查看原文
其他

数据安全制度文件体系系列(一) | 数据安全文件体系概述

绛烨 AIGC新知
2024-09-16


点击蓝字,关注我们

本系列主要阐述数据安全领域的制度文件体系,整合业界的经验编写而成,如有谬误,请及时联系我勘正!本系列文章共计会推出6篇,感谢您的关注!

数据安全文件体系,即一系列管理、标准与规范、流程、指南、模板等文件的文档化记录。

在各种能力成熟度模型里面,通常分为五级:

  • 第一级为临时的或不可重复的实践做法;

  • 第二级为可重复的实践做法;

  • 第三级为充分定义的政策、流程、控制措施,并文档化发布;

  • 第四级为可量化(度量);

  • 第五级为基于度量、定期审计的反馈与持续改进。


01


四层文件体系架构简介

在设计数据安全文件体系的时候,可按照四层文件体系来进行设计:

数据治理的三个元素:政策总纲/实践框架、战略和组织。
四层文件体系为:
  • 第一层:政策总纲/实践框架,属于该领域内的顶层文件,包括该领域工作的目标、范围、基本原则(或政策方针)、组织与职责等,授权各级组织按照设定的角色和职责,动用组织资源来为目标服务。顶层文件不引用下层文件。
  • 第二层:管理规定和技术标准/规范。
  • 第三层:操作指南/指引/流程。
  • 第四层:交付件模板、Checklist(即若干检查项的清单或列表,可用来逐项检查是否符合,并打勾√)。

第二层到第四层属于合规管理的范围,其主要职责是:

  • 构建一套符合法律法规、监管要求、合同义务、行业最佳实践以及业务发展需要的政策文件体系。

  • 作为风险管理的输入和依据(风险管理即风险评估/识别、风险改进、风险度量、风险总结与残余风险的管理等)。

  • 与时俱进,基于外部环境如法律法规的变化、外部审计、认证/测评、业务变化、各种反馈,优化调整政策文件体系。

02


数据安全四层文件体系
数据安全四层文件体系设计如图:

  • 第一层为数据安全政策总纲,属于顶层文件,一旦发布,一般不会再轻易修改,因为它规定了整个数据安全体系的目标、范围、各项基本原则(数据分级分类、授权)等,是各团队赖以共同协作的纲领性文件。

主要内容包括但不限于: 
1) 数据安全管理的目标、愿景、方针等; 
2) 数据及数据资产定义:定义组织内数据包含内容和类别,信息系统载体等; 
3) 数据安全管理基本原则:如数据分类分级原则、数据安全和业务发展匹配原则、数据安全管理方针和政策等;
4) 数据生命周期阶段划分和整体策略,如:数据产生、数据存储、数据传输、数据交换、数据使用、数据销毁等。 
5) 数据安全违规处理:比如违规事件及其等级定义,相应处罚规定等;
  • 第二层为管理规定、技术标准/规范。

数据安全管理制度和办法,是指数据安全通用和各生命周期阶段中某个安全域或多个安全域的规章制度要求。比如:
1)通用安全域:数据资产管理、数据质量管理、数据安全合规管理、系统资产管理等等。 
2)数据生命周期各阶段:数据采集安全管理、数据存安全管理、数据传输安全管理、数据交换安全管理、 数据使用安全管理、数据销毁安全管理,以及某个安全域的安全管理要求等等。
  • 第三层为操作类的流程/指南、技术类指引等文件。

数据安全生命周期及具体某个安全域的操作流程、规范,及相应的作业指导书或指南,配套文件等。
  • 第四层为执行记录。

数据安全模板文件是与管理流程、规范和指南相配套的固定格式文档,以确保执行一致性,以及数据或信息的汇总统计等。权限申请和审批表模板,日志存储格式模板等等。有条件的情况下,一般都通过技术工具实现。
执行数据安全管理制度产生的相应计划、表格、报告、各种运行/检查记录、日志文件等,大部分可通过技术工具收集到,形成相应的量化分析结果。
表 数据安全制度体系列表

来源于《数据安全能力建设实施指南 V1》

03


标准、规范与管理规定
标准

如果标准里面每种场景都只有一种选择,要求所有的业务都必须满足,那就是“基线标准”(Baseline Standard)。

在安全领域,基线标准也可称之为“安全红线”,表示标准里面的要求没有商量的余地,实践中不得低于基线标准。例如要求对称加密的密钥长度必须大于等于128位。

如果标准里面,除了最低要求,还有其他选择,那么其中的最低要求可视为“基线标准”,可以理解为“60分标准”,即及格线;介于最低要求和最高要求之间的标准,可以理解为“80分标准”;而要求最为严格的部分可以视为“95分标准”,即最佳安全实践。


在管理或风险治理领域,最为典型的分级标准,就是能力成熟度标准。

能力成熟度标准通常可分为五级,其中三级要求充分定义活动过程以及文档化,可视为及格线;四级要求可度量,即量化(用具体的数据来描述风险程度),可视为80分标准;五级要求基于度量的量化反馈和持续改进。

内部的数据安全能力成熟度通过选定一批指标,为每一个指标设定达到该级别应该具备的能力,让各业务对照自检,评价现状和差距:

标准中并不直接规定最终的落地要求,不直接作用于业务,承接这一重要职能的文件就是规范了。

规范

规范,就是适配业务场景的技术要求;在技术要求中,可以决定选用什么标准来适配业务场景。

比如规范中可以要求采用AES 256加密标准来对敏感个人数据加密。

  • 标准===>备件库;

  • 规范===>组装作业规程,使用工具、备件以及组装过程。

管理规定

在技术规范无法覆盖的业务场景,通常使用管理规定(或管理要求),作为非技术性的控制手段,降低风险。

在安全领域,条件成熟的企业可以发布一个管理规定,要求敏感业务必须至少达到数据安全能力成熟度三级要求(当然,前提是企业已经发布了数据安全能力成熟度标准)。

04


外部法规转为内部文件

为了对内部安全进行规范化治理,需要把各种各样的外部要求转化为内部文件。

在转入隐私保护领域“立法”的时候,就不太好使,隐私保护领域严重依赖外部的法律法规,而且如果涉及国际业务,法律法规的种类、地域适配、条款要求非常多(数百部法律文件),上述模式极易遗漏重要的法律条款,从而给业务带来法律风险,需要寻求另外的方法来支持。

部分来源:《数据安全架构与设计》


往期回顾

JOIN US  ▶▶▶





向下滑动查看所有内容


【数据安全备忘录】精彩时刻 

想了解更多数据安全的管理制度、标准规范、产品服务、认证评估等,可扫码加入「 数据安全备忘录」知识星球,更多精彩内容持续更新中!

【数据要素备忘录】精彩时刻    

想了解更多数据要素的政策制度、标准规范、最佳实践、行业报告等,可扫码加入「 数据要素备忘录」知识星球,更多精彩内容持续更新中!

关注【数据安全备忘录】公众号,获取更多行业资讯!

公众号|数据安全备忘录


素材来源官方媒体/网络新闻
继续滑动看下一个
AIGC新知
向上滑动看下一个

您可能也对以下帖子感兴趣

文章有问题?点此查看未经处理的缓存