數(shù)據(jù)安全成熟度標準

1、 信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型范圍本標準基于大數(shù)據(jù)環(huán)境下電子化數(shù)據(jù)在組織機構(gòu)業(yè)務場景中的數(shù)據(jù)生命周期,從組織建設、制度流程、技術(shù)工具以及人員能力四個方面構(gòu)建了數(shù)據(jù)安全過程的規(guī)范性數(shù)據(jù)安全能力成熟度分級模型及其評估方法。本標準適用于組織機構(gòu)數(shù)據(jù)安全能力的自身評估,也適用于第三方機構(gòu)對組織機構(gòu)的數(shù)據(jù)安全保障能力進行評估。規(guī)范性引用文件下列文件對于本文件的應用是必不可少的.凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T25069-2010信息安全技術(shù)術(shù)語GB/T20261-2006信息安全技術(shù)系統(tǒng)安全工程能力成熟

2、度模型GB/TAAAAAAAAA信息技術(shù)大數(shù)據(jù)術(shù)語GB/TBBBBBBBBB信息技術(shù)大數(shù)據(jù)參考框架GB/TCCCCC-CCCC信息安全技術(shù)個人信息安全規(guī)范GB/TDDDDDDDDD信息安全技術(shù)大數(shù)據(jù)服務安全能力要求GB/TEEEEE-EEEE信息技術(shù)數(shù)據(jù)管理能力成熟度模型術(shù)語、定義和縮略語GB/T250692010中界定的以及下列術(shù)語和定義適用于本文件。術(shù)語和定義3.1.1數(shù)據(jù)安全datasecurity以數(shù)據(jù)為中心的安全，保護數(shù)據(jù)的可用性、完整性和機密性。注：本標準是從組織建設、制度流程、技術(shù)工具以及人員能力等方面對組織機構(gòu)的數(shù)據(jù)進行安全保護.數(shù)據(jù)安全能力datasecuritycapabi

3、lity組織機構(gòu)在組織建設、制度流程、技術(shù)工具以及人員能力等方面對數(shù)據(jù)的安全保障能力.3.1.3成熟度maturity對一個組織的有條理的持續(xù)改進能力的度量,對實現(xiàn)特定過程的連續(xù)性、可持續(xù)性、有效性和可信度的度量。3.1.4成熟度模型maturitymodel對一個組織機構(gòu)的成熟度進行度量的模型，包括一系列的代表能力和進展的特征、屬性、指示或是模式.模型的內(nèi)容通常是最佳實踐的舉例說明.成熟度模型提供一個組織機構(gòu)衡量其當前的實踐、流程、方法的能力水平的基準，并設置提升的目標和優(yōu)先級.當一個模型被廣泛應用于某個特定的行業(yè),這個行業(yè)可以基于模型，來評估本行業(yè)的組織機構(gòu)的成熟度等級。3.1.5組織機構(gòu)

4、organization安排了責任、權(quán)利和關(guān)系的一組人員和設施。3.1.6安全過程域securityprocessarea實現(xiàn)同一安全目標的一系列數(shù)據(jù)安全相關(guān)活動、過程的集合。3.1.7數(shù)據(jù)脫敏datadesensitization通過模糊化等方法對原始數(shù)據(jù)的處理，達到屏蔽敏感信息的一種數(shù)據(jù)保護方法。3.1.8數(shù)據(jù)產(chǎn)品dataproduct直接或間接使用數(shù)據(jù)的產(chǎn)品，包括但不限于能訪問原始數(shù)據(jù)，提供數(shù)據(jù)計算、數(shù)據(jù)存儲、數(shù)據(jù)交換、數(shù)據(jù)分析、數(shù)據(jù)挖掘、數(shù)據(jù)展示等應用的軟件產(chǎn)品。3.1.9數(shù)據(jù)加工dataprocessing對原始數(shù)據(jù)進行抽取、轉(zhuǎn)換、加載的過程；包括開發(fā)數(shù)據(jù)產(chǎn)品或數(shù)據(jù)分析。3.1.10

5、合規(guī)compliance對數(shù)據(jù)所適用的法律法規(guī)的遵循.縮略語下列縮略語適用于本標準：ACL訪問控制列表(AccessControlList)CMM能力成熟度模型(CapabilityMaturityModel)DDOS分布式拒絕服務(DistributedDenialofService)DLP數(shù)據(jù)防泄漏(DataLossPrevetion)TLS傳輸層安全(TransportLayerSecurity)SSL安全套接層(SecureSocketsLayer)數(shù)據(jù)安全能力成熟度模型架構(gòu)模型架構(gòu)本標準借鑒能力成熟度模型(CMM)的思想，以CMM的通用實踐來衡量能力成熟度等級，以信息安全技術(shù)大數(shù)據(jù)服

6、務安全能力要求中的安全要求為基礎(chǔ)，指導組織機構(gòu)如何持續(xù)達到所對應的安全要求。數(shù)據(jù)安全能力成熟度模型的模型架構(gòu)由以下三方面構(gòu)成(如圖1所示)：數(shù)據(jù)生命周期安全：圍繞數(shù)據(jù)生命周期，提煉出大數(shù)據(jù)環(huán)境下,以數(shù)據(jù)為中心，針對數(shù)據(jù)生命周期各階段建立的相關(guān)數(shù)據(jù)安全過程域體系。安全能力維度：明確組織機構(gòu)在各數(shù)據(jù)安全領(lǐng)域所需要具備的能力維度，明確為制度流程、人員能力、組織建設和技術(shù)工具四個關(guān)鍵能力的維度.能力成熟度等級:基于統(tǒng)一的分級標準，細化組織機構(gòu)在各數(shù)據(jù)安全過程域的5個級別的能力成熟度分級要求。2級:計劃跟蹤1級:非正式執(zhí)行m級:充分定義5級:持續(xù)優(yōu)化4級;量化控制曙采皐全儲安全屢全能右度等級圖1數(shù)據(jù)安全

7、能力成熟度模型架構(gòu)對于圖1的模型架構(gòu)的說明如下：1）基于電子數(shù)據(jù)在組織機構(gòu)內(nèi)的數(shù)據(jù)生命周期,明確定義各階段特定的數(shù)據(jù)安全過程域和數(shù)據(jù)生命周期通用的安全過程域。各階段特定的數(shù)據(jù)安全過程域，包括數(shù)據(jù)采集、數(shù)據(jù)存儲、數(shù)據(jù)傳輸、數(shù)據(jù)處理、數(shù)據(jù)交換和數(shù)據(jù)銷毀這六個階段中，各階段特定的數(shù)據(jù)安全過程域。數(shù)據(jù)生命周期通用的安全過程域，是與各個生命周期都相關(guān)的，通用的數(shù)據(jù)安全過程域，比如策略與規(guī)程、合規(guī)性管理等方面。2）本標準對組織機構(gòu)的數(shù)據(jù)安全保障能力的成熟度的分級評估,是基于各成熟度等級下的數(shù)據(jù)安全能力通用實踐所定義的分級評估方法，對各階段特定的數(shù)據(jù)安全基本實踐和數(shù)據(jù)生命周期通用的安全基本實踐的實現(xiàn)的成熟度

8、等級進行評估。數(shù)據(jù)生命周期安全數(shù)據(jù)生命周期基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織機構(gòu)業(yè)務中的流轉(zhuǎn)情況，定義了數(shù)據(jù)生命周期的6個階段,具體各階段的定義如下:數(shù)據(jù)采集：指新的數(shù)據(jù)產(chǎn)生或現(xiàn)有數(shù)據(jù)內(nèi)容發(fā)生顯著改變或更新的階段。對于組織機構(gòu)而言，數(shù)據(jù)的采集既包含在組織機構(gòu)內(nèi)部系統(tǒng)中生成的數(shù)據(jù)也包含組織機構(gòu)從外部采集的數(shù)據(jù)。數(shù)據(jù)存儲：指非動態(tài)數(shù)據(jù)以任何數(shù)字格式進行物理存儲的階段。數(shù)據(jù)處理：指組織機構(gòu)在內(nèi)部針對動態(tài)數(shù)據(jù)進行的一系列活動的組合.數(shù)據(jù)傳輸：指數(shù)據(jù)在組織機構(gòu)內(nèi)部從一個實體通過網(wǎng)絡流動到另一個實體的過程。數(shù)據(jù)交換：指數(shù)據(jù)經(jīng)由組織機構(gòu)內(nèi)部與外部組織機構(gòu)及個人交互過程中提供數(shù)據(jù)的階段。數(shù)據(jù)銷毀：指通過對數(shù)據(jù)及數(shù)據(jù)的

