guò)去系統(tǒng)的防控聚焦到數(shù)據(jù)內(nèi)容本身的防控。

3. 更加適應(yīng)大數(shù)據(jù)技術(shù)的特點(diǎn)，靈活、實(shí)時(shí)地處理。

4. 從一個(gè)單一的組織安全保障變成了跨組織的安全聯(lián)動(dòng)保障，因?yàn)閿?shù)據(jù)在流動(dòng)，而且是跨組織地在流動(dòng)，必須聯(lián)動(dòng)來(lái)保障。

5. 從過(guò)去技術(shù)的風(fēng)險(xiǎn)和操作風(fēng)險(xiǎn)的屬性變成了更加綜合，新增加了商業(yè)風(fēng)險(xiǎn)和法律風(fēng)險(xiǎn)這樣的視角。

所以，大數(shù)據(jù)環(huán)境下的數(shù)據(jù)安全要更加綜合，不是單一的視角，也不再是單純的技術(shù)上的視角。

我們提出來(lái)了以數(shù)據(jù)為中心的安全觀，要全面的數(shù)據(jù)安全視角，主要是聚焦在數(shù)據(jù)層面，同時(shí)要聚焦在一家企業(yè)數(shù)據(jù)的合作伙伴這里。

首先，在聚焦數(shù)據(jù)上面主要是4個(gè)W：

1. where，數(shù)據(jù)是在哪里的。

2. what，我的數(shù)據(jù)是怎樣的，每個(gè)數(shù)據(jù)都是什么含義，我都有哪些種類的數(shù)據(jù)，這些數(shù)據(jù)的安全等級(jí)是怎么樣的，是否是和國(guó)家的機(jī)密相關(guān)的，是否是和個(gè)人信息相關(guān)的。

3. who，誰(shuí)在用數(shù)據(jù)，我們必須清楚地知道誰(shuí)在用數(shù)據(jù)，要求我們要有清楚的數(shù)據(jù)負(fù)責(zé)人，能夠追溯數(shù)據(jù)是誰(shuí)在用的。

4. why，為什么要用數(shù)據(jù)，因?yàn)橹挥忻鞔_的why，才能判定數(shù)據(jù)是否是合規(guī)的。

其次，數(shù)據(jù)的合作伙伴主要是幾種角色：

一是數(shù)據(jù)的生產(chǎn)者。在公司內(nèi)部的各條業(yè)務(wù)線產(chǎn)生數(shù)據(jù)的，我們叫業(yè)務(wù)的生產(chǎn)者。二是數(shù)據(jù)的提供者。三是跟你合作生產(chǎn)數(shù)據(jù)的伙伴。四是數(shù)據(jù)的管理者和控制者。五是數(shù)據(jù)的加工者和消費(fèi)者。這些都是我們需要去關(guān)注的。

我們看到在不同的角色里面對(duì)安全的訴求是不一樣的，對(duì)于數(shù)據(jù)使用方（消費(fèi)者）來(lái)講，他關(guān)心的是數(shù)據(jù)的來(lái)源必須是合法的，不能是黑市上采購(gòu)的，不能是非法采集的。數(shù)據(jù)的來(lái)源如果是跨境的，是否符合數(shù)據(jù)來(lái)源國(guó)的規(guī)定？不能把違規(guī)、違法的風(fēng)險(xiǎn)轉(zhuǎn)嫁到自身的頭上，這是消費(fèi)者關(guān)注的訴求。

同樣在數(shù)據(jù)的提供方以及數(shù)據(jù)的解決方案或者是創(chuàng)新這幾種角色方面，關(guān)注的是在提供數(shù)據(jù)服務(wù)的過(guò)程中，數(shù)據(jù)的應(yīng)用應(yīng)該是安全的，數(shù)據(jù)的傳輸要是安全的，數(shù)據(jù)的存儲(chǔ)要是安全的。

在數(shù)據(jù)的生產(chǎn)者方面，就是制造數(shù)據(jù)的一方或者是有原始數(shù)據(jù)的人，關(guān)注的是我的數(shù)據(jù)權(quán)力是否得到了保障，數(shù)據(jù)是不是該銷毀了？數(shù)據(jù)在共享的過(guò)程當(dāng)中，我怎么樣保證可控，以及我的數(shù)據(jù)是否有明確的或者是符合《網(wǎng)絡(luò)安全法》規(guī)定的原則下的一些分級(jí)、分類的管理。

所有這些角色都有共同的安全訴求就是個(gè)人信息的保護(hù)。

阿里巴巴看到了各方的訴求，同時(shí)也結(jié)合了自身的實(shí)踐，我們提煉了這樣一個(gè)模型，叫《數(shù)據(jù)安全能力成熟度模型》，簡(jiǎn)稱DSMM，叫Data Security Maturity Model。它是用來(lái)針對(duì)組織在信息安全領(lǐng)域一個(gè)能力的評(píng)估標(biāo)準(zhǔn)。

對(duì)于評(píng)估的級(jí)別劃分為五級(jí)，最低檔次是一級(jí)，最高是五級(jí)。三級(jí)屬于安全可控的程度；一級(jí)是完全零散的，沒有正式執(zhí)行；二級(jí)是開始有意識(shí)要做，而且也有一些逐步的體系在做；三級(jí)是在二級(jí)搭的體系之上有一個(gè)全面完善的管控體系，以及安全的體系；四級(jí)是不但有這些體系，還能夠去衡量在這個(gè)體系下每個(gè)模塊所帶來(lái)風(fēng)控的效果。

