数据安全制度文件体系系列（一） | 数据安全文件体系概述

本系列主要阐述数据安全领域的制度文件体系，整合业界的经验编写而成，如有谬误，请及时联系我勘正！本系列文章共计会推出6篇，感谢您的关注！

数据安全文件体系，即一系列管理、标准与规范、流程、指南、模板等文件的文档化记录。

在各种能力成熟度模型里面，通常分为五级：

• 第一级为临时的或不可重复的实践做法；

• 第二级为可重复的实践做法；

• 第三级为充分定义的政策、流程、控制措施，并文档化发布；

• 第四级为可量化（度量）；

• 第五级为基于度量、定期审计的反馈与持续改进。

  
  

在设计数据安全文件体系的时候，可按照四层文件体系来进行设计：

• 第一层：政策总纲/实践框架，属于该领域内的顶层文件，包括该领域工作的目标、范围、基本原则（或政策方针）、组织与职责等，授权各级组织按照设定的角色和职责，动用组织资源来为目标服务。顶层文件不引用下层文件。
• 第二层：管理规定和技术标准/规范。
• 第三层：操作指南/指引/流程。
• 第四层：交付件模板、Checklist（即若干检查项的清单或列表，可用来逐项检查是否符合，并打勾√）。

第二层到第四层属于合规管理的范围，其主要职责是：

• 构建一套符合法律法规、监管要求、合同义务、行业最佳实践以及业务发展需要的政策文件体系。

• 作为风险管理的输入和依据（风险管理即风险评估/识别、风险改进、风险度量、风险总结与残余风险的管理等）。

• 与时俱进，基于外部环境如法律法规的变化、外部审计、认证/测评、业务变化、各种反馈，优化调整政策文件体系。

• 第一层为数据安全政策总纲，属于顶层文件，一旦发布，一般不会再轻易修改，因为它规定了整个数据安全体系的目标、范围、各项基本原则（数据分级分类、授权）等，是各团队赖以共同协作的纲领性文件。

• 第二层为管理规定、技术标准/规范。

• 第三层为操作类的流程/指南、技术类指引等文件。

• 第四层为执行记录。

来源于《数据安全能力建设实施指南 V1》

如果标准里面每种场景都只有一种选择，要求所有的业务都必须满足，那就是“基线标准”（Baseline Standard）。

在安全领域，基线标准也可称之为“安全红线”，表示标准里面的要求没有商量的余地，实践中不得低于基线标准。例如要求对称加密的密钥长度必须大于等于128位。

如果标准里面，除了最低要求，还有其他选择，那么其中的最低要求可视为“基线标准”，可以理解为“60分标准”，即及格线；介于最低要求和最高要求之间的标准，可以理解为“80分标准”；而要求最为严格的部分可以视为“95分标准”，即最佳安全实践。

在管理或风险治理领域，最为典型的分级标准，就是能力成熟度标准。

能力成熟度标准通常可分为五级，其中三级要求充分定义活动过程以及文档化，可视为及格线；四级要求可度量，即量化（用具体的数据来描述风险程度），可视为80分标准；五级要求基于度量的量化反馈和持续改进。

内部的数据安全能力成熟度通过选定一批指标，为每一个指标设定达到该级别应该具备的能力，让各业务对照自检，评价现状和差距：

标准中并不直接规定最终的落地要求，不直接作用于业务，承接这一重要职能的文件就是规范了。

规范，就是适配业务场景的技术要求；在技术要求中，可以决定选用什么标准来适配业务场景。

比如规范中可以要求采用AES 256加密标准来对敏感个人数据加密。

• 标准===>备件库；

• 规范===>组装作业规程，使用工具、备件以及组装过程。

在技术规范无法覆盖的业务场景，通常使用管理规定（或管理要求），作为非技术性的控制手段，降低风险。

在安全领域，条件成熟的企业可以发布一个管理规定，要求敏感业务必须至少达到数据安全能力成熟度三级要求（当然，前提是企业已经发布了数据安全能力成熟度标准）。

为了对内部安全进行规范化治理，需要把各种各样的外部要求转化为内部文件。

在转入隐私保护领域“立法”的时候，就不太好使，隐私保护领域严重依赖外部的法律法规，而且如果涉及国际业务，法律法规的种类、地域适配、条款要求非常多（数百部法律文件），上述模式极易遗漏重要的法律条款，从而给业务带来法律风险，需要寻求另外的方法来支持。

想了解更多数据安全的管理制度、标准规范、产品服务、认证评估等，可扫码加入「 数据安全备忘录」知识星球，更多精彩内容持续更新中！

想了解更多数据要素的政策制度、标准规范、最佳实践、行业报告等，可扫码加入「 数据要素备忘录」知识星球，更多精彩内容持续更新中！

关注【数据安全备忘录】公众号，获取更多行业资讯！