9、存儲介質(zhì)通過相應的操作手段，使數(shù)據(jù)徹底丟失且無法通過任何手段恢復的過程。特定的數(shù)據(jù)所經(jīng)歷的生命周期由實際的業(yè)務場景所決定，并非所有的數(shù)據(jù)都會完整的經(jīng)歷六個階段。數(shù)據(jù)安全過程域體系安全過程域體系覆蓋數(shù)據(jù)生命周期的六個階段,包含各生命周期階段通用的安全過程域和各生命周期階段下的安全過程域，如圖2所示。數(shù)據(jù)生命周期各階段安全數(shù)搖分類加&數(shù)據(jù)采卿爾，數(shù)據(jù)清選、轉(zhuǎn)站w質(zhì)試監(jiān)控姻砂砸密文數(shù)秦處理數(shù)據(jù)傳輸安全管理F存楠架構(gòu)卄分布式處理安至-邏輯存儲訪問控制數(shù)秦訓本數(shù)碧s檔囲時效性ms確接口數(shù)摘資產(chǎn)喙統(tǒng)遙產(chǎn)亍人信息保護重要數(shù)據(jù)保護畫碼支持策略與規(guī)程數(shù)據(jù)安全策晡與規(guī)程圖2數(shù)據(jù)安全過程域體系數(shù)據(jù)交換安全數(shù)瞬毀安全

10、數(shù)據(jù)導入導出安全數(shù)據(jù)共亭安全數(shù)據(jù)攬布安全數(shù)據(jù)交換嶷”介質(zhì)使用艇數(shù)據(jù)捎強處賈弁質(zhì)鎖盟處賈數(shù)據(jù)址理安全舸和人員管理認員營理誦色管理人員培訓戰(zhàn)略規(guī)劃需求分析*元數(shù)拒養(yǎng)全生命周期通用安全4.3安全能力維度能力構(gòu)成通過對各項安全過程所需具備安全能力的量化,可供組織機構(gòu)評估每項安全過程的實現(xiàn)能力.安全能力從組織建設、制度流程、技術(shù)工具及人員能力四個維度展開。組織建設:數(shù)據(jù)安全組織機構(gòu)的架構(gòu)建立、職責分配和溝通協(xié)作.制度流程：組織機構(gòu)關(guān)鍵數(shù)據(jù)安全領(lǐng)域的制度規(guī)范和流程落地建設。技術(shù)工具：通過技術(shù)手段和產(chǎn)品工具固化安全要求或自動化實現(xiàn)安全工作.人員能力：執(zhí)行數(shù)據(jù)安全工作的人員的意識及專業(yè)能力。組織建設從承擔數(shù)據(jù)

11、安全工作的組織機構(gòu)建設應具備的能力出發(fā)，從以下方面進行能力的級別區(qū)分:數(shù)據(jù)安全組織架構(gòu)對組織業(yè)務的適用性；數(shù)據(jù)安全組織機構(gòu)承擔的工作職責的明確性；數(shù)據(jù)安全組織機構(gòu)運作、溝通協(xié)調(diào)的有效性。制度流程從組織機構(gòu)在數(shù)據(jù)安全層面的制度流程建設，以及制度流程的執(zhí)行情況出發(fā)，從以下維度進行能力的級別區(qū)分：數(shù)據(jù)生命周期關(guān)鍵控制節(jié)點授權(quán)審批流程的明確性；相關(guān)流程制度的制定、發(fā)布、修訂的規(guī)范性；安全要求及流程落地執(zhí)行的一致性和有效性.技術(shù)工具從組織機構(gòu)用于開展數(shù)據(jù)安全工作的安全技術(shù)、應用系統(tǒng)和自動化工具出發(fā)，從以下維度進行能力的級別區(qū)分：數(shù)據(jù)安全技術(shù)在數(shù)據(jù)全生命周期過程中的利用情況，針對數(shù)據(jù)全生命周期安全風險的檢

12、測及響應能力;利用技術(shù)工具對數(shù)據(jù)安全工作的自動化支持能力，對數(shù)據(jù)安全制度流程的固化執(zhí)行能力.人員能力從組織機構(gòu)內(nèi)部承擔數(shù)據(jù)安全工作的人員應具備的能力出發(fā)，從以下維度進行能力的級別區(qū)分：數(shù)據(jù)安全人員所具備的數(shù)據(jù)安全能力是否能夠滿足復合型能力要求（對數(shù)據(jù)相關(guān)業(yè)務的理解力以及專業(yè)安全能力）;數(shù)據(jù)安全人員的數(shù)據(jù)安全意識以及關(guān)鍵數(shù)據(jù)安全崗位員工的數(shù)據(jù)安全能力的培養(yǎng)。4.4成熟度等級定義組織機構(gòu)的數(shù)據(jù)安全能力成熟度模型具有5個成熟度等級，成熟度等級的定義如下：等級1（非正式執(zhí)行），是指具備隨機、無序、被動的安全過程；等級2（計劃跟蹤），是指具備主動、非體系化的安全過程；等級3（充分定義）,是指具備正式的規(guī)

13、范的安全過程;等級4（量化控制），是指安全過程可量化；等級5（持續(xù)優(yōu)化），是指安全過程可持續(xù)優(yōu)化。數(shù)據(jù)安全能力通用實踐能力級別1-非正式執(zhí)行能力等級描述在這一級別，數(shù)據(jù)安全過程域的基本實踐通常被執(zhí)行。但基本實踐的執(zhí)行可能未經(jīng)嚴格的計劃和跟蹤,而是基于個人的知識和努力。組織機構(gòu)內(nèi)的個人可標識出一個數(shù)據(jù)安全過程應被執(zhí)行,并同意這個數(shù)據(jù)安全過程會在需要時執(zhí)行。該能力級別包含如下公共特征：公共特征1.1執(zhí)行基本實踐。公共特征1。1-執(zhí)行基本實踐公共特征描述此公共特征的通用實踐只是保證過程域的基本實踐以某種方式執(zhí)行.但是,數(shù)據(jù)安全管理的一致性、性能和質(zhì)量會因缺乏適當控制而存在極大的差異.組織機構(gòu)在數(shù)據(jù)安

14、全過程域未有效的執(zhí)行相關(guān)工作，僅在部分業(yè)務場景中/項目執(zhí)行過程中根據(jù)臨時的需求執(zhí)行了相關(guān)工作，卻未形成成熟的機制保證相關(guān)工作的持續(xù)有效進行，執(zhí)行相關(guān)工作的人員能力也未得到有效的保障.所執(zhí)行的過程可稱為“非正式過程”。組織建設未針對數(shù)據(jù)安全過程域的工作開展建立數(shù)據(jù)安全相關(guān)的團隊/崗位和職責。制度流程未建立與數(shù)據(jù)安全過程域相關(guān)的數(shù)據(jù)安全工作相關(guān)的制度流程，數(shù)據(jù)安全工作的開展多為對特定業(yè)務需求的響應而觸發(fā).技術(shù)工具未部署技術(shù)工具以固化數(shù)據(jù)安全制度流程和提升數(shù)據(jù)安全能力.人員能力未安排具備數(shù)據(jù)安全過程域相關(guān)知識背景的人參與到數(shù)據(jù)安全保障工作中。能力級別2計劃跟蹤在這一級別上，過程域基本實踐的執(zhí)行是經(jīng)計

15、劃并被跟蹤的，并對實踐情況進行驗證.數(shù)據(jù)安全管理應符合指定的標準和需求。通過測量來跟蹤過程域的執(zhí)行情況，因此,使組織機構(gòu)能夠基于實際實踐活動進行管理。與非正式實踐級別間的主要區(qū)別是過程實踐被計劃和管理.該能力級別包含如下公共特征:公共特征2.1規(guī)劃執(zhí)行；公共特征2.2規(guī)范化執(zhí)行公共特征2.3驗證執(zhí)行;公共特征2。4-跟蹤執(zhí)行。5.2.1公共特征2。1規(guī)劃執(zhí)行5.2.1.1公共特征描述該公共特征的基本實踐集中在過程域以及相關(guān)的基本實踐執(zhí)行的規(guī)劃方面,因而涉及到過程文檔的編制，過程工具的提供，過程實踐的計劃，規(guī)劃執(zhí)行的培訓，過程資源的分配以及過程執(zhí)行的責任分配。這些通用實踐為規(guī)范化的過程執(zhí)行提供了