既然叫《數(shù)據(jù)安全能力成熟度模型》，它的能力體現(xiàn)在四個(gè)方面：第一組織上的建設(shè)；第二人員上的能力；第三制度流程；第四技術(shù)工具。

同時(shí)我們認(rèn)為一個(gè)組織要在數(shù)據(jù)安全能力上做評(píng)估，需要從四個(gè)角度來(lái)看，一是組織上有沒有重構(gòu)的保障；二是組織的設(shè)計(jì)是否是合理的，是否有足夠資質(zhì)的人員來(lái)參與；三是流程和制度是否完善；四是技術(shù)和工具是否是犀利、可靠。

這些評(píng)價(jià)是圍繞著數(shù)據(jù)的生命周期來(lái)展開，分別是數(shù)據(jù)的產(chǎn)生、存儲(chǔ)、使用、傳輸、共享和銷毀。一共是34個(gè)過(guò)程，在每個(gè)階段下還有再往下的安全過(guò)程，是六大生命階段，每個(gè)階段都有安全要求。

截止目前這個(gè)模型在標(biāo)準(zhǔn)層面來(lái)看，既是行業(yè)標(biāo)準(zhǔn)，也是國(guó)家標(biāo)準(zhǔn)和國(guó)際標(biāo)準(zhǔn)同時(shí)推進(jìn)。

作為國(guó)家標(biāo)準(zhǔn)，9月份已經(jīng)由國(guó)家信息安全標(biāo)準(zhǔn)委員會(huì)、大數(shù)據(jù)安全特別工作組向全社會(huì)公布《征求意見稿》，10月底就將搜集所有的意見進(jìn)行修改完善，最終發(fā)布國(guó)標(biāo)。

作為國(guó)際標(biāo)準(zhǔn)，我們?cè)?017年的4月份在ISO上成功立項(xiàng)，也是國(guó)內(nèi)互聯(lián)網(wǎng)（國(guó)內(nèi)信息領(lǐng)域）在ISO里面的第一個(gè)立項(xiàng)標(biāo)準(zhǔn)。

作為行業(yè)標(biāo)準(zhǔn)，我們?cè)趪?guó)家通信以及在國(guó)際電信聯(lián)盟的行業(yè)里面也是成功立項(xiàng)。

同時(shí)在行業(yè)實(shí)踐上，目前在10多個(gè)重點(diǎn)行業(yè)、30多個(gè)典型企業(yè)已經(jīng)完成了成熟度模型的評(píng)估實(shí)踐驗(yàn)證，正在進(jìn)行中的實(shí)踐企業(yè)有80多家，分別是由17家服務(wù)商來(lái)幫忙推進(jìn)的，以及在阿里巴巴和貴陽(yáng)大數(shù)據(jù)中心建立了一個(gè)貴陽(yáng)的大數(shù)據(jù)實(shí)驗(yàn)室，由這個(gè)實(shí)驗(yàn)室?guī)兔υu(píng)估50家這樣的企業(yè)，進(jìn)行能力成熟度模型的評(píng)估。

在實(shí)踐過(guò)程中，我們和行業(yè)以及合作伙伴取得了四點(diǎn)數(shù)據(jù)安全的共識(shí)：

1. 數(shù)據(jù)安全是商業(yè)的基礎(chǔ)。無(wú)論是已經(jīng)在大數(shù)據(jù)業(yè)務(wù)上有所作為，還是在準(zhǔn)備發(fā)力的機(jī)構(gòu)，都清楚地意識(shí)到大數(shù)據(jù)業(yè)務(wù)的發(fā)展離不開堅(jiān)實(shí)的大數(shù)據(jù)安全的基礎(chǔ)。

2. 以數(shù)據(jù)為中心的安全。大部分組織機(jī)構(gòu)的安全工作是集中于對(duì)于網(wǎng)絡(luò)層面的防護(hù)，但是并沒有針對(duì)于以數(shù)據(jù)為核心的保護(hù)。所以，在這種安全應(yīng)對(duì)的思路需要轉(zhuǎn)變。

3. 大數(shù)據(jù)下的數(shù)據(jù)安全必須具有產(chǎn)業(yè)生態(tài)的視角。整個(gè)大數(shù)據(jù)環(huán)境下，數(shù)據(jù)的流通和共享是個(gè)趨勢(shì)，我們聚焦在數(shù)據(jù)本身的同時(shí)，還要關(guān)注到數(shù)據(jù)的流動(dòng)，以及在流動(dòng)過(guò)程中的安全挑戰(zhàn)。

4. 數(shù)據(jù)安全技術(shù)的創(chuàng)新和產(chǎn)品需求的迫切性。這個(gè)意思就是過(guò)去在信息安全領(lǐng)域所用的手段已經(jīng)不夠了，因?yàn)樵谶^(guò)去信息安全領(lǐng)域的假設(shè)前提今天已經(jīng)破壞了，過(guò)去的信息安全領(lǐng)域假設(shè)的前提是在一個(gè)封閉的系統(tǒng)環(huán)境下、企業(yè)的組織邊界下去展開的防護(hù)手段和產(chǎn)品技術(shù)能力，但是今天是在開放、互聯(lián)的環(huán)境下，所以我們的技術(shù)必須要?jiǎng)?chuàng)新。