2019年8月30日，《信息安全技術(shù) 數(shù)據(jù)安全能力成熟度模型》（GB／T 37988－2019）簡稱DSMM（Data Security Maturity Model）正式成為國標(biāo)對外發(fā)布，并已于2020年3月起正式實施。

DSMM將數(shù)據(jù)按照其生命周期分階段采用不同的能力評估等級，分為數(shù)據(jù)采集安全、數(shù)據(jù)傳輸安全、數(shù)據(jù)存儲安全、數(shù)據(jù)處理安全、數(shù)據(jù)交換安全、數(shù)據(jù)銷毀安全六個階段。DSMM從組織建設(shè)、制度流程、技術(shù)工具、人員能力四個安全能力維度的建設(shè)進行綜合考量。DSMM將數(shù)據(jù)安全成熟度劃分成了1－5個等級，依次為非正式執(zhí)行級、計劃跟蹤級、充分定義級、量化控制級、持續(xù)優(yōu)化級，形成一個三維立體模型，全方面對數(shù)據(jù)安全進行能力建設(shè)。

圖1：數(shù)據(jù)分級分類三維立體模型

在此基礎(chǔ)上，DSMM將上述6個生命周期進一步細(xì)分，劃分出30個過程域。這30個過程域分別分布在數(shù)據(jù)生命周期的6個階段，部分過程域貫穿于整個數(shù)據(jù)生命周期。

圖2：數(shù)據(jù)生命周期安全過程域

隨著《中華人民共和國數(shù)據(jù)安全法（草案）》的公布，后續(xù)DSMM很可能會成為該法案的具體落地標(biāo)準(zhǔn)和衡量指標(biāo)，對于中國企業(yè)而言，以DSMM為數(shù)據(jù)安全治理思路方案選型，可以更好的實現(xiàn)數(shù)據(jù)安全治理的制度合規(guī)。

本系列文將以DSMM數(shù)據(jù)安全治理思路為依托，針對上述各過程域，基于充分定義級視角（3級），提供數(shù)據(jù)安全建設(shè)實踐建議，本文作為開篇，將介紹數(shù)據(jù)采集安全階段的數(shù)據(jù)分類分級過程域（PA01）。

01定義

DSMM標(biāo)準(zhǔn)在充分定義級對數(shù)據(jù)分類分級要求如下：

組織建設(shè)

組織應(yīng)設(shè)立負(fù)責(zé)數(shù)據(jù)安全分類分級工作的管理崗位利人員，主要負(fù)責(zé)定義組織整體的數(shù)據(jù)分類分級的安全原則（BP．01．04）。

制度流程

1）應(yīng)明確數(shù)據(jù)分類分級原則、方法和操作指南（BP．01．05）；

2）應(yīng)對組織的數(shù)據(jù)進行分類分級標(biāo)識和管理（BP．01．06）；

3）應(yīng)對不同類別利級別的數(shù)據(jù)建立相應(yīng)的訪問控制、數(shù)據(jù)加解密、數(shù)據(jù)脫敏等安全管理和控制措施（BP．01．07）；

4）應(yīng)明確數(shù)據(jù)分類分級變更審批流程和機制，通過該流程保證對數(shù)據(jù)分類分級的變更操作及其結(jié)果符合組織的要求（BP．01．08）。

技術(shù)工具

應(yīng)建立數(shù)據(jù)分類分級打標(biāo)或數(shù)據(jù)資產(chǎn)管理工具，實現(xiàn)對數(shù)據(jù)的分類分級自動標(biāo)識、標(biāo)識結(jié)果發(fā)布、審核等功能（BP．01．09）。

人員能力

負(fù)責(zé)該項工作的人員應(yīng)了解數(shù)據(jù)分類分級的合規(guī)要求，能夠識別哪些數(shù)據(jù)屬于敏感數(shù)據(jù)（BP．01．10）。