16、最根本的基礎(chǔ)。組織建設基于數(shù)據(jù)安全過程域的內(nèi)容,規(guī)劃關(guān)鍵數(shù)據(jù)安全管理的團隊/崗位所需要的任務和責任，該團隊/崗位主要負責對數(shù)據(jù)安全過程域中的關(guān)鍵安全管理規(guī)則的制定。任務和責任應規(guī)定到，包括內(nèi)部、外部的和過程實踐相關(guān)的所有相關(guān)方.制度流程以數(shù)據(jù)為中心建立數(shù)據(jù)安全制度流程，并將數(shù)據(jù)安全制度流程形成標準化文檔，并通過技術(shù)工具進行固化，使制度流程按照設計的方式執(zhí)行。在此模型中,一個組織機構(gòu)或一個項目中的過程無需與過程域一一對應。因此,覆蓋一個過程域的過程可能可以以不止一種方式進行描述（例如以政策、標準等方式）,一個過程描述可能包含不止一個過程域。對數(shù)據(jù)安全制度流程的實踐進行規(guī)劃，和對數(shù)據(jù)安全工程和項目

17、類的過程域規(guī)劃可以按照項目計劃的形式存在，而組織類的計劃可以在組織機構(gòu)層面上進行.技術(shù)工具規(guī)劃為執(zhí)行數(shù)據(jù)安全過程域基本實踐所需要的技術(shù)工具，來確保數(shù)據(jù)安全過程的執(zhí)行。為支持數(shù)據(jù)安全過程域的規(guī)劃執(zhí)行提供適當?shù)墓ぞ?人員能力為執(zhí)行數(shù)據(jù)安全過程域基本實踐規(guī)劃充分的人力資源，分配其所需要的任務和責任,規(guī)劃適當?shù)呐嘤?，來確保過程的執(zhí)行.公共特征2.2規(guī)范化執(zhí)行公共特征描述該公共特征的通用實踐注重于對過程實踐的控制程度，需要使用過程執(zhí)行計劃、執(zhí)行基于標準和程序的過程、對數(shù)據(jù)安全過程實施配置管理等。這些通用實踐構(gòu)成了驗證數(shù)據(jù)安全過程執(zhí)行的重要基礎(chǔ)組織建設基于數(shù)據(jù)安全過程域的內(nèi)容,分配在數(shù)據(jù)安全過程域中所涉及

18、的承擔關(guān)鍵數(shù)據(jù)安全管理職責的團隊/崗位，該團隊/崗位主要負責對數(shù)據(jù)安全過程域中的關(guān)鍵安全管理規(guī)則的落實.制度流程針對該數(shù)據(jù)安全過程域中的關(guān)鍵的風險點提出了相應的安全要求，并將相應的要求以制度流程的形式進行了文檔化。對數(shù)據(jù)安全制度流程進行規(guī)范化執(zhí)行，在執(zhí)行過程域中,使用文檔化的計劃、標準指導實踐?；谶^程描述執(zhí)行的過程稱為“描述的過程.將數(shù)據(jù)安全制度流程實施配置管理，進行版本控制和/或變更控制。配置管理可視項目具體情況，組織機構(gòu)可采用工具和/或人工方式。配置管理應提前做好規(guī)劃。技術(shù)工具根據(jù)行業(yè)內(nèi)對相關(guān)數(shù)據(jù)安全過程域的技術(shù)產(chǎn)品的普及度，以及組織機構(gòu)內(nèi)實現(xiàn)自動化安全控制的可行性，組織機構(gòu)已經(jīng)優(yōu)先采用

19、了普及度較高的技術(shù)工具或執(zhí)行了可行度較高的自動化安全控制。人員能力從事數(shù)據(jù)安全過程域相關(guān)工作的人員具備對該數(shù)據(jù)安全過程域的關(guān)鍵風險的安全管理的背景知識和規(guī)范化執(zhí)行數(shù)據(jù)安全過程的能力.公共特征2。3驗證執(zhí)行公共特征描述該公共特征的通用實踐注重于確認過程按預定的方式執(zhí)行。因此這個通用實踐涉及到驗證執(zhí)行過程與可應用的計劃是一致的，以及對數(shù)據(jù)安全過程的審計。這些通用實踐構(gòu)成了跟蹤過程實踐能力的重要基礎(chǔ).組織建設基于數(shù)據(jù)安全過程域的內(nèi)容,分析在數(shù)據(jù)安全過程域中所涉及的承擔關(guān)鍵數(shù)據(jù)安全管理職責的團隊/崗位，該團隊/崗位主要負責對數(shù)據(jù)安全過程域中的關(guān)鍵安全管理規(guī)則的制定。驗證組織機構(gòu)的團隊/崗位與可用標準、

20、需求及測量目標的一致性。對于組織建設的驗證過程和審計活動應在計劃中進行定義。制度流程驗證制度流程與可用標準、需求及測量目標的一致性。對于制度流程的驗證過程和審計活動應在計劃中進行定義。技術(shù)工具驗證支撐數(shù)據(jù)安全過程的技術(shù)工具與可用標準、需求及測量目標的一致性.對于技術(shù)工具的驗證過程和審計活動應在計劃中進行定義。人員能力驗證人員能力與可用標準、需求及測量目標的一致性.對于人員能力的驗證過程和審計活動應在計劃中進行定義。公共特征2。4跟蹤執(zhí)行公共特征描述該公共特征的通用實踐注重于控制數(shù)據(jù)安全項目進展的能力。因此，該過程通過可測量的計劃跟蹤過程執(zhí)行，當過程實踐與計劃產(chǎn)生重大偏離時采取修正行動.這些通用

21、實踐形成了達到充分定義過程能力的根本基礎(chǔ)。組織建設對數(shù)據(jù)安全工作相關(guān)的組織建設定期進行跟蹤,通過測量來檢查跟蹤數(shù)據(jù)安全組織建設工作執(zhí)行的狀態(tài),并建立對項目級別的組織建設測量的歷史記錄。當數(shù)據(jù)安全組織機構(gòu)與計劃的數(shù)據(jù)安全組織機構(gòu)之間有重大差別時適當?shù)夭扇⌒拚胧?進展可能由于估算的不精確、實踐受外部因素的影響、作為計劃基礎(chǔ)的需求變動而與計劃發(fā)生偏離。修正措施可能包括改變組織架構(gòu)與職責,改變計劃，或二者兼有。制度流程對數(shù)據(jù)安全工作相關(guān)的制度流程定期進行跟蹤，通過測量來檢查跟蹤數(shù)據(jù)安全制度流程工作執(zhí)行的狀態(tài)，并建立對制度流程的測量歷史記錄。當數(shù)據(jù)安全制度流程與計劃的數(shù)據(jù)安全制度流程間有重大差別時適當

22、地采取修正措施.進展可能由于估算的不精確、實踐受外部因素的影響、作為計劃基礎(chǔ)的需求變動而與計劃發(fā)生偏離.修正措施可能包括改變制度流程，改變計劃，或二者兼有。技術(shù)工具對數(shù)據(jù)安全工作相關(guān)的技術(shù)工具定期進行跟蹤,通過測量來檢查跟蹤數(shù)據(jù)安全技術(shù)工具的狀態(tài)，并建立對技術(shù)工具的測量歷史記錄。當技術(shù)工具與計劃執(zhí)行的效果有重大差別時適當?shù)夭扇⌒拚胧?。進展可能由于估算的不精確、實踐受外部因素的影響、作為計劃基礎(chǔ)的需求變動而與計劃發(fā)生偏離.修正措施可能包括改變技術(shù)工具，改變計劃，或二者兼有.人員能力對數(shù)據(jù)安全工作相關(guān)的人員能力定期進行跟蹤，通過測量來檢查跟蹤數(shù)據(jù)安全人員能力的狀態(tài),并建立對人員能力的測量歷史記錄

23、。當數(shù)據(jù)安全人員能力與計劃的人員能力間有重大差別時適當?shù)夭扇⌒拚胧＿M展可能由于估算的不精確、實踐受外部因素的影響、作為計劃基礎(chǔ)的需求變動而與計劃發(fā)生偏離.修正措施可能包括改變?nèi)藛T能力,改變計劃，或二者兼有.能力級別3-充分定義在這一級別,基本實踐按照充分定義的過程執(zhí)行.充分定義的過程是依據(jù)對文檔化的標準過程進行裁剪并經(jīng)批準的過程版本.這一過程與計劃跟蹤級的主要區(qū)別在于利用組織機構(gòu)范圍內(nèi)的過程標準來管理和規(guī)劃。該能力級別包括以下公共特征：公共特征3。1-定義標準過程；公共特征3.2-執(zhí)行已定義的過程；公共特征3.3協(xié)調(diào)安全實踐。公共特征定義標準過程公共特征該公共特征的通用實踐注重于組織機構(gòu)標

