《数据安全能力成熟度模型》实践指南：数据安全策略规划-





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于美创 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯安全研究

热门阅读

国家网信办发布《国家网络安全事件报告管理办法》

2025-09-16

数字医学与健康大会DMHC——美创与您相约古都金陵

2025-08-12

美创科技打造县域医疗灾备新标杆｜神木市医院 HIS 系统数据库分钟级切换演练实录

2025-07-02

百万罚单警示！DCAS助力金融机构筑牢数据安全防线，实现监管合规

2025-06-20

2025中国互联网产业年会丨《中国互联网产业绿色算力发展倡议》正式发布

2025-02-07

每周安全速递³⁵⁸ | 南卡罗来纳州第五学区确认数据泄露

2025-09-16

每周安全速递³⁵⁷ | 研究人员披露DireWolf勒索组织

2025-09-08

每周安全速递³⁵⁶ | Anthropic阻止AI驱动勒索攻击

2025-09-01

每周安全速递³⁵⁵ | Crypto24勒索软件研发定制EDR规避工具

2025-08-25

每周安全速递³⁵⁴ | Charon勒索软件攻击中东公共与航空部门

2025-08-25

《数据安全能力成熟度模型》实践指南：数据安全策略规划

发布时间：2021-01-14 阅读次数： 353 次

2019年8月30日，《信息安全技术数据安全能力成熟度模型》（GB/T 37988-2019）简称DSMM（Data Security Maturity Model）正式成为国标对外发布，并已于2020年3月起正式实施。

DSMM将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。

在此基础上，DSMM将上述6个生命周期进一步细分，划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段，部分过程域贯穿于整个数据生命周期。

随着《中华人民共和国数据安全法(草案)》的公布，后续DSMM很可能会成为该法案的具体落地标准和衡量指标，对于中国企业而言，以DSMM为数据安全治理思路方案选型，可以更好的实现数据安全治理的制度合规。

"本系列文将以DSMM数据安全治理思路为依托，针对上述各过程域，基于充分定义级视角（3级），提供数据安全建设实践建议，本文作为本系列第二十篇文章，本文将介绍通用安全过程域的数据安全策略规划过程域（PA20）。"

01定义

数据安全策略规划，DSMM官方描述定义为建立适用于组织数据安全风险状况的组织整体的数据安全策略规划，数据安全策略规划的内容应覆盖数据全生存周期的安全风险。

DSMM标准在充分定义级对数据安全策略规划要求如下：

组织建设

组织应设立专职的岗位和人员，负责组织数据安全制度流程利战略规划的建设。

制度流程

1) 应明确符合组织数据战略规划的数据安全总体策略，明确安全方针、安全目标和安全原则；

2) 应基于组织的数据安全总体策略，在组织层面明确以数据为核心的数据安全制度利规程,覆盖数据生存周期相关的业务、系统和应用，内容包含目的、范围、岗位、责任、管理层承诺、内外部协调机制及合规目标等；

3) 应明确并实施大数据系统和数据应用安全实施细则；

4) 应明确数据安全制度规程分发机制，将数据安全策略、制度和规程分发至组织相关部门、岗位和人员；

5) 应明确数据安全制度及规程的评审、发布流程,并确定适当的频率和时机机对制度和规程进行审核和更新；

6) 应明确组织层面的数据安全战略规划，包括各阶段目标、任务、工作重点，并保障其与业务规划相适应。

技术工具

应建立数据安全策略规划的系统，通过该系统向组织全体员工发布策略规划的解读材料，以便于策略规划的落地推进。

实践指南

组织建设

针对数据安全策略规划，组织需有专人负责组织数据安全制度流程利战略规划的建设，实际工作中，由于数据安全策略往往与前述数据安全生命周期强耦合，因故绝大部分数据安全策略实际已包含于各数据安全生命周期制度流程中，因此该专人更多需要对整体流程进行管控，并确保制度上述各阶段制度流程符合组织整体预期目标，遵循组织数据战略规划的数据安全总体策略，明确安全方针、安全目标和安全原则。该人员可以是独立专职管理人员，也可以是上述其他环节流程的制度负责人通过相应制度声明承担该专职职责，一般而言，制度负责人对该环节能力把控更具优势。

