数据安全已上升为国家安全战略，数据安全治理和实践已成为政企单位的重中之重。

本文结合DSMM和数据安全风险评估的实践和重点，学习数据安全生命周期整理分享如下：

DSMM

以DSMM充分定义级3级为例，分为四个过程域：数据分类分级、数据采集安全管理、数据源鉴别及记录、数据质量管理，分别对组织建设、制度流程、技术工具和人员能力的进行学习整理。

PA01  数据分类分级学习

1.组织建设和制度流程

主要是根据实际情况建立合理的数据安全管理体系和分类分级相关管理制度。

案例如下：《XXXX单位数据分类分级管理制度》

重点包含：数据范围、分类分级的角色和职责、分类分级的原则、方法、重点的分类分级清单、生命周期保护机制等。

2. 分类分级

这里重点对分类分级进行相关学习如下，这本身可以当做一个数据安全服务拿出来做。

分类分级原则：科学合规原则、就高从低原则、点面结合原则、动态更新原则等。

流程：项目启动、数据资产梳理、分类分级制度建立、数据分类、数据分级、审核标识、项目结束

资产梳理流程一般为数据静态梳理（了解数据有哪些）、数据分布梳理（定位数据在哪里）、数据权限梳理（识别数据谁在用）、数据分类分级（评估敏感程度和重要程度），整体上旨在梳理资产的分布图、资产的传播流转图，构建数据资产的安全模型。

建立制度阶段主要是简历分类分级的标准指南，数据分类主要是根据数据的属性和特征，按照一定的原则和方法进行区分和分类，旨在建立数据分类体系和排序体系，数据分类具有多种视角，分类方法一般有线分类方法、面分类方法和线面混合分类法。例图如下：

现实中更多的可能是线分类法，一般根据业务数据类别从总到分进行线分类。这边给出部分领域的分类参考示例图，其余政务、金融、能源、电信、互联网等领域可参考各自行业规范和标准。

数据分级则是按照数据遭到破坏(包括攻击、泄露、篡改、非法使 用等)后对国家安全、社会秩序、公共利益以及个人、 法人和其他组织的合法权益(受侵害客体)的危害程度对数据进行定级。

部分行业级别分为1级、2级、3级等，政企行业一般分为核心、重要和一般。参考如下

这里注意数据分级要遵循一个动态调整原则，数据的类别级别可能因时间变化、政策变化、安全事件发 生、不同业务场景的敏感性变化或相关行业规则不同而发生改变，因此需要对数据分类分级进行定期审核并及时调整。导致数据级别发生变化的主要技术手段有数据脱敏、删除关键字段、汇聚融合或时效变化等。

升降实例表参考如下：

目前来说 依靠人工进行分类分级，工作量相对较大，一般会借助平台或者自行开发分类分级等技术工具，本人所在集团所使用的的分类分级设备展示包括数据资产管理、分类分级、合规检查等功能模块，内置数十种行业分类分级规范，通过正则匹配关键数据库表字段进行自动化分类分级，满足对技术工具要求项。效果图展示如下：

PA02数据采集安全管理

1. 组织建设和制度流程

按照要求建议数据采集安全合规管理规范、风险评估流程和数据保护规范等即可。

案例如下：《XXXX单位数据安全采集管理制度》

主要包含：数据采集的规则、用途、方式、频率和范围等，数据采集岗位的岗位和职责，风险评估的方法、周期、对象，数据采集过程的保护等关键内容。

2. 采集的技术和工具

数据库系统主要分为两大类：一类是关系型数据库（SQL），Oracle，SQL Server，MySQL，另一类是非关系型数据库(NOSQL)，如MongoDB和Redis。这里整理不同领域数据库的区别。

• 面向操作的关系型数据库

典型性应用领域:ERP,CRM,信用卡交易,中小型电商

数据储存方法:表格

流行厂商:Oracle Database,Microsoft SQLServer,IBM DB2,EnterpriseDB(PostgreSQL),MySQL

优点：完善的生态环境保护，事务保证/数据一致性

缺点：严苛的数据模型界定，数据库拓展限制，和非结构型的结合应用较难。

• 面向数据分析的关系型数据库

典型性应用领域:数据仓库，商务智能，数据科学研究

数据储存方法:表格

流行厂商:Oracle Exadata,Oracle Hyperion,Teradata,IBM Netezza,Google BigQuery

优点:信息内容和计算的一致性

缺点:必须由数据库技术专业的IT工作人员维护保养，数据相应通常是分钟级

• 面向操作的非关系型数据库

典型性应用领域:Web,mobile,and IoT applicat