24、準過程的制度化.過程制度化的起因和基礎(chǔ)可能是一個或多個相似過程在特定項目中的成功應用.一個組織機構(gòu)的標準過程可能需要適合特定環(huán)境的使用,所以也應考慮到如何進行裁剪。因此,要為組織機構(gòu)定義標準化的過程文檔,要為滿足特定用途對標準過程進行裁剪.這些通用過程形成了執(zhí)行已定義過程必要的基礎(chǔ)。組織建設組織機構(gòu)設立了實體或虛擬的團隊，該團隊主要負責針對該數(shù)據(jù)安全域建立有效的安全保護機制包括但不限于建立組織機構(gòu)統(tǒng)一的安全管理策略、制度和流程，并制定并面向組織機構(gòu)范圍內(nèi)提供整體的技術(shù)標準解決方案.該團隊與數(shù)據(jù)安全過程域相關(guān)的部門（如業(yè)務部門、法律部門等）共同合作，建立有效的溝通和推進機制.該團隊已明確了數(shù)據(jù)安

25、全的組織機構(gòu)和崗位,數(shù)據(jù)安全人員的角色及其職責分配,并建立有效的工作考核機制。制度流程對數(shù)據(jù)安全過程域進行數(shù)據(jù)安全風險評估，并參考相關(guān)的安全管理體系的方法論，建立了適應于組織機構(gòu)自身在數(shù)據(jù)安全過程域的標準制度流程。建立數(shù)據(jù)安全域的標準制度流程,包括但不限于與組織機構(gòu)結(jié)構(gòu)和數(shù)據(jù)業(yè)務相一致的安全策略、具有明確管控要求的制度規(guī)范、用于相關(guān)管控要求落地的流程、指導整體工作執(zhí)行的實施指南。組織機構(gòu)針對該數(shù)據(jù)安全過程域的制度流程建立標準的培訓和宣傳方案,實現(xiàn)對與該數(shù)據(jù)安全過程域相關(guān)的團隊和人員在對制度流程的理解上的一致性。技術(shù)工具建立數(shù)據(jù)安全過程域相關(guān)的在線化平臺固化并記錄相關(guān)的流程，在組織機構(gòu)內(nèi)部建設、

26、部署數(shù)據(jù)安全技術(shù)產(chǎn)品，強化安全控制。其中，與數(shù)據(jù)安全過程域強關(guān)聯(lián)的技術(shù)產(chǎn)品包含關(guān)鍵的產(chǎn)品功能，組織機構(gòu)內(nèi)基于具體的業(yè)務場景實現(xiàn)了對數(shù)據(jù)安全技術(shù)產(chǎn)品的有效運營，以保證產(chǎn)品功能對組織機構(gòu)的業(yè)務場景的適應性。人員能力從事數(shù)據(jù)安全工作的人員具備數(shù)據(jù)安全標準資質(zhì)，具備在數(shù)據(jù)安全領(lǐng)域的工作經(jīng)驗，能夠充分理解組織機構(gòu)在該數(shù)據(jù)安全過程域的安全風險并具備集合具體的業(yè)務場景制定風險改進方案的能力.公共特征3。2執(zhí)行已定義過程公共特征描述該公共特征注重于充分定義過程的可重復執(zhí)行。因此提出了已定義過程的使用,針對有缺陷的過程結(jié)果和工作產(chǎn)品的核查，過程執(zhí)行及其結(jié)果數(shù)據(jù)的使用。該通用實踐構(gòu)成了協(xié)調(diào)安全實踐的重要基礎(chǔ).組織

27、建設組織機構(gòu)設立了負責針對該數(shù)據(jù)安全域執(zhí)行進行有效安全保護的實體或虛擬的團隊。該團隊與數(shù)據(jù)安全過程域相關(guān)的部門（如業(yè)務部門、法律部門等）共同合作，建立有效的溝通和推進機制，實現(xiàn)數(shù)據(jù)安全要求和技術(shù)落地方案在數(shù)據(jù)安全過程域相關(guān)場景下的有效推行.該團隊已明確了相關(guān)人員在該數(shù)據(jù)安全過程域下的專職職責,建立執(zhí)行缺陷復查的檢查工作的考核機制。制度流程組織機構(gòu)針對該數(shù)據(jù)安全過程域的制度流程建立了有效的培訓和宣傳方案,實現(xiàn)對與該數(shù)據(jù)安全過程域相關(guān)的團隊和人員在對制度流程的理解上的一致性。使用充分定義的過程，并建立專門的缺陷復查過程域,針對過程域的適當工作產(chǎn)品進行缺陷復查。技術(shù)工具針對該數(shù)據(jù)安全過程域中的安全管

28、理要求,一方面建立相應的在線化平臺固化并記錄相關(guān)的流程,另一方面結(jié)合行業(yè)內(nèi)的優(yōu)秀產(chǎn)品方案在組織機構(gòu)內(nèi)部建設、部署相應的技術(shù)產(chǎn)品，強化相應的安全控制。使用技術(shù)工具收集測量數(shù)據(jù)，得到更積極的應用并且為下一級的定量管理奠定了基礎(chǔ)。人員能力從事數(shù)據(jù)安全工作的人員具備數(shù)據(jù)安全標準資質(zhì)，具備在數(shù)據(jù)安全領(lǐng)域的工作經(jīng)驗，能夠有效執(zhí)行已定義的數(shù)據(jù)安全過程.從事數(shù)據(jù)安全工作的人員能夠充分理解組織機構(gòu)在該數(shù)據(jù)安全過程域的安全風險，具備集合具體的業(yè)務場景制定風險改進方案,并執(zhí)行已制定的風險改進方案的能力。公共特征3。3協(xié)調(diào)實踐公共特征描述此公共特征側(cè)重于單個業(yè)務系統(tǒng)和組織活動的協(xié)調(diào)。許多重大活動都是由業(yè)務系統(tǒng)中的不同

29、工作組和代表業(yè)務系統(tǒng)的組織服務組共同完成的。缺乏協(xié)調(diào)將會導致數(shù)據(jù)安全風險和不可比的結(jié)果.因此應確定業(yè)務系統(tǒng)內(nèi)、各業(yè)務系統(tǒng)之間、組織機構(gòu)外部活動的協(xié)調(diào)機制。這些通用實踐是獲得定量控制過程能力的必要基礎(chǔ)。組織建設數(shù)據(jù)安全的組織機構(gòu)能夠協(xié)調(diào)業(yè)務系統(tǒng)內(nèi)、組織機構(gòu)的不同業(yè)務系統(tǒng)之間，以及與組織機構(gòu)外部之間的標準執(zhí)行實踐，保證數(shù)據(jù)安全組織建設相關(guān)標準的統(tǒng)一執(zhí)行。制度流程數(shù)據(jù)安全的制度流程能夠協(xié)調(diào)業(yè)務系統(tǒng)內(nèi)、組織機構(gòu)的不同業(yè)務系統(tǒng)之間，以及與組織機構(gòu)外部之間的標準執(zhí)行實踐，保證數(shù)據(jù)安全制度流程相關(guān)標準的統(tǒng)一執(zhí)行。技術(shù)工具數(shù)據(jù)安全的技術(shù)工具能夠協(xié)調(diào)業(yè)務系統(tǒng)內(nèi)、組織機構(gòu)的不同業(yè)務系統(tǒng)之間,以及與組織機構(gòu)外部之間

30、的標準執(zhí)行實踐.保證數(shù)據(jù)安全過程域中技術(shù)工具的安全管理標準統(tǒng)一執(zhí)行。人員能力數(shù)據(jù)安全人員能夠協(xié)調(diào)項目組內(nèi)、組織機構(gòu)的不同項目組之間，以及與組織機構(gòu)外部之間的標準執(zhí)行實踐。保證數(shù)據(jù)安全過程域中人員能力相關(guān)資質(zhì)管理標準的統(tǒng)一執(zhí)行.能力級別4-量化控制這個級別收集、分析執(zhí)行的詳細測量。這將獲得對過程能力和改進能力的量化理解以預測執(zhí)行情況。這個級別執(zhí)行的管理是客觀的，數(shù)據(jù)安全管理的質(zhì)量是量化的。這一級與充分定義級的主要區(qū)別在于定義的過程是定量的理解和控制。該能力級別包括如下公共特征:公共特征4。1建立可測的安全目標；公共特征4。2客觀地管理執(zhí)行.公共特征4。1建立可測的安全目標公共特征描述該公共特征的