人员能力

针对该实践的执业人员，主要需要3项核心能力：

1、理解组织业务，能够将组织商业目标、业务技术发展方向等整合形成自身深刻理解，并在此基础上深度定制与组织目标深度结合的数据安全总体策略以及对应的中长期战略战术，基于对组织目标的深刻了解以定制更为针对、具备落地性的数据安全策略规划。

2、具备安全管理背景和制度撰写能力，针对数据安全策略规划，除了能够将数据安全总体策略以及对应的中长期战略战术与组织目标有机结合，还需要基于管理视角确定其可行性和后向持续性，因故该人员需要具备安全管理背景，相关认证如ISACA的CRISC、CISA等对此类管理具备一定借鉴作用。同时针对制度的撰写输出，需求该人员具备一定的文档输出、制度撰写等能力，以便于最终政策可以无偏差、无歧义的方式形成制度文件。

3、了解各部门员工利益相关倾向以及较强沟通表达能力，能够根据制度宣贯受众差异，针对性沟通制度解读，能够根据各受众日常工作职责和利益相关倾向，以易于其理解且利于其实施的方式宣贯制度流程，能够以较强的沟通表达能力通过培训等形式完成制度策略的最终落地端宣贯。

落地执行性确认

针对数据安全策略规划岗位的人员能力的实际落地执行性确认，与上述各数据安全生命周期确认方式类似，可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。

制度流程

1）数据安全策略规划目的

基于组织业务发展需要，对当前组织面临的数据安全风险现状进行梳理并制定整体的规划，着眼于未来，是需要高管参与讨论和制定的。数据安全工作不是某个业务或部门的单方面的事，需要整个组织所有部门都参与进来，要平衡与业务发展的冲突，自上而下的推动，才可能保证落到实处并产生效果。

2）数据安全方针政策

数据安全方针政策，是对组织级数据安全管理的基本原则和办法，可以结合数据安全总纲从目标、原则、监管合规、数据生命周期、数据资产和分类分级定义以及相关违规处罚等方面进行描述。

3）数据安全管理目标

数据安全管理策略是顶层的，要从组织级层面通盘考虑，所以需要组织的高管参与共同制定；既不能对当前业务发展有严重影响，也要考虑到业务长远发展需要，所以需要高层讨论商定取得合理的平衡。

4）数据安全基本原则

职责明确原则

a) 根据数据规模、数据重要性、组织规模等因素，组织可成立安全管理团队，安全管理团队为组织数据及使用安全负责。

b) 组织应明确组织内部不同角色的数据安全管理职责。

c) 组织应明确大数据生命周期各活动的实施主体及安全责任。

意图合规原则

对数据的收集、使用需基于法律依据。组织应制定相关流程确保数据的收集和使用方式没有违反任何法律义务，包括法律法规、合同条款等。组织需要确保履行需要承担的内部和外部的责任，包括但不限于：

a) 确保所有数据集和数据流的安全；

b) 正确处理个人信息、重要信息；

c) 实施了合理的跨组织数据保留的策略和实践；

d) 理解数据相关的法律义务，并确保组织履行了这些义务

质量保障原则

组织应：

a) 实施适当的措施确保数据的准确性、相关性、完整性和时效性。

b) 建立控制机制定期检查收集和存储的数据的质量。

数据最小化原则

组织应采取适当的措施最小化大数据生命周期各活动涉及的数据。

责任不随数据转移原则

a) 当前控制数据的组织应对数据负责，当数据转移给其他组织时，责任不随数据转移而转移。

b) 组织在数据转移前，需对数据进行风险评估，确保数据转移后的风险可承受，方可转移数据。并对数据转移给其他组织所造成的数据安全事件承担安全责任。

c) 组织在数据转移前，需确保通过合同或其他诸如强制的内部策略等明确界定了接收方接收的数据范围和要求，确保其提供同等或更高的数据保护水平。

最小授权原则

a) 在保证组织业务功能完整实现的基础上应赋予数据活动中各角色最小的操作权限，确保非法用户或异常操作所造成的损失最小。

b) 所有角色只能使用所授权范围内的数据，非授权范围内的数据使用必须进行授权审批。

数据保护原则

a) 组织需对数据进行分类分级，对不同安全级别的数据实施恰当的安全保护措施。

b) 组织应确保处理大数据处理平台及应用的安全控制措施和策略有效，保护数据的完整性、保密性和可用性，确保数据在整个生命周期里，免遭诸如未授权访问、破坏、篡改、泄露或丢失等风险。

