DSMM官方将数据存储安全阶段定义为组织在内部对数据进行计算、分析和可视化等操作的阶段。该阶段对数据的接触最为深入,因而需要着重关注和解决数据处理过程中的潜在安全问题,降低该阶段的安全风险。该阶段包含5个过程域,分别为数据脱敏、数据分析安全、数据正当使用、数据处理环境安全和数据导入导出安全。
DSMM官方将数据脱敏定义为根据相关法律法规和标准的要求以及业务需求,给出敏感数据的脱敏需求和规则,并对敏感数据进行脱敏处理,从而保证数据可用性和安全性的平衡。
DSMM标准在充分定义级对数据脱敏的要求具体如下。
(1)组织建设
组织应设立负责数据脱敏的岗位,由相关工作人员负责制定数据脱敏的原则和方法,并提供相应的技术支持。
在数据权限的申请阶段,相关人员应评估使用真实数据的必要性,以及确定该场景下适用的数据脱敏规则及方法。
(2)制度流程
(3)技术工具
(4)人员能力
基于上述定义,以及对应充分定义级的要求,8.1节将对数据脱敏的相关内容进一步展开讲解,并给出实践指南。
DSMM官方将数据分析安全定义为在数据分析过程中,采取适当的安全控制措施,以防止在数据挖掘和分析过程中泄露有价值的信息和个人隐私。
DSMM标准在充分定义级对数据分析安全的要求具体如下。
(1)组织建设
组织应设立负责数据分析安全管理的岗位,由相关工作人员负责制定整体的数据分析安全原则,并提供相应的技术支持。
(2)制度流程
(3)技术工具
(4)人员能力
应能够基于合规性要求、相关标准对数据安全分析中可能引发的数据聚合安全风险进行有效的评估,并能够针对分析场景提出有效的解决方案。
基于上述定义,以及对应充分定义级的要求,8.2节将对数据分析安全的相关内容进一步展开讲解,并给出实践指南。
DSMM官方将数据的正当使用定义为基于国家相关法律法规对数据分析和利用的要求,建立数据使用过程的责任机制和评估机制,以保护国家机密、商业机密和个人隐私,防止数据资源被用于不正当目的。
DSMM标准在充分定义级对数据的正当使用要求具体如下。
(1)组织建设
组织应设立负责数据的正当使用管理岗位,由相关工作人员负责对数据的正当使用工作进行管理、评估和风险控制。
(2)制度流程
(3)技术工具
(4)人员能力
负责该项工作的人员应能够按“最小够用”等原则管理权限,并具备对正当使用数据相关风险进行分析和跟进的能力。
基于上述定义,以及对应充分定义级的要求,8.3节将对数据的正当使用相关内容进一步展开讲解,并给出实践指南。
DSMM官方对数据处理环境安全的定义是,为组织内部的数据处理环境建立安全保护机制,提供统一的数据计算和开发平台,确保在数据处理的过程中有完整的安全控制管理和技术支持。
DSMM标准在充分定义级对数据处理环境安全的要求具体如下。
(1)组织建设
应由业务团队相关人员负责数据处理环境安全的管理和控制。
(2)制度流程
(3)技术工具
数据处理系统与数据权限管理系统应实现联动,即用户在使用数据系统之前就应已获得了授权;基于数据处理系统多租户的特性,对于不同的租户,应保证其在该系统中的数据、系统功能、会话、调度和运营环境等资源能够实现隔离控制。应建立数据处理日志管理工具,记录用户在数据处理系统上的加工操作,提供数据在系统上加工计算的关联关系。
(4)人员能力
负责该项工作的人员应了解在数据环境下,数据处理系统可能存在的主要安全风险,并能够通过系统设计和开发阶段的合理设计,以及运维阶段的有效配置,来规避相关的安全风险。
基于上述定义,以及对应充分定义级的要求,8.4节将对数据处理环境安全的相关内容进一步展开讲解,并给出实践指南。
DSMM官方将数据导入导出安全定义为在数据导入与导出的过程中对数据的安全性进行管理,从而防止在此过程中可能出现的对数据自身的可用性和完整性构成的危害,以及降低可能存在的数据泄露风险。
DSMM标准在充分定义级对数据导入导出安全的要求具体如下。
(1)组织建设
组织应设立负责数据导入导出安全管理的岗位,由相关工作人员负责制定规则和提供相应的技术,并推动相关规则在组织内业务中的落实和执行。
(2)制度流程
(3)技术工具
(4)人员能力
负责数据导入导出安全工作的人员应该能够充分理解组织的数据导入导出规程,并根据数据导入导出的业务执行相应的风险评估,从而提出实际的解决方案。
基于上述定义,以及对应充分定义级的要求,8.5节将对数据导入导出的相关内容进一步展开讲解,并给出实践指南。