31、通用實踐側(cè)重于為組織機構(gòu)的數(shù)據(jù)安全建立可測量目標。因此這個公共特征提出了安全目標的建立.這些通用實踐為客觀地執(zhí)行管理提供了必要的基礎(chǔ)。組織建設結(jié)合組織機構(gòu)戰(zhàn)略安全目標、業(yè)務系統(tǒng)的特定要求和優(yōu)先級或業(yè)務策略，將安全目標分解落實到數(shù)據(jù)安全數(shù)據(jù)安全相關(guān)的團隊/崗位的職責中，以利于安全目標的量化可測量、可執(zhí)行。制度流程量化地確定已定義的過程，測量活動要被嵌入到過程定義中.建立與數(shù)據(jù)安全過程域相關(guān)的數(shù)據(jù)安全工作相關(guān)的制度流程，數(shù)據(jù)安全工作的開展多為對特定業(yè)務需求的響應而觸發(fā)。技術(shù)工具根據(jù)定量的安全目標，對技術(shù)工具提出相應的功能和性能需求。在已有的技術(shù)工具的基礎(chǔ)上實現(xiàn)對關(guān)鍵數(shù)據(jù)安全能力的量化培訓和提升。在

32、已有的該數(shù)據(jù)安全過程域的安全技術(shù)產(chǎn)品的基礎(chǔ)上，進一步結(jié)合組織機構(gòu)具體的業(yè)務場景，對安全技術(shù)產(chǎn)品的功能和設置進行更為細致化的管理,從而實現(xiàn)產(chǎn)品能力上的更加細化的量化安全控制。人員能力關(guān)鍵崗位的數(shù)據(jù)安全人員具備較高的數(shù)據(jù)安全能力,能夠在理解組織機構(gòu)整體數(shù)據(jù)安全目標的基礎(chǔ)上考慮負責的數(shù)據(jù)安全過程領(lǐng)域的安全工作開展方式。公共特征4。2-客觀地管理執(zhí)行公共特征描述該公共特征的通用實踐側(cè)重于確定過程能力的量化測量并使用量化測量來管理這一過程.這個公共特征提出了量化地確定過程能力和以量化測量作為修正行動的基礎(chǔ)。這些通用實踐構(gòu)成了獲得持續(xù)改進能力的必要基礎(chǔ).組織建設組織機構(gòu)應明確進行定量執(zhí)行的工作要求，在工作

33、團隊中設置負責數(shù)據(jù)收集、存儲和分析的角色和人員,提供相應的資源,從而在工作中能夠客觀地監(jiān)督過程的執(zhí)行。制度流程在過程執(zhí)行中收集測量數(shù)據(jù)，對各項工作的執(zhí)行情況及其效果進行客觀的度量，為過程的持續(xù)改進提供決策依據(jù)。當過程未按定義過程能力執(zhí)行時,適當?shù)夭扇⌒拚袆印；趯^程能力的理解，識別出現(xiàn)偏差的原因，并制定出適當?shù)募m正、預防措施，提出何時和采取何種修正行動。針對組織機構(gòu)在該數(shù)據(jù)安全過程域的制度流程進一步細化，針對所適應的關(guān)鍵業(yè)務場景基于組織機構(gòu)統(tǒng)一的制度流程細化成相應的管理細則，從而提升其可落地性。制度流程的細化主要由承擔數(shù)據(jù)安全職責的具體業(yè)務團隊來負責并在該團隊范圍內(nèi)進行發(fā)布和推廣,例如基于

34、組織機構(gòu)制定的數(shù)據(jù)對外交換的原則，各業(yè)務團隊可基于其相關(guān)的數(shù)據(jù)交換的業(yè)務場景中所涉及的對外交換的數(shù)據(jù)，制定出詳細的適用于該團隊業(yè)務場景的對外數(shù)據(jù)交換的安全細則。組織機構(gòu)進一步關(guān)注制度流程的執(zhí)行效果,從安全要求、流程執(zhí)行的有效性方面進行持續(xù)的跟蹤和效果度量,從而反饋到相關(guān)制度流程的內(nèi)容修訂上。技術(shù)工具提供技術(shù)工具支持數(shù)據(jù)的采集、存儲、分析和管理等工作。人員能力關(guān)鍵崗位的數(shù)據(jù)安全人員具備客觀地管理執(zhí)行的意識和能力，自覺地根據(jù)制度流程要求，采用技術(shù)工具進行數(shù)據(jù)的采集和分析。能力級別5持續(xù)優(yōu)化在這個級別上，基于組織機構(gòu)的商務目標并針對過程的有效性和執(zhí)行效率建立量化執(zhí)行目標。通過執(zhí)行已定義過程和有創(chuàng)建的

35、新概念、新技術(shù)的量化反饋來保證對這些目標進行持續(xù)過程改進。這一級與定量控制級的主要區(qū)別在于已定義的過程和標準過程基于對這些過程變化效果的量化理解,進行連續(xù)調(diào)整和改進。安全過程可持續(xù)優(yōu)化，實時跟蹤行業(yè)的最佳實踐和業(yè)務的最新動向,制度流程和技術(shù)工具持續(xù)調(diào)整以更好適應業(yè)務發(fā)展，沉淀下來的數(shù)據(jù)安全最佳實踐能推廣至行業(yè)供其他組織機構(gòu)借鑒。該能力級別包括如下公共特征:公共特征5。1-改進組織能力；公共特征5.2-改進過程有效性。公共特征5。1-改進組織能力該公共特征的通用實踐注重于在整個組織機構(gòu)范圍內(nèi)標準過程的使用進行比較和在這些不同使用之間進行比較。當這些過程被使用時，尋找改進標準過程的機會，分析產(chǎn)生的

36、缺陷以標識對標準過程的其它可能改進。因此，這個公共特征對過程的有效性建立了目標、標識對標準過程的改進以及分析對標準過程的可能變更。這些通用實踐構(gòu)成了改進過程有效性的必要基礎(chǔ)。組織建設組織架構(gòu)的設置與國際上領(lǐng)先的數(shù)據(jù)安全管理理念符合，且能更好適應業(yè)務發(fā)展的戰(zhàn)略規(guī)劃，具備及時調(diào)整的以促進業(yè)務發(fā)展的能力.制度流程為改進過程有效性，根據(jù)組織機構(gòu)的業(yè)務目標和當前過程能力建立量化目標.實時跟蹤數(shù)據(jù)安全管理領(lǐng)域的最佳實踐和業(yè)務的最新動向,預先判斷業(yè)務在數(shù)據(jù)安全領(lǐng)域所面臨的風險，并在制度流程上進行持續(xù)性的優(yōu)化。通過改變組織機構(gòu)的標準過程族連續(xù)地改進過程，從而提高過程有效性。技術(shù)工具基于數(shù)據(jù)安全技術(shù)的最新進展以

37、及組織機構(gòu)沉淀下來的數(shù)據(jù)安全技術(shù)能力，結(jié)合業(yè)務發(fā)展的實際情況引入先進的技術(shù)工具提升數(shù)據(jù)安全控制的有效性。人員能力密切關(guān)注國內(nèi)外最新的數(shù)據(jù)安全標準及規(guī)范,加強行業(yè)領(lǐng)域內(nèi)的專家交流，結(jié)合本組織機構(gòu)的特點合理優(yōu)化并組織機構(gòu)內(nèi)的數(shù)據(jù)安全解決方案.公共特征5。2改進過程有效性該公共特征的通用實踐注重于制定處于連續(xù)受控改進狀態(tài)下的標準過程.因此這個公共特征提出消除標準過程產(chǎn)生缺陷的原因和持續(xù)改進的標準過程。組織建設組織架構(gòu)的設置與國際上領(lǐng)先的數(shù)據(jù)安全管理理念符合，且能更好適應業(yè)務發(fā)展的戰(zhàn)略規(guī)劃，具備及時調(diào)整的以促進業(yè)務發(fā)展的能力.制度流程為改進過程有效性，根據(jù)組織機構(gòu)的業(yè)務目標和當前過程能力建立量化目標。

38、實時跟蹤數(shù)據(jù)安全管理領(lǐng)域的最佳實踐和業(yè)務的最新動向，預先判斷業(yè)務在數(shù)據(jù)安全領(lǐng)域所面臨的風險，并在制度流程上進行持續(xù)性的優(yōu)化.執(zhí)行缺陷的因果分析。有選擇的消除已定義過程中缺陷產(chǎn)生的原因。在這個公共實踐中，意味著公共原因和特殊原因的變化，并且每一種缺陷都會導致采取不同的行動。技術(shù)工具基于數(shù)據(jù)安全技術(shù)的最新進展以及組織機構(gòu)沉淀下來的數(shù)據(jù)安全技術(shù)能力,結(jié)合業(yè)務發(fā)展的實際情況引入先進的技術(shù)工具提升數(shù)據(jù)安全控制的有效性.人員能力密切關(guān)注國內(nèi)外最新的數(shù)據(jù)安全標準及規(guī)范,加強行業(yè)領(lǐng)域內(nèi)的專家交流,結(jié)合本組織機構(gòu)的特點合理優(yōu)化并組織機構(gòu)內(nèi)的數(shù)據(jù)安全解決方案。執(zhí)行該過程的人員一般為參與分析的人員.這是一種事前和反

