作者丨Arthur
出品丨北京一等一技术咨询有限公司
随着信息安全的逐步发展,建设体系的逐渐完善,随之信息化速度飞速的发展,安全的广度和深度实现纵向横向双向并行发展,近期国家也发布了数据安全的相关制度草案,今天小编整理了部分和数据安全体系建设相关的数据安全能力成熟度模型、体系建设抓手、人员架构建设以及人员能力等几个方面内容和大家分享交流。
1《信息安全技术 数据安全能力成熟度模型》(简称DSMM)
以数据为核心,重点围绕数据生命周期,从组织建设、制度流程、技术工具和人员能力等四个方面,供数据安全能力建设的具体实施指南,为组织数据安全能力建设供参考,以数据安全能力成熟度三级为目标,即如何达到DSMM规定的充分定义级(三级)
基于《信息安全技术 数据安全能力成熟度模型》标准能力成熟度等级3级要求,数据安全能力建设 可参考以下实施框架:
2 数据安全体系建设的五个层面
合规和业务需求:数据安全最终是为组织的业务发展服务的,不能游离于业务之外或独立存在。在满足法律法规要求的前提下,数据安全能力建设须切合业务发展需要来开展。
组织建设:指数据安全组织的架构建立、职责分配和沟通协作。组织可分为决策层、管理层和执行层等三层结构。其中,决策层由参与业务发展决策的高管和数据安全官组成,制定数据安全的目标和愿景,在业务发展和数据安全之间做出良好的平衡;管理层是数据安全核心实体部门及业务部门管理层组成,负责制定数据安全策略和规划,及具体管理规范;执行层由数据安全相关运营、技术和各业务部门接口人组成,负责保证数据安全工作推进落地。
制度流程:指数据安全具体管理制度体系的建设和执行,包括数据安全方针和总纲、数据安全管理规范、数据安全操作指南和作业指导,以及相关模板和表单等。
技术工具:指与制度流程相配套并保证有效执行的技术和工具,可以是独立的系统平台、工具、功能或算法技术等。需要综合所有安全域进行整体规划和实现,且要和组织的业务系统和信息系统等进行衔 接。包括适用于所有安全域的通用技术工具,和部分阶段或安全域试用的技术工具。
人员能力:指为实现以上组织、制度和技术工具的建设和执行其人员应具备的能力。核心能力包括数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力。根据不同数据安全能力建设维度匹配不同人员能力要求。
3 组织架构设计
设计数据安全的组织架构时,可按照决策层、管理层、执行层、员工和合作伙伴、监督层的组织架构设计。在具体执行过程中,组织也可赋予已有安全团队与其它相关部门数据安全的工作职能,或寻求第三方专业团队等形式开展工作,组织架构图如下:
决策层
1) 制定组织的数据安全目标和愿景;
2) 对数据安全策略和规划,制度与规范等进行发布;
3) 为组织的数据安全建设的提供必要的资源;
4) 对公司的重大数据安全事件进行协调和决策;
管理层
1) 结合合规监管要求和业务发展需求,制订数据安全整体解决方案并组织实施;
2) 制定数据安全管理策略和规划,统一数据安全管理规范体系等;
3) 建立监控审计机制:数据安全工作和监督审计机制,推动并协助执行组织的建立,监督工作有效开展;
4) 对组织内人员能力开展数据安全技术培训和意识宣导,逐步提升数据安全工作人员的能力水平和组织内人员安全意识;
5) 制定数据安全决策层、管理层、执行层、监督层等的运作机制,保障数据安全工作在内部保持信息通畅、运作顺利;
6) 保持外部组织的沟通,包括国家及行业监管、第三方咨询服务商(安全咨询、安全厂商)以认证、测评机构(认证及认可、安全测评机构)等
执行层
1) 负责数据安全风险的评估和改进;
2) 负责数据安全运营工作,如:数据权限授权、数据共享、数据下载等审批;
3) 负责数据安全事件的跟进和处理;
4) 协助数据安全管理团队展开数据治理工作,如数据分类分级工作;
5) 负责数据安全专案项目管理和实施。
员工和合作伙伴
1) 履行组织对数据安全的要求,部署数据安全工具;
2) 通过培训、考试、案例学习等提升数据安全意识;
3) 提升数据安全风险识别的能力,能结合业务判断数据安全风险,并降低风险发生;
4) 对组织内风险及时申报,不断协助管理团队提升数据安全防护能力。
监督层
1) 对数据安全制度落地执行情况监督;
2) 对数据安全工具执行有效性监督;
3) 对数据安全风险开展监控与审计;
4 数据安全管理能力
目前大部分组织尚未正式开展数据安全体系建设,也较少有数据安全的专职职能岗位,对人员能力的培养也在起步阶段。但是随着组织对数据安全的重视度逐步ᨀ高,体系建设的诉求也越来越强,所以如何建设完整的数据安全体系,做好数据安全管理是企业面临的第一大问题。
数据安全管理包含以下能力:
M1 熟悉国家网络安全法律法规及组织所属行业的政策和监管要求,了解行业内数据安全建设的最佳实践路线;
M2 具备良好的业务发展战略判断能力,能够通过平衡业务需求和法律风险进行战略思考并提供实用建议;
M3 熟悉组织的业务特性,能根据业务的发展变化,制定或调整组织的数据安全策略;
M4 能够基于组织的数据安全策略,编制相关的制度体系文件,对业务过程进行规范指导;
M5 在隐私保护、数据安全、风险管理、审计合规等相关领域至少3年以上的管理经验;