c) 组织应解决风险评估和安全检查中所发现的风险和脆弱性，并对数据安全防护措施不当所造成的安全事件承担责任。

可审计原则

对数据进行修改、查询、导出、删除等操作时，组织需要记录相应的操作，记录应可追溯可审查。

数据安全监管合规

数据源合规：

1、识别企业数据来源渠道，判断是否涉及主动收集或者用户主动提供、第三方采购、或者通过数据爬取等方式从公开渠道获取等数据来源渠道。

2、识别数据类型，判断是否包括个人信息、重要数据及其他受监管的特定行业数据。

3、根据不同数据源渠道与数据类型识别合规风险，调整相应业务模式及授权条款，以保障数据源合法性、降低合规风险。

数据使用合规：

1、应当对数据采取合理的分类分级管理，并匹配相应管理制度留存数据处理记录。

2、遵循合法、正当、必要的原则，使用个人信息的目的、方式和范围不得超出个人信息主体授权同意的范围。

3、存在数据融合的，融合后的使用目的不应超出原有授权范围，否则应重新获得用户或数据上游合作企业的授权同意，以避免被认定为超授权范围违法使用个人信息或引发潜在违约责任。

4、使用个人信息用于个性推送或精准营销的，应获得接收方的明示同意，避免采取 “一揽子授权”的概括授权获取方式。同时提供退订渠道。

5、对照《个人信息安全规范》等行业良好实践完善各产品线的个人信息使用规则，涉及使用、处理儿童个人信息的，还应当遵循《儿童个人信息网络保护规定》、《关于引导规范教育移动互联网应用有序健康发展的意见》等专门立法对应落实特定类别的数据合规策略。

数据共享合规：

1、对于共享个人信息的业务而言，未经个人信息主体同意，原则上不得向他人提供用户个人信息，经处理无法识别特定个人且不能复原的除外。

2、对照《个人信息安全规范》等行业良好实践，在共享个人信息前事先开展个人信息安全影响评估；向个人信息主体告知共享个人信息的目的、数据接收方的类型，并事先征得个人信息主体的授权同意；准确记录和保存个人信息的共享的情况；帮助个人信息主体了解数据接收方对个人信息的保存、使用等情况，以及个人信息主体的权利。

3、共享除个人信息外的其他类型数据时，应当相应识别该等共享行为所产生的风险，同时对于数据下游合作企业的数据安全能力采取一定的审核和管控措施。

4、对于数据融合的场景，应审核拟融合数据源的合法合规性，明确授权使用的范围，并评估融合的必要性及关联性。同时应当明确企业在数据融合过程中的控制者或处理者角色，通过明确具体合同条款、安全风险评估及定期审计等方式降低相应合规风险。

第三方委托处理合规：

1、委托第三方进行个人信息处理的，应遵守《网络安全法》第四十一条规定的基本原则，确保该等第三方委托处理行为未超过个人信息主体授权同意的范围。

2、对照《个人信息安全规范》开展个人信息安全影响评估，确保处理者具备足够的数据安全能力。

3、与处理者订立数据处理协议，以厘清双方在数据保护及合规处理方面的责任义务。

4、针对企业重点业务，应当对第三方采取一定的管控措施，落实合作前数据安全能力调研、安全风险评估，合作中定期核查，合作终妥善处理数据删除或匿名化等后续工作。

除上述要求外，还应持续关注我国数据安全保护领域的立法动向和标准制定情况，值得关注的包括《个人信息保护法》、《数据安全法》等法律法规的制定，以及《个人信息告知同意指南》等国家标准的制定。

