下载掌阅APP,畅读海量书库
立即打开
针对数据安全的不同生命周期,DSMM提出了不同的安全要求。根据数据生命周期的划分,数据安全可分为采集安全、传输安全、存储安全、处理安全、交换安全和销毁安全。数据采集安全是数据安全生命周期的第一个过程,是对数据来源安全的管理,这也是所有后续生命周期安全工作能够正常落实的基础,因而该阶段的重要性不言而喻。
DSMM官方将数据采集安全定义为组织内部系统中新产生数据及从外部系统收集数据的阶段,其中共包含四个过程域,分别为数据的分类分级、数据采集安全管理、数据源鉴别及记录和数据质量管理。
DSMM官方将数据的分类分级定义为基于法律法规和业务需求确定组织内部的数据分类分级方法,对生成或收集的数据分类分级进行标识。
DSMM标准在充分定义级对数据分类分级的要求具体如下。
(1)组织建设
组织应设立负责数据分类分级管理的岗位和工作人员,主要负责定义组织整体的数据分类分级的安全原则。
(2)制度流程
(3)技术工具
应使用数据分类分级打标或数据资产管理工具,实现对数据的分类分级自动进行标识,以及发布和审核标识结果等功能。
(4)人员能力
负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感数据。
基于上述定义,以及对应的充分定义级要求,5.1节将对数据分类分级的相关内容进一步展开讲解,并给出实践指南。
DSMM官方将数据采集安全管理定义为在采集外部客户、合作伙伴等相关方数据的过程中,组织应明确采集数据的目的和用途,并确保满足数据源的真实性、有效性和最小够用等原则,同时明确数据采集渠道、数据格式规范,以及相关的流程和方式,从而保证数据采集的合规性、正当性和一致性。
DSMM标准在充分定义级对数据采集安全管理的要求具体如下。
(1)组织建设
组织应设立负责数据采集安全管理的岗位,由相关工作人员负责制定数据采集安全管理制度,推动相关要求和流程的落实,并对具体业务或项目的风险评估提供咨询和支持。
(2)制度流程
(3)技术工具
(4)人员能力
负责该项工作的人员应充分理解数据采集的法律要求、安全和业务需求,并能够根据组织的业务提出有针对性的解决方案。
基于上述定义,以及对应的充分定义级要求,5.2节将对数据采集安全管理的相关内容进一步展开讲解,并给出实践指南。
DSMM官方将数据源鉴别及记录定义为对产生数据的数据源进行身份鉴别和记录,以防止数据仿冒和数据伪造。
DSMM标准在充分定义级对数据源鉴别及记录的要求具体如下。
(1)组织建设
应由业务团队相关人员负责对数据源进行鉴别和记录。
(2)制度流程
应明确数据源管理的制度,对组织采集的数据源进行鉴别和记录。
(3)技术工具
(4)人员能力
负责该项工作的人员应理解数据源鉴别标准和组织内部数据采集的业务,且能够结合实际情况执行相关操作。
基于上述定义,以及对应的充分定义级要求,5.3节将对数据源鉴别及记录的相关内容进一步展开讲解,并给出实践指南。
DSMM官方将数据质量管理定义为建立组织的数据质量管理体系,保证数据采集过程中收集或产生的数据的准确性、一致性和完整性。
DSMM标准在充分定义级对数据质量管理的要求具体如下。
(1)组织建设
组织应设立负责数据质量管理的岗位,由相关工作人员负责制定统一的数据质量管理要求,明确对数据质量进行管理和监控的责任部门或责任人。
(2)制度流程
(3)技术工具
应利用技术工具对关键数据进行数据质量管理和监控,一旦发现异常数据就及时告警或更正。
(4)人员能力
负责该项工作的人员应了解数据采集阶段的数据质量控制要素,且能够基于组织的业务特点开展数据质量评估工作。
基于上述定义,以及对应充分定义级的要求,5.4节将对数据质量管理的相关内容进一步展开讲解,并给出实践指南。