《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》_第1頁
《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》_第2頁
《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》_第3頁
《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》_第4頁
《信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型》_第5頁
已閱讀5頁,還剩49頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

GB/TXXXXX—XXXX

信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型

1范圍

本標(biāo)準(zhǔn)基于大數(shù)據(jù)環(huán)境下電子化數(shù)據(jù)在組織機(jī)構(gòu)業(yè)務(wù)場景中的數(shù)據(jù)生命周期,從組織建設(shè)、制度流

程、技術(shù)工具以及人員能力四個(gè)方面構(gòu)建了數(shù)據(jù)安全過程的規(guī)范性數(shù)據(jù)安全能力成熟度分級(jí)模型及其評(píng)

估方法。

本標(biāo)準(zhǔn)適用于組織機(jī)構(gòu)數(shù)據(jù)安全能力的自身評(píng)估,也適用于第三方機(jī)構(gòu)對(duì)組織機(jī)構(gòu)的數(shù)據(jù)安全保障

能力進(jìn)行評(píng)估。

2規(guī)范性引用文件

下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅所注日期的版本適用于本文

件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。

GB/T25069—2010信息安全技術(shù)術(shù)語

GB/T20261—2006信息安全技術(shù)系統(tǒng)安全工程-能力成熟度模型

GB/TAAAAA—AAAA信息技術(shù)大數(shù)據(jù)術(shù)語

GB/TBBBBB—BBBB信息技術(shù)大數(shù)據(jù)參考框架

GB/TCCCCC—CCCC信息安全技術(shù)個(gè)人信息安全規(guī)范

GB/TDDDDD—DDDD信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求

GB/TEEEEE—EEEE信息技術(shù)數(shù)據(jù)管理能力成熟度模型

3術(shù)語、定義和縮略語

GB/T25069—2010中界定的以及下列術(shù)語和定義適用于本文件。

3.1術(shù)語和定義

3.1.1

3.1.2數(shù)據(jù)安全datasecurity

以數(shù)據(jù)為中心的安全,保護(hù)數(shù)據(jù)的可用性、完整性和機(jī)密性。

注:本標(biāo)準(zhǔn)是從組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對(duì)組織機(jī)構(gòu)的數(shù)據(jù)進(jìn)行安全保

護(hù)。

3.1.3

3.1.4數(shù)據(jù)安全能力datasecuritycapability

組織機(jī)構(gòu)在組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對(duì)數(shù)據(jù)的安全保障能力。

3.1.5

3.1.6成熟度maturity

對(duì)一個(gè)組織的有條理的持續(xù)改進(jìn)能力的度量,對(duì)實(shí)現(xiàn)特定過程的連續(xù)性、可持續(xù)性、有效性和可信

度的度量。

1

GB/TXXXXX—XXXX

3.1.7

3.1.8成熟度模型maturitymodel

對(duì)一個(gè)組織機(jī)構(gòu)的成熟度進(jìn)行度量的模型,包括一系列的代表能力和進(jìn)展的特征、屬性、指示或是

模式。模型的內(nèi)容通常是最佳實(shí)踐的舉例說明。成熟度模型提供一個(gè)組織機(jī)構(gòu)衡量其當(dāng)前的實(shí)踐、流程、

方法的能力水平的基準(zhǔn),并設(shè)置提升的目標(biāo)和優(yōu)先級(jí)。當(dāng)一個(gè)模型被廣泛應(yīng)用于某個(gè)特定的行業(yè),這個(gè)

