2019年8月30日，《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（GB／T 37988－2019）簡(jiǎn)稱DSMM（Data Security Maturity Model）正式成為國(guó)標(biāo)對(duì)外發(fā)布，并已于2020年3月起正式實(shí)施。

DSMM將數(shù)據(jù)按照其生命周期分階段采用不同的能力評(píng)估等級(jí)，分為數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲(chǔ)安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全六個(gè)階段。DSMM從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個(gè)安全能力維度的建設(shè)進(jìn)行綜合考量。DSMM將數(shù)據(jù)安全成熟度劃分成了1－5個(gè)等級(jí)，依次為非正式執(zhí)行級(jí)、計(jì)劃跟蹤級(jí)、充分定義級(jí)、量化控制級(jí)、持續(xù)優(yōu)化級(jí)，形成一個(gè)三維立體模型，全方面對(duì)數(shù)據(jù)安全進(jìn)行能力建設(shè)。

圖1：數(shù)據(jù)分級(jí)分類三維立體模型

在此基礎(chǔ)上，DSMM將上述6個(gè)生命周期進(jìn)一步細(xì)分，劃分出30個(gè)過(guò)程域。這30個(gè)過(guò)程域分別分布在數(shù)據(jù)生命周期的6個(gè)階段，部分過(guò)程域貫穿于整個(gè)數(shù)據(jù)生命周期。

圖2：數(shù)據(jù)生命周期安全過(guò)程域

隨著《中華人民共和國(guó)數(shù)據(jù)安全法（草案）》的公布，后續(xù)DSMM很可能會(huì)成為該法案的具體落地標(biāo)準(zhǔn)和衡量指標(biāo)，對(duì)于中國(guó)企業(yè)而言，以DSMM為數(shù)據(jù)安全治理思路方案選型，可以更好的實(shí)現(xiàn)數(shù)據(jù)安全治理的制度合規(guī)。

本系列文將以DSMM數(shù)據(jù)安全治理思路為依托，針對(duì)上述各過(guò)程域，基于充分定義級(jí)視角（3級(jí)），提供數(shù)據(jù)安全建設(shè)實(shí)踐建議，本文作為開(kāi)篇，將介紹數(shù)據(jù)采集安全階段的數(shù)據(jù)分類分級(jí)過(guò)程域（PA01）。

01定義

DSMM標(biāo)準(zhǔn)在充分定義級(jí)對(duì)數(shù)據(jù)分類分級(jí)要求如下：

組織建設(shè)

組織應(yīng)設(shè)立負(fù)責(zé)數(shù)據(jù)安全分類分級(jí)工作的管理崗位利人員，主要負(fù)責(zé)定義組織整體的數(shù)據(jù)分類分級(jí)的安全原則（BP．01．04）。

制度流程

1）應(yīng)明確數(shù)據(jù)分類分級(jí)原則、方法和操作指南（BP．01．05）；

2）應(yīng)對(duì)組織的數(shù)據(jù)進(jìn)行分類分級(jí)標(biāo)識(shí)和管理（BP．01．06）；

3）應(yīng)對(duì)不同類別利級(jí)別的數(shù)據(jù)建立相應(yīng)的訪問(wèn)控制、數(shù)據(jù)加解密、數(shù)據(jù)脫敏等安全管理和控制措施（BP．01．07）；

4）應(yīng)明確數(shù)據(jù)分類分級(jí)變更審批流程和機(jī)制，通過(guò)該流程保證對(duì)數(shù)據(jù)分類分級(jí)的變更操作及其結(jié)果符合組織的要求（BP．01．08）。

技術(shù)工具

應(yīng)建立數(shù)據(jù)分類分級(jí)打標(biāo)或數(shù)據(jù)資產(chǎn)管理工具，實(shí)現(xiàn)對(duì)數(shù)據(jù)的分類分級(jí)自動(dòng)標(biāo)識(shí)、標(biāo)識(shí)結(jié)果發(fā)布、審核等功能（BP．01．09）。

人員能力

負(fù)責(zé)該項(xiàng)工作的人員應(yīng)了解數(shù)據(jù)分類分級(jí)的合規(guī)要求，能夠識(shí)別哪些數(shù)據(jù)屬于敏感數(shù)據(jù)（BP．01．10）。