数据安全制度文件体系系列(一) | 数据安全文件体系概述
点击蓝字,关注我们
本系列主要阐述数据安全领域的制度文件体系,整合业界的经验编写而成,如有谬误,请及时联系我勘正!本系列文章共计会推出6篇,感谢您的关注!
数据安全文件体系,即一系列管理、标准与规范、流程、指南、模板等文件的文档化记录。
在各种能力成熟度模型里面,通常分为五级:
第一级为临时的或不可重复的实践做法;
第二级为可重复的实践做法;
第三级为充分定义的政策、流程、控制措施,并文档化发布;
第四级为可量化(度量);
第五级为基于度量、定期审计的反馈与持续改进。
01
在设计数据安全文件体系的时候,可按照四层文件体系来进行设计:
第一层:政策总纲/实践框架,属于该领域内的顶层文件,包括该领域工作的目标、范围、基本原则(或政策方针)、组织与职责等,授权各级组织按照设定的角色和职责,动用组织资源来为目标服务。顶层文件不引用下层文件。 第二层:管理规定和技术标准/规范。 第三层:操作指南/指引/流程。 第四层:交付件模板、Checklist(即若干检查项的清单或列表,可用来逐项检查是否符合,并打勾√)。
第二层到第四层属于合规管理的范围,其主要职责是:
构建一套符合法律法规、监管要求、合同义务、行业最佳实践以及业务发展需要的政策文件体系。
作为风险管理的输入和依据(风险管理即风险评估/识别、风险改进、风险度量、风险总结与残余风险的管理等)。
与时俱进,基于外部环境如法律法规的变化、外部审计、认证/测评、业务变化、各种反馈,优化调整政策文件体系。
02
第一层为数据安全政策总纲,属于顶层文件,一旦发布,一般不会再轻易修改,因为它规定了整个数据安全体系的目标、范围、各项基本原则(数据分级分类、授权)等,是各团队赖以共同协作的纲领性文件。
第二层为管理规定、技术标准/规范。
第三层为操作类的流程/指南、技术类指引等文件。
第四层为执行记录。
来源于《数据安全能力建设实施指南 V1》
03
如果标准里面每种场景都只有一种选择,要求所有的业务都必须满足,那就是“基线标准”(Baseline Standard)。
在安全领域,基线标准也可称之为“安全红线”,表示标准里面的要求没有商量的余地,实践中不得低于基线标准。例如要求对称加密的密钥长度必须大于等于128位。
如果标准里面,除了最低要求,还有其他选择,那么其中的最低要求可视为“基线标准”,可以理解为“60分标准”,即及格线;介于最低要求和最高要求之间的标准,可以理解为“80分标准”;而要求最为严格的部分可以视为“95分标准”,即最佳安全实践。
在管理或风险治理领域,最为典型的分级标准,就是能力成熟度标准。
能力成熟度标准通常可分为五级,其中三级要求充分定义活动过程以及文档化,可视为及格线;四级要求可度量,即量化(用具体的数据来描述风险程度),可视为80分标准;五级要求基于度量的量化反馈和持续改进。
内部的数据安全能力成熟度通过选定一批指标,为每一个指标设定达到该级别应该具备的能力,让各业务对照自检,评价现状和差距:
标准中并不直接规定最终的落地要求,不直接作用于业务,承接这一重要职能的文件就是规范了。
规范,就是适配业务场景的技术要求;在技术要求中,可以决定选用什么标准来适配业务场景。
比如规范中可以要求采用AES 256加密标准来对敏感个人数据加密。
标准===>备件库;
规范===>组装作业规程,使用工具、备件以及组装过程。
在技术规范无法覆盖的业务场景,通常使用管理规定(或管理要求),作为非技术性的控制手段,降低风险。
在安全领域,条件成熟的企业可以发布一个管理规定,要求敏感业务必须至少达到数据安全能力成熟度三级要求(当然,前提是企业已经发布了数据安全能力成熟度标准)。
04
为了对内部安全进行规范化治理,需要把各种各样的外部要求转化为内部文件。
在转入隐私保护领域“立法”的时候,就不太好使,隐私保护领域严重依赖外部的法律法规,而且如果涉及国际业务,法律法规的种类、地域适配、条款要求非常多(数百部法律文件),上述模式极易遗漏重要的法律条款,从而给业务带来法律风险,需要寻求另外的方法来支持。
往期回顾
JOIN US ▶▶▶
向下滑动查看所有内容
想了解更多数据安全的管理制度、标准规范、产品服务、认证评估等,可扫码加入「 数据安全备忘录」知识星球,更多精彩内容持续更新中!
想了解更多数据要素的政策制度、标准规范、最佳实践、行业报告等,可扫码加入「 数据要素备忘录」知识星球,更多精彩内容持续更新中!
关注【数据安全备忘录】公众号,获取更多行业资讯!
公众号|数据安全备忘录