39、復的因果分析活動.以前具有相似屬性的項目缺陷可作為目標改進區(qū).6數(shù)據(jù)生命周期通用的安全基本實踐策略與規(guī)程數(shù)據(jù)安全策略與規(guī)程數(shù)據(jù)安全過程域描述通過建立組織機構(gòu)整體的數(shù)據(jù)安全策略及規(guī)程，以實現(xiàn)對數(shù)據(jù)全生命周期的安全風險管控.數(shù)據(jù)安全能力基本實踐a）組織建設:設立數(shù)據(jù)安全的團隊/崗位負責組織機構(gòu)的數(shù)據(jù)安全策略與規(guī)程的制定、修訂和落地。（要求5.1.1a）b）b）制度流程：1）依據(jù)組織機構(gòu)的業(yè)務戰(zhàn)略，建立數(shù)據(jù)安全方針和目標，并基于此建立以數(shù)據(jù)生命周期為核心思想的數(shù)據(jù)安全制度體系，相關(guān)制度均從目的、范圍、崗位、責任、管理層承諾、內(nèi)外部協(xié)調(diào)及合規(guī)性方面提出明確的要求。（要求5。1。1a）b）2）建立了數(shù)據(jù)

40、安全策略與規(guī)程的分發(fā)流程，策略和規(guī)程均能被組織機構(gòu)各部門、崗位和人員獲取。（要求5.1.1c）3）制定并實施與安全策略和規(guī)程相適應的大數(shù)據(jù)平臺和大數(shù)據(jù)應用實施細則，包括外部數(shù)據(jù)資源整合、數(shù)據(jù)共享、數(shù)據(jù)發(fā)布等數(shù)據(jù)供應鏈安全管理細則、合同要求及審核機制.（要求5.1.1.d）4）建立策略及規(guī)程的評審、發(fā)布流程，并確定適當?shù)念l率和時機對策略和規(guī)范進行更新，以確保其持續(xù)的適宜性和有效性。（要求5.1。1e）f）c）技術(shù)工具：建立了數(shù)據(jù)安全策略及規(guī)程管理的技術(shù)工具，通過該技術(shù)工具面向組織機構(gòu)全體員工發(fā)布對策略及規(guī)范的解讀材料，以便于策略規(guī)范的落地推進。（要求5。1.1c）d）d）人員能力：1）負責數(shù)據(jù)安

41、全頂層方針、策略制定的人員了解組織機構(gòu)的業(yè)務發(fā)展目標，能夠?qū)?shù)據(jù)安全工作目標和業(yè)務發(fā)展目標進行有機的結(jié)合.（要求5.1。1a）、5。1。2a）b）2）負責數(shù)據(jù)安全策略與規(guī)程編寫的人員掌握信息安全管理體系建設的知識，并具有專業(yè)的規(guī)范撰寫能力。（要求5.1.1a）、b）、c）、d）3）負責數(shù)據(jù)安全策略及規(guī)范推廣的人員能夠?qū)?shù)據(jù)安全管理的方針、策略和制度規(guī)范進行準確解讀，能夠以員工和相關(guān)方易理解的方式通過培訓等形式進行宣傳。（要求5。1。1c）數(shù)據(jù)與系統(tǒng)資產(chǎn)數(shù)據(jù)資產(chǎn)數(shù)據(jù)安全過程域描述通過建立針對組織機構(gòu)數(shù)據(jù)資產(chǎn)的有效管理手段,從資產(chǎn)的類型、管理模式方面實現(xiàn)統(tǒng)一的管理標準。數(shù)據(jù)安全能力基本實踐a）組織

42、建設：設置數(shù)據(jù)安全的團隊/崗位負責組織機構(gòu)統(tǒng)一的數(shù)據(jù)資產(chǎn)管理工作,主要負責對數(shù)據(jù)資產(chǎn)管理的規(guī)范制定和落地推動,并由各業(yè)務團隊的具體人員承擔各業(yè)務范圍內(nèi)的數(shù)據(jù)資產(chǎn)管理工作.（要求5。2。1。1a）b）c）d）e）b）制度流程:1）制定數(shù)據(jù)資產(chǎn)的安全管理規(guī)范，明確數(shù)據(jù)資產(chǎn)的安全管理目標和安全原則，管理規(guī)范明確了數(shù)據(jù)資產(chǎn)的登記制度，定義了數(shù)據(jù)資產(chǎn)的數(shù)據(jù)管理者和安全管理者在組織機構(gòu)中的角色定位和所應承擔的職責，并提出數(shù)據(jù)資產(chǎn)的分類管理要求.（要求5.2。1。1a）c）2）建立數(shù)據(jù)資產(chǎn)分類分級方法和操作指南，以及數(shù)據(jù)資產(chǎn)分類分級的變更審批流程和機制.（要求5。2。1.1b）3）建立數(shù)據(jù)資產(chǎn)清單，明確數(shù)據(jù)

43、資產(chǎn)管理范圍和屬性。（要求5。2。1。1d）4）建立組織機構(gòu)內(nèi)部數(shù)據(jù)資產(chǎn)管理過程中需要數(shù)據(jù)管理者和安全管理者需要參與的審批流程，并清晰定期其在各流程中所承擔的審批職責。（要求5。2.1。1b）5）定期審核和更新數(shù)據(jù)資產(chǎn)安全管理相關(guān)的安全規(guī)范、操作細則。（要求5。2。1。1e）6）依據(jù)數(shù)據(jù)資產(chǎn)和數(shù)據(jù)主體安全分級要求建立相應的標記策略、訪問控制、數(shù)據(jù)加解密、數(shù)據(jù)脫敏等安全機制和管控措施。（要求5.2。1。2a）7）建立組織機構(gòu)業(yè)務所需的內(nèi)外部數(shù)據(jù)資產(chǎn)的安全治理原則和數(shù)據(jù)資源整合規(guī)范。（要求5。2。1。2b）c）技術(shù)工具:1）建立組織機構(gòu)統(tǒng)一的數(shù)據(jù)資產(chǎn)管理平臺，通過技術(shù)工具整體量化組織機構(gòu)內(nèi)部的數(shù)據(jù)

44、資產(chǎn)情況，實現(xiàn)對數(shù)據(jù)資產(chǎn)的統(tǒng)一管理，包括但不限于標識數(shù)據(jù)的數(shù)據(jù)管理者和安全管理者，數(shù)據(jù)資產(chǎn)等級，數(shù)據(jù)資產(chǎn)數(shù)據(jù)量,各等級的數(shù)據(jù)資產(chǎn)的分布情況等信息，從而便于數(shù)據(jù)管理人員進行整體的數(shù)據(jù)資產(chǎn)現(xiàn)狀統(tǒng)計。(要求5。2。1。2c)量化數(shù)據(jù)管理者和安全管理者在相關(guān)數(shù)據(jù)安全流程中的參與情況,調(diào)整數(shù)據(jù)管理者和安全管理者的職責要求。(要求5。2.1。2a)人員能力：具備對組織機構(gòu)內(nèi)部數(shù)據(jù)資產(chǎn)管理需求的理解，以及對數(shù)據(jù)資產(chǎn)所涉及業(yè)務范圍的整體概念的理解，能夠建立適用于組織機構(gòu)業(yè)務實際情況的可落地的管理制度。(要求5。2.1。1a)b)c)d)e)、要求5。2。1。2a)b)c)系統(tǒng)資產(chǎn)數(shù)據(jù)安全過程域描述通過建立針對

45、組織機構(gòu)內(nèi)部信息系統(tǒng)資產(chǎn)的有效管理手段，從資產(chǎn)的類型、管理模式方面實現(xiàn)統(tǒng)一的管理標準。數(shù)據(jù)安全能力基本實踐組織建設：設置專門的團隊/崗位負責組織機構(gòu)統(tǒng)一的信息系統(tǒng)資產(chǎn)管理工作，主要負責對信息系統(tǒng)資產(chǎn)管理的規(guī)范制定和落地推動，并由各業(yè)務團隊的具體人員承擔各業(yè)務范圍內(nèi)的信息系統(tǒng)資產(chǎn)管理工作。(要求5。2。2。1a)、b)、c)、d)、e)制度流程:制定信息系統(tǒng)資產(chǎn)的安全管理制度，明確信息系統(tǒng)資產(chǎn)安全管理目標和安全原則、信息系統(tǒng)資產(chǎn)的全生命周期管理要求、資產(chǎn)登記要求和分類標記要求，并針對安全管理制度執(zhí)行定期審核和更新。(要求5。2。2。1a)、e)建立信息系統(tǒng)資產(chǎn)建設和運營管理制度和機制，明確規(guī)劃、