M6 具备组织内跨部门的管理协调能力,能够调动其他部门资源配合落地相关的数据安全控制机制。
M7 具备数据安全管理团队的组建及人才梯队建设的能力;
M8 具备数据安全应急指挥能力,对业务过程中发生的数据安全问题,能够准确判断快速组织相关人员进行应急处置;
M9 了解组织业务及数据特性,在各业务部门有针对性的落实数据安全策略和控制措施;
M10 具备与国家单位、行业监管机构及合作伙伴之间的沟通协调能力,能利用外部资源协助组织数据安全体系的建设;
M11 具备良好的数据安全风险意识。
数据安全运营能力
数据安全建设是一个长期持续的过程,需要在组织内持续性的落实数据安全的相关制度和流程,并基于组织的业务变化和技术发展不断的调整和优化,安全也是一个不断螺旋上升的过程,因此需要做好数据安全运营工作。数据安全运营包含以下能力:
O1 具备数据安全策略、制度规程及技术工具在组织内部的推广落地能力;
O2 具备利用相关技术工具,对组织业务运营过程中的数据安全风险进行监测、识别、预警和处置的能力;
O3 具备对组织现有数据安全控制措施的有效性进行识别和判断的能力;
O4 具备对员工进行数据安全培训和安全意识教育的能力。
数据安全技术能力
T1 熟悉国内外主流的数据安全产品和工具,如数据防泄漏(DLP)、脱敏工具、数据溯源、加密平台等,能准确判断当前组织所需的最佳实践,并深入和落地应用;
T2 在数据安全全生命周期中,能评估潜在数据安全风险,如数据业务风险、数据风控风险、隐私保护风险等,并能制定有效、合理降低数据风险的解决方案或者措施;
T3 在数据安全架构设计时,能够贴合业务和合规场景,覆盖数据在全生命周期中的保护;
T4 能对敏感数据流动做好审计工作,具备风险排查能力,快速处置数据的篡改和泄露等风险;
T5 能对当前数据安全体系进行技术验证,如白盒、灰盒和黑盒等安全测试和对抗,从而让数据安全防御形成一个持续迭代更新的良性循环系统;
T6 需要自研或平台型的组织,应熟悉数据安全技术发展,了解国内外前沿的数据安全和隐私保护技术,如加密技术、差分隐私和 UEBA 等,能在恰当时期引入组织需要的技术,从而降低数据安全 和隐私保护的风险
数据安全合规能力
在数据安全领域,国内外越来越多的法律法规、标准逐步出台,如《网络安全法》、《个人信息保护法(草案)》、欧盟《一般数据保护条例(GDPR)》等,合规工作成了数据安全领域建设的底线。如何保障合规要求准确识别,并形成内部规章指导合规落地工作,主要具备的能力包括:
C1 熟悉国内外数据安全和隐私保护的法律、政策和行业标准,并精通适用于本组织业务开展所必须遵守的法律、政策和标准内容;
C2 能够依据外部合规要求,建立覆盖组织的数据安全和隐私保护的管理体系和机制,并推动多方参与,落地执行;
C3 能够与组织内采购、供应商管理以及法律等部门合作,确保合作伙伴执行统一的标准,使得合同和操作层面的协议、数据安全和隐私保护管理计划,符合国内外数据安全政策与法规要求;
C4 能够与业务、法务和风险等部门协作,发现的隐私合规问题,并制定纠正措施和计划,定期进行评审。
数据安全制度流程
制度流程需要从组织层面整体考虑和设计,并形成体系框架。制度体系需要分层,层与层之间,同一层不同模块之间需要有关联逻辑,在内容上不能重复或矛盾。一般按照分为四级
可以形成一份单独的文档,以图或表形式描述数据安全制度体系结构,对每一份制度文件给予编号和层级标识,具体编号和层级定义方式根据实际情况自定义,以便于索引和维护。
编号 | 名称 | 层级 | 相关文件 | 版本 | 最新修订日期 |
DS-01-001 | 数据安全总纲 | 1 | |||
DS-02-001 | 数据资产管理 | 2 | |||
DS-02-002 | 系统资产管理 | 2 | |||
DS-02-003 | 数据质量管理 | 2 | |||
DS-02-004 | 数据安全人才管理 | 2 | |||
DS-02-005 | …… | 2 | |||
DS-02-006 | …… | 2 | |||
DS-03-001 | 数据采集管理规范 | 3 | |||
DS-03-002 | 数据传输管理规范 | 3 | |||
DS-04-001 | 数据脱敏规范 | 3 | |||
DS-04-002 | 日志管理规范 | 3 | |||
…… | …… |
技术工具架构图
数据生命周期中所有安全域涉及到的技术工具,可以是独立的系统平台、工具、功能或算法技术等,在规划设计时不用单独针对某个安全域,需要整体考虑。尤其涉及到通用的技术工具,需要整合,且和组织的业务系统和信息系统等进行衔接。
围绕组织业务系统和数据流,技术工具整体设计框架参考如下图:
数据生命周期中所有安全域涉及到的技术工具,可以是独立的系统平台、工具、功能或算法技术等,在规划设计时不用单独针对某个安全域,需要整体考虑。尤其涉及到通用的技术工具,需要整合,且和组织的业务系统和信息系统等进行衔接。
数据安全技术工具和各个安全域对应关系如下表:
声明:本文来自等级保护测评,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
