2019年8月30日，《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）简称DSMM（Data Security Maturity Model）正式成为国标对外发布，并已于2020年3月起正式实施。

DSMM将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。

在此基础上，DSMM将上述6个生命周期进一步细分，划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段，部分过程域贯穿于整个数据生命周期。

随着《中华人民共和国数据安全法(草案)》的公布，后续DSMM很可能会成为该法案的具体落地标准和衡量指标，对于中国企业而言，以DSMM为数据安全治理思路方案选型，可以更好的实现数据安全治理的制度合规。

本系列文将以DSMM数据安全治理思路为依托，针对上述各过程域，基于充分定义级视角（3级），提供数据安全建设实践建议，本文作为本系列第二十九篇文章，本文将介绍通用安全过程域的需求分析（PA29）。

01定义

需求分析，DSMM官方描述定义为通过建立针对组织业务的数据安全需求分析体系，分析组织内数据业务的安全需求。

DSMM标准在充分定义级对需求分析要求如下：

组织建设

组织应设立负责数据安全需求分析的岗位和人员，负责对数据业务设计开发等阶段开展数据安全需求分析工作，确保安全需求的有效制定和规范化表达。

制度流程

1) 应明确数据安全需求分析的制定流程利评审机制，明确安全需求文档内容要求；

2) 应依据国家法律、法规、标准等要求，分析数据安全合规性需求；

3) 应结合机构战略规划、数据服务业务目标和业务特点，明确数据服务安全需求和安全规划实施的优先级；

4) 应识别数据服务面临的威胁利自身脆弱性，分析数据安全风险和应对措施需求。

技术工具

应建立承载数据业务的安全需求分析系统，该系统记录所有的数据业务的需求分析的申请、需求分析以及相关安全方案，以保证对所有的数据业务的安全需求分析过程的有效追溯。

人员能力

负责该项工作的人员应具有需求分析挖掘能力,对组织的数据安全管理的业务有充分的理解，并通过培训实现各业务的需求分析人员对数据安全需求分析标准的一致性理解。

02实践指南

组织建设

组织机构应该在条件允许的情况下设立数据安全需求分析部门并招募相关的管理人员和技术人员，负责为公司提供必要的技术支持，负责对数据业务设计开发等阶段开展数据安全需求分析工作，负责为组织机构制定整体的有效的数据安全需求分析文档以及规范化表达，负责为组织机构建立数据安全需求分析制定流程和审评机制，负责对组织机构内部的数据安全需求分析的制定场景进行风险评估，负责为技术人员建立数据业务安全需求分析系统，确保任何针对需求分析文档的操作都会被记录都可以追踪溯源。除此之外，数据安全需求分析部门还需要为技术人员进行专门的安全意识培训，并推动以上相关要求在组织机构中确实可靠的落地执行。

人员能力

针对数据安全需求分析部门的管理人员来说，必须具备良好的数据安全风险意识，熟悉国家网络安全法律法规以及组织机构所属行业的政策和监管要求，在进行数据安全需求分析管理以及制定相应的数据安全需求分析流程和评审机制的时候，严格按照《网络安全法》、《数据安全法》、《个人信息保护法》等国家相关法律法规和行业规范执行，同时还需要相关的管理人员具备一定的数据安全需求分析管理经验，拥有良好的数据安全需求分析管理专业知识基础且通过了岗位能力测试，熟悉主流的数据安全需求分析管理制度、管理流程、管理要求和技术工具，能够根据不同的管理要求和数据安全需求分析场景进行相应的风险评估，能够根据数据安全需求分析管理和审核的整体需求明确应该使用的数据安全需求分析管理工具。除此之外，还需要管理人员能够主动根据行业及政策变化更新相关的知识和技能，具备能够结合业界标准、合规准则、业务场景制定数据安全需求分析管理制度的能力。

针对数据安全需求分析部门的技术人员来说，同样也必须具备良好的数据安全风险意识，熟悉相关的法律法规以及政策要求，熟悉主流厂商的数据安全需求分析挖掘案例，熟悉主流的数据安全需求分析工具及其使用方法，熟悉相关的数据安全需求分析的技术知识，拥有至少一年以上的数据安全需求分析挖掘经验，充分理解并执行由管理人员制定的数据安全需求分析管理制度，能够依据国家法律法规标准等分析数据安全合规性需求，能够结合组织机构的战略规划、数据服务业务目标和业务特点明确数据服务安全需求和安全规划实施的优先级，具备能够主动根据政策变化和技术发展更新自身相关知识和技能的能力，具备能够对突发的事件进行应急处理的能力。

落地执行性确认

针对数据安全需求分析管理岗位人员能力的实际落地执行性确认，可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。

