随着互联网、物联网、云计算等技术的快速发展,全球数据量出现爆炸式增长,我们已进入大数据时代。大数据不断向各个行业渗透,在深刻影响国家政治、经济、民生和国防的同时,也给国家安全、社会稳定和个人隐私等带来了潜在威胁与挑战。在此背景下,国内外数据安全相关法律法规相继出台,以完善大数据安全领域的防护和技术要求,助力大数据安全建设。
相较于传统网络安全,数据安全的标准化起步较晚,目前业内尚无完整、成熟的可借鉴技术落实方案,缺乏有效的数据安全视角下的实践指南,大量组织在数据安全建设方面仍然处于“摸着石头过河”的状态,这严重耗费了企业的人力、物力,以及本不富余的安全资源。
鉴于此,美创科技积极组织公司数据安全从业专家,结合公司多年来的数据安全治理经验,以《信息安全技术 数据安全能力成熟度模型》(GB/T 37988—2019)和《数据安全能力建设实施指南》为标准和依据,对数据安全全生命周期的过程域逐一进行解读并提供实践操作建议,尝试在目前业内暂无DSMM成熟实践的背景下,为数据安全组织提供实践指南,以期抛砖引玉,引导数据安全组织进行数据安全有序化、实效化建设和发展。
本书适合以下读者:
本书共分为五篇,从大数据的基本概念开始引入,探讨数据安全治理思路选型,科普DSMM中三级定义下各过程域的相关要求,并提供实践指南和操作建议,最后整合生成基于数据安全风险评估的量化观察指标和建议实践目标。本书内容循序渐进、深入浅出,具备一定的实践参考性。
概念引入篇(第1章)从大数据的基本概念开始,简单介绍大数据技术目前的应用情况,以及数据采集、分析关联等技术流程,从而引出大数据时代下数据的便利性、价值和安全隐患问题。
现状讨论篇(第2章)列举国内外数据安全事件案例,引出数据治理、数据安全治理的概念,介绍国内外数据安全治理常用的思路及多个方法论,并基于目前国内数据安全的发展趋势,探讨技术规划选型建议,最终以《信息安全技术 数据安全能力成熟度模型》为实践指南进行选型。
治理选型篇(第3章和第4章)介绍大数据时代的数据安全治理思路,并逐个介绍DSMM中3级(即充分定义级)定义下各过程域对应的组织建设、人员能力、制度流程和技术工具等相关要求。
实践指南篇(第5章至第11章)是本书的核心内容,该篇基于美创科技多年数据安全治理实践经验,对上述各过程域逐一进行解读,并提供实践操作建议。
自测参考篇(第12章)基于实践指南篇的内容输出,归纳DSMM在数据安全生命周期中的所有要求,并整合内容输出可量化、可衡量的指标,提供基于数据安全视角的数据安全测评表,以供组织进行自评和DSMM建设参考,为组织后续基于DSMM相关实践和自评提供实践指南及参考依据。
由于笔者水平有限,编写时间仓促,不妥之处在所难免,恳请读者批评指正。如果您有更多宝贵的建议或意见,欢迎发送邮件至datasec@mchz.com.cn,我们很期待能够得到您的真挚反馈。