行業(yè)可以基于模型,來評(píng)估本行業(yè)的組織機(jī)構(gòu)的成熟度等級(jí)。

3.1.9

3.1.10組織機(jī)構(gòu)organization

安排了責(zé)任、權(quán)利和關(guān)系的一組人員和設(shè)施。

3.1.11

3.1.12安全過程域securityprocessarea

實(shí)現(xiàn)同一安全目標(biāo)的一系列數(shù)據(jù)安全相關(guān)活動(dòng)、過程的集合。

3.1.13

3.1.14數(shù)據(jù)脫敏datadesensitization

通過模糊化等方法對(duì)原始數(shù)據(jù)的處理,達(dá)到屏蔽敏感信息的一種數(shù)據(jù)保護(hù)方法。

3.1.15

3.1.16數(shù)據(jù)產(chǎn)品dataproduct

直接或間接使用數(shù)據(jù)的產(chǎn)品,包括但不限于能訪問原始數(shù)據(jù),提供數(shù)據(jù)計(jì)算、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)交換、

數(shù)據(jù)分析、數(shù)據(jù)挖掘、數(shù)據(jù)展示等應(yīng)用的軟件產(chǎn)品。

3.1.17

3.1.18數(shù)據(jù)加工dataprocessing

對(duì)原始數(shù)據(jù)進(jìn)行抽取、轉(zhuǎn)換、加載的過程;包括開發(fā)數(shù)據(jù)產(chǎn)品或數(shù)據(jù)分析。

3.1.19

3.1.20合規(guī)compliance

對(duì)數(shù)據(jù)所適用的法律法規(guī)的遵循。

3.2縮略語

下列縮略語適用于本標(biāo)準(zhǔn):

ACL訪問控制列表(AccessControlList)

CMM能力成熟度模型(CapabilityMaturityModel)

DDOS分布式拒絕服務(wù)(DistributedDenialofService)

DLP數(shù)據(jù)防泄漏(DataLossPrevetion)

TLS傳輸層安全(TransportLayerSecurity)

SSL安全套接層(SecureSocketsLayer)

4數(shù)據(jù)安全能力成熟度模型架構(gòu)

4.1模型架構(gòu)

本標(biāo)準(zhǔn)借鑒能力成熟度模型(CMM)的思想,以CMM的通用實(shí)踐來衡量能力成熟度等級(jí),以《信息安

全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》中的安全要求為基礎(chǔ),指導(dǎo)組織機(jī)構(gòu)如何持續(xù)達(dá)到所對(duì)應(yīng)的安全要

求。數(shù)據(jù)安全能力成熟度模型的模型架構(gòu)由以下三方面構(gòu)成(如圖1所示):

——數(shù)據(jù)生命周期安全:圍繞數(shù)據(jù)生命周期,提煉出大數(shù)據(jù)環(huán)境下,以數(shù)據(jù)為中心,針對(duì)數(shù)據(jù)生命

周期各階段建立的相關(guān)數(shù)據(jù)安全過程域體系。

2

GB/TXXXXX—XXXX

——安全能力維度:明確組織機(jī)構(gòu)在各數(shù)據(jù)安全領(lǐng)域所需要具備的能力維度,明確為制度流程、人

員能力、組織建設(shè)和技術(shù)工具四個(gè)關(guān)鍵能力的維度。

——能力成熟度等級(jí):基于統(tǒng)一的分級(jí)標(biāo)準(zhǔn),細(xì)化組織機(jī)構(gòu)在各數(shù)據(jù)安全過程域的5個(gè)級(jí)別的能力

成熟度分級(jí)要求。

圖1數(shù)據(jù)安全能力成熟度模型架構(gòu)

對(duì)于圖1的模型架構(gòu)的說明如下:

1)基于電子數(shù)據(jù)在組織機(jī)構(gòu)內(nèi)的數(shù)據(jù)生命周期,明確定義各階段特定的數(shù)據(jù)安全過程域和數(shù)據(jù)生

命周期通用的安全過程域。各階段特定的數(shù)據(jù)安全過程域,包括數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)

處理、數(shù)據(jù)交換和數(shù)據(jù)銷毀這六個(gè)階段中,各階段特定的數(shù)據(jù)安全過程域。數(shù)據(jù)生命周期通用的安全過

