企业数据安全体系建设指南
1
《信息安全技术 数据安全能力成熟度模型》(简称DSMM)
2
数据安全体系建设的五个层面
合规和业务需求:数据安全最终是为组织的业务发展服务的,不能游离于业务之外或独立存在。在满足法律法规要求的前提下,数据安全能力建设须切合业务发展需要来开展。
组织建设:指数据安全组织的架构建立、职责分配和沟通协作。组织可分为决策层、管理层和执行层等三层结构。其中,决策层由参与业务发展决策的高管和数据安全官组成,制定数据安全的目标和愿景,在业务发展和数据安全之间做出良好的平衡;管理层是数据安全核心实体部门及业务部门管理层组成,负责制定数据安全策略和规划,及具体管理规范;执行层由数据安全相关运营、技术和各业务部门接口人组成,负责保证数据安全工作推进落地。
制度流程:指数据安全具体管理制度体系的建设和执行,包括数据安全方针和总纲、数据安全管理规范、数据安全操作指南和作业指导,以及相关模板和表单等。
技术工具:指与制度流程相配套并保证有效执行的技术和工具,可以是独立的系统平台、工具、功能或算法技术等。需要综合所有安全域进行整体规划和实现,且要和组织的业务系统和信息系统等进行衔 接。包括适用于所有安全域的通用技术工具,和部分阶段或安全域试用的技术工具。
人员能力:指为实现以上组织、制度和技术工具的建设和执行其人员应具备的能力。核心能力包括数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力。根据不同数据安全能力建设维度匹配不同人员能力要求。
3
组织架构设计
1) 制定组织的数据安全目标和愿景;
2) 对数据安全策略和规划,制度与规范等进行发布;
3) 为组织的数据安全建设的提供必要的资源;
4) 对公司的重大数据安全事件进行协调和决策。
1) 负责数据安全风险的评估和改进;
2) 负责数据安全运营工作,如:数据权限授权、数据共享、数据下载等审批;
3) 负责数据安全事件的跟进和处理;
4) 协助数据安全管理团队展开数据治理工作,如数据分类分级工作;
5) 负责数据安全专案项目管理和实施。
1) 履行组织对数据安全的要求,部署数据安全工具;
2) 通过培训、考试、案例学习等提升数据安全意识;
3) 提升数据安全风险识别的能力,能结合业务判断数据安全风险,并降低风险发生;
4) 对组织内风险及时申报,不断协助管理团队提升数据安全防护能力。
1) 对数据安全制度落地执行情况监督;
2) 对数据安全工具执行有效性监督;
3) 对数据安全风险开展监控与审计。
4
44数据安全管理能力
目前大部分组织尚未正式开展数据安全体系建设,也较少有数据安全的专职职能岗位,对人员能力的培养也在起步阶段。但是随着组织对数据安全的重视度逐步提高,体系建设的诉求也越来越强,所以如何建设完整的数据安全体系,做好数据安全管理是企业面临的第一大问题。
数据安全建设是一个长期持续的过程,需要在组织内持续性的落实数据安全的相关制度和流程,并基于组织的业务变化和技术发展不断的调整和优化,安全也是一个不断螺旋上升的过程,因此需要做好数据安全运营工作。
O1 具备数据安全策略、制度规程及技术工具在组织内部的推广落地能力;
O2 具备利用相关技术工具,对组织业务运营过程中的数据安全风险进行监测、识别、预警和处置的能力;
O3 具备对组织现有数据安全控制措施的有效性进行识别和判断的能力;
O4 具备对员工进行数据安全培训和安全意识教育的能力。
在数据安全领域,国内外越来越多的法律法规、标准逐步出台,如《网络安全法》、《个人信息保护法(草案)》、欧盟《一般数据保护条例(GDPR)》等,合规工作成了数据安全领域建设的底线。如何保障合规要求准确识别,并形成内部规章指导合规落地工作,主要具备的能力包括:
编号 | 名称 | 层级 | 相关文件 | 版本 | 最新修订日期 |
DS-01-001 | 数据安全总纲 | 1 | |||
DS-02-001 | 数据资产管理 | 2 | |||
DS-02-002 | 系统资产管理 | 2 | |||
DS-02-003 | 数据质量管理 | 2 | |||
DS-02-004 | 数据安全人才管理 | 2 | |||
DS-02-005 | …… | 2 | |||
DS-02-006 | …… | 2 | |||
DS-03-001 | 数据采集管理规范 | 3 | |||
DS-03-002 | 数据传输管理规范 | 3 | |||
DS-04-001 | 数据脱敏规范 | 3 | |||
DS-04-002 | 日志管理规范 | 3 | |||
…… | …… |
本文来源等级保护测评,作者Arthur 点击文末阅读原文,获取更多干货好文 如果读完本文有收获,欢迎转发分享,谢谢
<END>
1、企业数据中台介绍及建设方案(PPT)
2、数据治理实操指南3、企业大数据平台数据仓库架构建设思路
4、数据资产管理之多行业实施落地方法论
5、企业数据质量管理的核心要素和技术路线(PPT)6、企业级数据治理解决方案(PPT)7
9、
数据学堂