《信息安全技术 数据安全能力成熟度模型》(GB/T -2019)简称DSMM正式成为国标对外发布，并已正式实施。美创科技将以DSMM数据安全治理思路为依托，针对各过程域，基于充分定义级视角(3级)，提供数据安全建设实践建议，形成系列文章。本文作为数据安全能力成熟度模型系列第十一篇文章，将介绍数据处理安全阶段的数据分析安全过程域(PA11)。

01定义

数据分析安全，DSMM官方描述定义为通过在数据分析过程采取适当的安全控制措施，防止数据挖掘、分析过程中有价值信息和个人隐私泄漏的安全风险。

DSMM标准在充分定义级对数据分析安全要求如下:

1、组织建设

美创科技专家建议组织应设立负责数据分析安全的岗位和人员，负责整体的数据分析安全原则制定、提供相应技术支持。

2、制度流程

① 应明确数据处理与分析过程的安全规范，覆盖构建数据仓库、建模、分析、挖掘、展现等方面的安全要求，明确个人信息保护、数据获取方式、访问接口、授权机制、分析逻辑安全、分析结果安全等内容;

② 应明确数据分析安全审核流程，对数据分析的数据源、数据分析需求、分析逻辑进行审核，以确保数据分析目的、分析操作等当面的正当性;

③ 应采取必要的监控审计措施，确保实际进行的分析操作与分析结果使用与其声明的一致，整体保证数据分析的预期不会超过相关分析团队对数据的权限范围;

④ 应明确数据分析结果输出和使用的安全审核、合规评估和授权流程,防止数据分析结果输出造成安全风险;

3、技术工具

① 在针对个人信息的数据分析中，组织应采用多种技术手段以降低数据分析过程中的隐私泄漏风险，如差分隐私保护、K匿名;

② 应记录并保存数据处理与分析过程中对个人信息、重要数据等敏感数据的操作行为;

③ 应提供组织统一的数据处理与分析系统，并能够呈现数据处理前后数据间的映射关系。

4、人员能力

应能够基于合规性要求、相关标准对数据安全分析中所可能引发的数据聚合的安全风险进行有效的评估，并能够针对分析场景提出有效的解决方案。

02实践指南

1、组织建设

美创科技专家建议组织机构在条件允许的情况下应该设立数据分析部门并招募相关的技术人员与管理人员，负责为公司提供必要的数据分析技术支持，负责为公司制定整体的数据分析安全方案和相关制度，并推动相关要求确实可靠的落地执行。除此之外，还需要为公司定义数据的获取方式、授权机制、数据使用等内容，明确应该使用那些数据分析工具以及相应工具的规范使用方法，还应该建立针对数据分析结果的审核机制，以及针对数据分析过程中的审计机制，确保数据分析的结果可用性和数据分析事件的可追溯性。

2、人员能力

针对数据分析部门的管理人员来说，必须具备良好的数据安全风险意识，熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求，在进行数据分析管理以及数据分析安全制度制定的时候，严格按照《网络安全法》、《数据安全法》等国家相关法律法规和行业规范执行，同时还需要相关的管理人员具备一定数据分析安全管理经验，拥有良好的数据分析专业知识基础，熟悉常见的数据分析流程、主流的数据分析工具，能够结合业界标准、合规要求，对在大数据分析中可能引发的数据聚合的安全风险进行有效地评估和预防，并制定相应的数据分析安全解决方案。

针对数据分析部门的技术人员来说，必须具备良好的数据分析安全风险意识，熟悉相关的法律法规以及政策要求，熟悉主流厂商的典型数据分析案例，熟悉主流数据分析工具的使用方法，熟练掌握至少一门编程语言，拥有至少一年以上的数据分析实施经验，熟悉公司内部应有场景，外部业务需求，能够快速有效的执行由数据分析安全部门输出的定制化数据分析方案，并保障数据质量。同时还应该具备一定的日志分析能力，应急响应能力，当在数据分析过程中发生了什么突发事件或意外情况，能够及时根据日志记录对分析结果进行溯源，保障分析结果的完整性和可用性。