业务涉及数据跨境传输或跨境处理的，还应关注适用境外法律的合规情形，如欧盟《一般数据保护条例》（“GDPR”）、英国《数据保护法案》、美国《在线儿童隐私保护法》（“COPPA”）、加州消费者隐私法案（”CCPA”）的合规要求。持续关注国内外立法与执法动向，并合理评估及管理日益加强的数据合规监管对业务的影响。

数据生命周期安全管理

数据安全策略规划中需包含对数据生命周期安全的全量管理说明，同时辅之以前述DSMM各阶段过程域的制度流程，从而实现策略规划声明要求、各阶段制度流程落地要求的目标。

技术工具简述

数据安全策略规划相关的技术工具具体限制较低，主要目标为实现向组织全体员工发布策略规划的解读材料，以便于策略规划的落地推进。基于该需求，目前常用宣传渠道包含OA系统、企业内部门户、企业邮箱、企业内部群组等。当然，组织也可以根据自身需求，在此基础上单独建设数据安全策略规划专有站点，但根据实践，专有站点受关注度、员工参与度远低于上述方式。

1）技术工具的方法和原理

OA系统

办公自动化（OA）是一个企业除了生产控制之外的一切信息处理与管理的集合。不同的使用对象具有不同的功能：对企业高层领导来说，办公自动化（OA）是决策支持系统（DSS）。它运用科学的数学模型，结合企业内部/外部的信息，为企业领导的决策提供参考和依据；对于企业中层管理者来说，办公自动化（OA）是信息管理系统（IMS），它利用业务各环节提供的基础“数据”，提炼出有用的管理“信息”，把握业务进程，降低经营风险，提高经营效率；对于企业普通员工来说，办公自动化（OA）是事务/业务处理系统。办公自动化（OA）为办公室人员提供良好的办公手段和环境，使之准确、高效，愉快地工作。

在传统的办公管理中，每一份文件都必须要进行严密的分析、解读，以纸质的形式不断的进行着修改，这样不仅降低了工作效率，也使员工的工作量增多，同时也很容易出现修改失误或文件信息丢失的问题，致使文件中的信息存在漏洞。而办公自动化系统，能够实现自动化的管理各类文件。利用计算机网络技术对文件进行分类和统一的传输，在保留好原文件的前提下，提出一些可行性的建议。同时企业必须要对办公自动化系统进行严格的管理，并要求工作者通过身份验证才能够登录系统，并查看所需要的文件资料，有效的保证了企业内部文件的严密性。

OA系统中的公用文档、公共信息和通知公告等功能模块是各部门共享信息资源的平台，员工可通过OA系统及时了解全院的最新信息，有利于部门之间的沟通与合作。OA系统上强大的条件检索功能为员工快速查找文件资料提供了极大的便利，解决了过去花费大量时间翻查纸质文件的问题，从而提高搜集文件资料的效率。

借助OA系统的通知公告功能，可以实现向组织全体员工发布策略规划的解读材料，并保证信息传递的覆盖率。

企业内部门户

业界认为企业门户就是一个联接企业内部和外部的网站，它可以为企业提供一个单一的访问企业各种信息资源的入口，企业的员工、客户、合作伙伴和供应商等等都可以通过这个门户获得个性化的信息和服务。企业门户可以无缝地集成企业的内容、商务和社区：首先，通过企业门户，企业能够动态地发布存储在企业内部和外部的各种信息；其次，企业门户可以完成网上的交易；此外，企业门户还可以支持网上的虚拟社区，网站的用户可以相互讨论和交换信息。

门户技术是整合了内容与应用程序、随意创作统一的协同工作场所的一门新兴技术。信息门户技术提供了个性化的信息集成平台和可扩展的框架，能够根据需要进行全方位的信息资源整合，使应用系统、数据内容、人员和业务流程实现互动。在办公自动化系统中，门户网站和门户系统是两种常见的表现形式，例如根据企业需求建立的企业门户系统，运用不同技术建立的基于门户技术的电子办公系统，及根据不同需要建立的门户网站等。