46、設計、采購、開發(fā)、運行、維護及報廢等資產(chǎn)管理過程的安全要求。(要求5.2.2.1b)建立組織機構(gòu)內(nèi)的信息系統(tǒng)資產(chǎn)登記機制，形成整體的信息系統(tǒng)軟硬件資產(chǎn)清單，明確系統(tǒng)資產(chǎn)安全責任主體及相關(guān)方，并及時更新系統(tǒng)資產(chǎn)相關(guān)信息。(要求5。2。2。1c)建立和實施信息系統(tǒng)資產(chǎn)分類和標記規(guī)程，使資產(chǎn)標記易于填寫和依附在相應的系統(tǒng)資產(chǎn)上。(要求5。2。2。1d)建立信息系統(tǒng)資產(chǎn)更新、運營風險評估和供應鏈安全審查規(guī)程和制度。(要求5.2。b)技術(shù)工具:針對易通過技術(shù)工具執(zhí)行資產(chǎn)登記、分類標記的信息系統(tǒng),實現(xiàn)自動化的屬性標識工作(要求5。2。2.1d)組織機構(gòu)建立信息系統(tǒng)資產(chǎn)管理平臺,能夠通過技術(shù)工具整體量化組織

47、機構(gòu)內(nèi)部的信息系統(tǒng)資產(chǎn)情況，包括但不限于整體的信息系統(tǒng)資產(chǎn)數(shù)量等信息，具備系統(tǒng)資產(chǎn)統(tǒng)一注冊管理和使用監(jiān)控等能力，從而便于信息系統(tǒng)管理人員進行整體的信息系統(tǒng)資產(chǎn)現(xiàn)狀統(tǒng)計(要求5。2.2。2a)人員能力：負責組織機構(gòu)統(tǒng)一的信息系統(tǒng)資產(chǎn)管理工作的人員具備對組織機構(gòu)內(nèi)部信息系統(tǒng)資產(chǎn)管理需求的理解，以及對信息系統(tǒng)資產(chǎn)所涉及業(yè)務范圍的整體概念的理解,能夠建立適用于組織機構(gòu)業(yè)務實際情況的可落地的管理制度。(要求5。2。2。1a)、b)、c)、d)、)組織和人員管理組織管理數(shù)據(jù)安全過程域描述通過建立組織機構(gòu)內(nèi)部負責數(shù)據(jù)安全工作的職能部門及崗位,并明確職能部門及崗位承擔的數(shù)據(jù)安全責任，防范人員管理過程中存在的安

48、全風險.數(shù)據(jù)安全能力基本實踐a）組織建設：1）基于組織機構(gòu)的數(shù)據(jù)安全方針及策略，充分定義了組織機構(gòu)內(nèi)部正式的數(shù)據(jù)安全職能部門/崗位,數(shù)據(jù)安全的職能框架包括但不限于：（要求5。3.1.1a）、c）數(shù)據(jù)安全規(guī)范及標準：負責組織機構(gòu)內(nèi)數(shù)據(jù)安全相關(guān)的規(guī)范制度和詳細標準的制定,為組織機構(gòu)數(shù)據(jù)安全相關(guān)工作的開展提供依據(jù)和要求。數(shù)據(jù)安全技術(shù)及產(chǎn)品：負責組織機構(gòu)內(nèi)數(shù)據(jù)安全技術(shù)的應用、數(shù)據(jù)安全產(chǎn)品的開發(fā)和部署，建立整體的技術(shù)防護及應急保障體系.數(shù)據(jù)安全監(jiān)控及審計：負責建立組織機構(gòu)內(nèi)的數(shù)據(jù)安全風險管理體系，對數(shù)據(jù)全生命周期的安全風險進行審計，從風險的預防、發(fā)現(xiàn)、跟進等環(huán)節(jié)實現(xiàn)對風險的有效管理。數(shù)據(jù)安全宣傳與促進：

49、負責面向組織機構(gòu)內(nèi)全體人員普及數(shù)據(jù)安全相關(guān)知識，通過多種形式推廣數(shù)據(jù)安全的風險防范思路和方法，提高組織機構(gòu)內(nèi)全體人員的數(shù)據(jù)安全意識，促進數(shù)據(jù)安全工作的具體落地。數(shù)據(jù)安全合作與交流:負責與監(jiān)管機構(gòu)進行持續(xù)的溝通，并在行業(yè)內(nèi)交流數(shù)據(jù)安全的實踐經(jīng)驗、開展相關(guān)合作以促進行業(yè)的整體發(fā)展。信息系統(tǒng)安全管理：負責信息系統(tǒng)的安全規(guī)劃、安全建設、安全運營和系統(tǒng)維護工作，實現(xiàn)基礎(chǔ)信息系統(tǒng)的安全管理。2）組織機構(gòu)層面建立數(shù)據(jù)安全領(lǐng)導小組,指定機構(gòu)最高管理者或授權(quán)代表擔任小組組長，并明確組長責任與權(quán)力。（要求5.3.1。1b）3）職能崗位設計時考慮了職責分離的原則，并建立組織機構(gòu)內(nèi)部監(jiān)督管理職能部門，對組織機構(gòu)內(nèi)部的

50、數(shù)據(jù)安全管理的相關(guān)職能崗位的操作行為進行安全監(jiān)督管理.（要求5。3。1。1d）4）建立體系化的大數(shù)據(jù)安全管理機構(gòu),組織機構(gòu)最高管理人員應作為大數(shù)據(jù)安全領(lǐng)導小組組長，且配備必要的管理人員和技術(shù)人員。（要求5。3。1。2a）5）設置專職的大數(shù)據(jù)服務安全崗位，建立規(guī)范化的大數(shù)據(jù)服務安全保護、評估及考核專職隊伍。（要求5。3.1。2b）b）制度流程:1）制定數(shù)據(jù)安全職能的工作規(guī)范,以明確各職能崗位之間的協(xié)作關(guān)系，明確了各職能崗位的運行配合機制。（要求5。3.1。1a）2）制定大數(shù)據(jù)安全追責制度，定期對責任部門和安全崗位組織安全檢查，形成檢查報告。（要求5。3.1。1e）c）技術(shù)工具：在組織機構(gòu)通過技術(shù)

51、工具以公開信息且可查詢的形式面向全員公布數(shù)據(jù)安全職能部門的組織架構(gòu)。（要求5.3.1.1a,5。3。1.2a）d）人員能力：1）負責執(zhí)行數(shù)據(jù)安全職能設置的人員能夠明確組織機構(gòu)的數(shù)據(jù)安全工作目標.（要求5。a）2）能夠充分理解數(shù)據(jù)安全職能現(xiàn)狀,并具備基于職能運作的效果有效調(diào)整職能設置的能力。（要求5.3.1。2a）、b）人員管理數(shù)據(jù)安全過程域描述通過對人力資源管理過程中各環(huán)節(jié)的安全管理,有效降低對組織機構(gòu)內(nèi)部的員工和第三方員工的管理過程中存在的安全風險。數(shù)據(jù)安全能力基本實踐a）組織建設:明確在人力資源管理過程中承擔數(shù)據(jù)安全管理職責的崗位，該崗位負責對數(shù)據(jù)安全需求的分析及落地方案的制訂和推進.（要

52、求5。3.2.1a）、b）、c）、d）、e）、f）、g）b）制度流程：1）制定人力資源安全策略，明確不同崗位人員在數(shù)據(jù)生命周期各階段數(shù)據(jù)服務和系統(tǒng)服務相關(guān)的工作范疇和安全管控措施。（要求5。3。2。1a）2）制定大數(shù)據(jù)服務人員招聘、錄用、上崗、調(diào)崗、離崗、考核、選拔等人員安全管理制度,將數(shù)據(jù)安全相關(guān)的環(huán)節(jié)固化到涉及的人力資源流程中。制度中明確要求在錄用重要崗位人員前對其進行背景調(diào)查,確保符合相關(guān)的法律、法規(guī)、合同和道德要求，并與所有涉及大數(shù)據(jù)服務崗位人員簽訂安全責任協(xié)議；明確大數(shù)據(jù)服務重要崗位的兼職和輪崗、權(quán)限分離、多人共管等安全管理要求;建立在崗人員安全責任獎懲管理機制，將員工在職期間在數(shù)據(jù)