制度流程

1）需求分析管理目的

通过建立针对组织业务的数据安全需求分析体系，分析组织内数据业务的安全需求，确保核心数据与资源的保密性、完整性和可用性。

2）需求分析管理规范

组织机构需根据《网络安全法》、《数据安全法》、《个人信息保护法》等国家相关法律法规和行业规范，建立数据安全需求分析制定流程和审评机制，并制定数据安全需求分析文档以及规范化表达，保证需求分析的各个阶段能够有序、可控的进行。除此之外，组织机构还需建立数据业务安全需求分析系统，对所有的数据业务的需求分析的申请、需求分析以及相关安全方案进行记录，以保证对所有的数据业务的安全需求分析过程的有效追溯。

安全需求分析的流程如下：

组织人员结合业务和数据的实际情况，明确数据业务的安全需求，并在数据业务安全需求分析系统上提出相应的需求分析申请。经上级领导审批后，提报数据安全需求分析部门审批。

数据安全需求分析部门收到需求分析申请后，组织相关人员开展数据安全需求分析评审会议。参与评审的人员需对组织机构内部的数据安全管理的业务有充分的理解，并依据国家法律、法规、标准等要求，分析数据安全合规性需求。评审的内容需包括识别需求申请中可能存在的数据安全风险、可能面临的威胁和自身脆弱性、是否贴合组织机构的内部框架，是否满足不同业务场景的安全需求，是否符合国家相关的法律法规要求等。除此之外，评审人员还需结合组织机构的战略规划、数据服务业务目标和业务特点，明确数据服务安全需求和安全规划实施的优先级。

对于不可行的数据安全需求申请，评审会议否决实施，并由数据安全需求分析部门在数据业务安全需求分析系统上进行否决需求操作；对于评审可行的数据安全需求申请，数据安全需求分析部门数据业务安全需求分析系统上录入实施期限并确认需求审核。

对于已经完成安全规划实施的数据安全需求，数据安全需求分析部门需对数据安全需求分析文档进行收集与归档。

在数据业务安全需求分析的各个阶段都需要加入安全审计机制，严格、详细地需求分析过程中的相关信息，方便后续问题排查分析和安全事件取证溯源。同时，数据安全需求分析部门需设置专人定期对需求分析相关的日志记录进行安全审计，发布审计报告，并跟进审计中发现的异常。

技术工具简述

在组织进行数据安全体系建设的过程中，组织中的每一个人都应该具有提出数据安全需求的权利，数据安全体系建设方应根据每个人提出的相关需求进行合理评估，以完善整体数据安全体系，因此需要公共的载数据业务的安全需求分析系统，该系统记录所有的数据业务的需求分析的申请、需求分析以及相关安全方案，以保证对所有的数据业务的安全需求分析过程的有效追溯。

技术工具的方法和原理

一个需求的落地解决分为需求获取、分析与建模、确认等步骤，涉及权衡分析、质量度量、风险评估、可行性评估、变更控制、缺陷分析及需求分析工具构建等内容。因此安全需求分析系统应具备获取用户需求申请、需求分析、安全方案同步等功能。在这基础之上进行用户认证、授权管理，不同权限用户可使用的功能模块不同。

为便于需求分析，保证需求申请时，不同需求提交人员的需求准确度，可在安全需求分析系统中制定明确的需求申请表，提交人员按需求申请表填写申请，下表是一个需求申请的模版：

在获得上述的标准需求表之后，产品经理需要对该需求进行评估，主要是2方面，1. 是否和产品目标一致 2. 成本、效益分析。在评估完需求之后，将确认需要开发的需求进行优先级评估排序，并更新到安全需求分析系统上。当确认需要对相关需求进行开发时，产品经理需要从功能、设计上细化需求，将上面表格中的需求分解成几个功能，形成需求分析。需求分析说明可以是文档，也可以是原型设计以及需求说明，在细化需求的过程中反复和需求提交者或项目团队沟通确认，牢记需求实现的目标。将需求细化之后，还需要对需求进行验证，通过需求评审的方式，由利益相关方验证需求是否准确、是否完整。根据评审意见修订需求分析说明、原型设计。在需求完全确认完毕之后，将相关记录提交到安全需求分析平台，并移交给开发团队，制定需求解决的时间点。整体实现需求分析的一个闭环，且所有需求分析的过程在安全需求分析平台上均有迹可循。

技术工具工作流程和目标

安全需求分析系统应能实现以下目标：

• 需求提交：支持业务系统相关人员在统一的安全需求分析系统上提交标准化要求的需求
• 需求分析：工作流将提交的需求转交给相关产品经理，产品经理对需求进行分析之后，将分析后的结果反馈在安全需求分析系统上。若需求成立，确定需求的解决方案以及实现的时间节点，在后续产品开发的过程中，实时更新相关需求的进度；若不成立，说明相关原因。