2019年8月30日，《信息安全技術 數(shù)據(jù)安全能力成熟度模型》（GB／T 37988－2019）簡稱DSMM（Data Security Maturity Model）正式成為國標對外發(fā)布，并已于2020年3月起正式實施。

DSMM將數(shù)據(jù)按照其生命周期分階段采用不同的能力評估等級，分為數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全六個階段。DSMM從組織建設、制度流程、技術工具、人員能力四個安全能力維度的建設進行綜合考量。DSMM將數(shù)據(jù)安全成熟度劃分成了1－5個等級，依次為非正式執(zhí)行級、計劃跟蹤級、充分定義級、量化控制級、持續(xù)優(yōu)化級，形成一個三維立體模型，全方面對數(shù)據(jù)安全進行能力建設。

圖1：數(shù)據(jù)分級分類三維立體模型

在此基礎上，DSMM將上述6個生命周期進一步細分，劃分出30個過程域。這30個過程域分別分布在數(shù)據(jù)生命周期的6個階段，部分過程域貫穿于整個數(shù)據(jù)生命周期。

圖2：數(shù)據(jù)生命周期安全過程域

隨著《中華人民共和國數(shù)據(jù)安全法（草案）》的公布，后續(xù)DSMM很可能會成為該法案的具體落地標準和衡量指標，對于中國企業(yè)而言，以DSMM為數(shù)據(jù)安全治理思路方案選型，可以更好的實現(xiàn)數(shù)據(jù)安全治理的制度合規(guī)。

本系列文將以DSMM數(shù)據(jù)安全治理思路為依托，針對上述各過程域，基于充分定義級視角（3級），提供數(shù)據(jù)安全建設實踐建議，本文作為開篇，將介紹數(shù)據(jù)采集安全階段的數(shù)據(jù)分類分級過程域（PA01）。

01定義

DSMM標準在充分定義級對數(shù)據(jù)分類分級要求如下：

組織建設

組織應設立負責數(shù)據(jù)安全分類分級工作的管理崗位利人員，主要負責定義組織整體的數(shù)據(jù)分類分級的安全原則（BP．01．04）。

制度流程

1）應明確數(shù)據(jù)分類分級原則、方法和操作指南（BP．01．05）；

2）應對組織的數(shù)據(jù)進行分類分級標識和管理（BP．01．06）；

3）應對不同類別利級別的數(shù)據(jù)建立相應的訪問控制、數(shù)據(jù)加解密、數(shù)據(jù)脫敏等安全管理和控制措施（BP．01．07）；

4）應明確數(shù)據(jù)分類分級變更審批流程和機制，通過該流程保證對數(shù)據(jù)分類分級的變更操作及其結(jié)果符合組織的要求（BP．01．08）。

技術工具

應建立數(shù)據(jù)分類分級打標或數(shù)據(jù)資產(chǎn)管理工具，實現(xiàn)對數(shù)據(jù)的分類分級自動標識、標識結(jié)果發(fā)布、審核等功能（BP．01．09）。

人員能力

負責該項工作的人員應了解數(shù)據(jù)分類分級的合規(guī)要求，能夠識別哪些數(shù)據(jù)屬于敏感數(shù)據(jù)（BP．01．10）。