53、安全方面的義務和職責納入人力資源激勵和懲罰的范疇，并按照規(guī)定對造成大數(shù)據(jù)安全損失的人員給予相應的處理，記錄并保存相關(guān)信息；在重要崗位人員調(diào)離或終止勞動合同時，與其簽訂保密協(xié)議。（要求5.3.2.1b）、c）、d）、e）、g）3）制定第三方人員安全管理制度，對接觸個人信息、重要數(shù)據(jù)等數(shù)據(jù)的人員進行審批和登記，并要求簽署保密協(xié)議，定期對這些人員行為進行安全審查。（要求5。3。2。1f）4）明確關(guān)鍵崗位人員背景調(diào)查范圍,定期對關(guān)鍵崗位人員進行背景審查；對員工候選者的背景調(diào)查中也包含了對候選者的專業(yè)能力的調(diào)查。（要求5。3。2.2a）c）技術(shù)工具:通過技術(shù)化手段將人力資源安全相關(guān)的流程通過系統(tǒng)平臺自動

54、化實現(xiàn)。（要求5。3。2.1a）、b）、c）、d）、e）、f）、g）d）人員能力：1）負責人力資源安全管理的人員應充分理解人力資源管理流程中可對安全風險進行把控的環(huán)節(jié)。并通過培訓、考試等手段提升全體人員數(shù)據(jù)安全意識水平.（要求5。3.2.1a）、b）、c）、d）、e）、f）、g）2）明確關(guān)鍵崗位人員安全能力要求,并確定他們培訓技能考核內(nèi)容與考核指標,定期對關(guān)鍵崗位人員進行審查和能力考核。（要求5。3。2。2b）角色管理數(shù)據(jù)安全過程域描述通過對大數(shù)據(jù)安全管理過程中各角色的安全管理,有效降低對組織機構(gòu)內(nèi)部的員工和第三方員工的管理過程中存在的安全風險。數(shù)據(jù)安全能力基本實踐a）組織建設：明確在人力資源

55、管理過程中承擔數(shù)據(jù)安全管理職責的崗位，該崗位負責對數(shù)據(jù)安全需求的分析及落地方案的制訂和推進.（要求5.3。3。1a）、b）、c）b）制度流程：1）建立大數(shù)據(jù)相關(guān)的安全角色,明確安全角色的分配策略和授權(quán)范圍。（要求5。3。3。1a）2）建立用戶角色及角色權(quán)限沖突的定期審查機制，及時更新用戶角色及角色權(quán)限授權(quán)信息。（要求5.3.3。1b）3）明確大數(shù)據(jù)安全相關(guān)重要崗位及其角色安全要求,建立重要崗位角色清單和授權(quán)機制。（要求5。3.1。1c）4）依照大數(shù)據(jù)業(yè)務需求和大數(shù)據(jù)系統(tǒng)架構(gòu)建立分層的角色體系、職責分離等大數(shù)據(jù)業(yè)務安全角色管理機制。（要求5。3.3。2a）5）建立用戶應用上下文感知的角色啟動、停

56、用與禁用的動態(tài)管理策略、規(guī)程和機制。（要求5.3。3。2b）c）技術(shù)工具:通過技術(shù)化手段將角色管理相關(guān)的規(guī)則與組織機構(gòu)的身份認證管理平臺進行聯(lián)動，自動化實現(xiàn)相關(guān)安全控制。（要求5。3。3。1a）、b）、c）d）人員能力:負責角色管理的人員應充分理解角色管理流程中可對安全風險進行把控的環(huán)節(jié)，通過培訓、考試等手段提升各角色人員數(shù)據(jù)安全意識水平。（要求5.3。3。1a）、b）、c）人員培訓數(shù)據(jù)安全過程域描述通過對人力培訓管理過程中各環(huán)節(jié)的管理,有效提升組織機構(gòu)內(nèi)部的員工和第三方員工的數(shù)據(jù)安全意識和數(shù)據(jù)安全能力水平。數(shù)據(jù)安全能力基本實踐a）組織建設:明確組織機構(gòu)內(nèi)部承擔人員數(shù)據(jù)安全培訓管理職責的崗位，

57、該崗位負責對數(shù)據(jù)安全培訓需求的分析及落地方案的制訂和推進。（要求5。3。4。1a）、b）、c）b）制度流程：1）制定大數(shù)據(jù)安全崗位人員的安全培訓計劃，并對培訓計劃定期審核和更新。（要求a）2）制定大數(shù)據(jù)安全關(guān)鍵崗位轉(zhuǎn)崗、崗位升級等相應的人員安全培訓計劃，并對培訓計劃定期審核和更新。（要求5。3.4.1b）3）按計劃對相關(guān)人員開展數(shù)據(jù)安全培訓，包括政策、法律、法規(guī)、標準等合規(guī)性培訓,并對培訓結(jié)果進行評價、記錄和歸檔。（要求5。3。4。1c）4）根據(jù)不同的業(yè)數(shù)據(jù)各類業(yè)務場景下的數(shù)據(jù)安全培訓計劃和培訓材料。（要求5。3。4。2a）c）技術(shù)工具：1）通過技術(shù)化手段將數(shù)據(jù)安全人員培訓相關(guān)的流程通過系統(tǒng)平

58、臺自動化實現(xiàn).（要求5.3a）、b）、c）2）通過在線的人員培訓管理平臺,量化管理人員培訓的效果。（要求5.3。4。1a）、b）c）、5.3。4。2a）d）人員能力：固化了針對員工、第三方人員進行數(shù)據(jù)安全能力培訓的環(huán)節(jié),通過培訓、考試等手段提升全體人員數(shù)據(jù)安全能力水平。（要求5。3。4.1a）、b）、c）、5。3。4.2a）業(yè)務規(guī)劃與管理戰(zhàn)略規(guī)劃數(shù)據(jù)安全過程域描述通過建立組織層面大數(shù)據(jù)安全戰(zhàn)略規(guī)劃體系,保證大數(shù)據(jù)戰(zhàn)略規(guī)劃與組織機構(gòu)的大數(shù)據(jù)業(yè)務規(guī)劃相適應。數(shù)據(jù)安全能力基本實踐a）組織建設：設立專門的大數(shù)據(jù)戰(zhàn)略規(guī)劃崗位,負責對制定組織機構(gòu)整體的戰(zhàn)略規(guī)劃并推進階段性的規(guī)劃執(zhí)行；同時，設立大數(shù)據(jù)安全戰(zhàn)

59、略規(guī)劃評估小組，負責機構(gòu)安全規(guī)劃評估，確保大數(shù)據(jù)安全策略、安全目標和戰(zhàn)略規(guī)劃內(nèi)容的合規(guī)性.（要求5.4。1.1c）b）制度流程：1）依據(jù)機構(gòu)大數(shù)據(jù)安全戰(zhàn)略規(guī)劃目標，制定大數(shù)據(jù)安全規(guī)劃各階段目標、任務和工作重點,并對戰(zhàn)略規(guī)劃目標和安全規(guī)劃實施過程進行監(jiān)督與控制。（要求5.4。1。1b）2）建立大數(shù)據(jù)安全管理綱領(lǐng)性文件，包括但不限于:數(shù)據(jù)治理、數(shù)據(jù)質(zhì)量、元數(shù)據(jù),以及平臺與應用安全相關(guān)的數(shù)據(jù)所有權(quán)、數(shù)據(jù)開放與共享等安全策略。（要求5。4。1。2b）3）建立大數(shù)據(jù)安全規(guī)劃動態(tài)調(diào)整制度,并通過信息化平臺進行管理。（要求5。4。1。2a）c）技術(shù)工具：1）建立組織機構(gòu)統(tǒng)一的信息化平臺對大數(shù)據(jù)安全戰(zhàn)略規(guī)劃面

60、向組織機構(gòu)內(nèi)部全員進行發(fā)布,以該信息可被全員所知悉.（要求5.4。1。1a）、b）、c）2）通過組織機構(gòu)的信息化平臺執(zhí)行對大數(shù)據(jù)安全規(guī)劃的動態(tài)管理。（要求5.4.1.2a）d）人員能力:負責該項工作的人員均具有戰(zhàn)略規(guī)劃能力，并對組織機構(gòu)的數(shù)據(jù)安全管理的業(yè)務需求有充分的理解，通過培訓和宣傳等手段實現(xiàn)各業(yè)務的數(shù)據(jù)管理人員對戰(zhàn)略規(guī)劃的一致性理解。（要求5.4.1。1a）、b）、c）需求分析數(shù)據(jù)安全過程域描述通過建立針對組織機構(gòu)業(yè)務的大數(shù)據(jù)安全需求分析體系，分析組織機構(gòu)內(nèi)大數(shù)據(jù)業(yè)務的安全需求.數(shù)據(jù)安全能力基本實踐a）組織建設:針對開展大數(shù)據(jù)業(yè)務的團隊均設立了對應的安全需求分析的崗位，負責在大數(shù)據(jù)業(yè)務規(guī)