程域,是與各個(gè)生命周期都相關(guān)的,通用的數(shù)據(jù)安全過程域,比如策略與規(guī)程、合規(guī)性管理等方面。

2)本標(biāo)準(zhǔn)對(duì)組織機(jī)構(gòu)的數(shù)據(jù)安全保障能力的成熟度的分級(jí)評(píng)估,是基于各成熟度等級(jí)下的數(shù)據(jù)安

全能力通用實(shí)踐所定義的分級(jí)評(píng)估方法,對(duì)各階段特定的數(shù)據(jù)安全基本實(shí)踐和數(shù)據(jù)生命周期通用的安全

基本實(shí)踐的實(shí)現(xiàn)的成熟度等級(jí)進(jìn)行評(píng)估。

4.2數(shù)據(jù)生命周期安全

4.2.1數(shù)據(jù)生命周期

基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織機(jī)構(gòu)業(yè)務(wù)中的流轉(zhuǎn)情況,定義了數(shù)據(jù)生命周期的6個(gè)階段,具體各階

段的定義如下:

——數(shù)據(jù)采集:指新的數(shù)據(jù)產(chǎn)生或現(xiàn)有數(shù)據(jù)內(nèi)容發(fā)生顯著改變或更新的階段。對(duì)于組織機(jī)構(gòu)而言,

數(shù)據(jù)的采集既包含在組織機(jī)構(gòu)內(nèi)部系統(tǒng)中生成的數(shù)據(jù)也包含組織機(jī)構(gòu)從外部采集的數(shù)據(jù)。

——數(shù)據(jù)存儲(chǔ):指非動(dòng)態(tài)數(shù)據(jù)以任何數(shù)字格式進(jìn)行物理存儲(chǔ)的階段。

——數(shù)據(jù)處理:指組織機(jī)構(gòu)在內(nèi)部針對(duì)動(dòng)態(tài)數(shù)據(jù)進(jìn)行的一系列活動(dòng)的組合。

——數(shù)據(jù)傳輸:指數(shù)據(jù)在組織機(jī)構(gòu)內(nèi)部從一個(gè)實(shí)體通過網(wǎng)絡(luò)流動(dòng)到另一個(gè)實(shí)體的過程。

3

GB/TXXXXX—XXXX

——數(shù)據(jù)交換:指數(shù)據(jù)經(jīng)由組織機(jī)構(gòu)內(nèi)部與外部組織機(jī)構(gòu)及個(gè)人交互過程中提供數(shù)據(jù)的階段。

——數(shù)據(jù)銷毀:指通過對(duì)數(shù)據(jù)及數(shù)據(jù)的存儲(chǔ)介質(zhì)通過相應(yīng)的操作手段,使數(shù)據(jù)徹底丟失且無法通過

任何手段恢復(fù)的過程。

特定的數(shù)據(jù)所經(jīng)歷的生命周期由實(shí)際的業(yè)務(wù)場景所決定,并非所有的數(shù)據(jù)都會(huì)完整的經(jīng)歷六個(gè)階段。

4.2.2數(shù)據(jù)安全過程域體系

安全過程域體系覆蓋數(shù)據(jù)生命周期的六個(gè)階段,包含各生命周期階段通用的安全過程域和各生命周

期階段下的安全過程域,如圖2所示。

圖2數(shù)據(jù)安全過程域體系

4.3安全能力維度

4.3.1能力構(gòu)成

通過對(duì)各項(xiàng)安全過程所需具備安全能力的量化,可供組織機(jī)構(gòu)評(píng)估每項(xiàng)安全過程的實(shí)現(xiàn)能力。安全

能力從組織建設(shè)、制度流程、技術(shù)工具及人員能力四個(gè)維度展開。

——組織建設(shè):數(shù)據(jù)安全組織機(jī)構(gòu)的架構(gòu)建立、職責(zé)分配和溝通協(xié)作。

——制度流程:組織機(jī)構(gòu)關(guān)鍵數(shù)據(jù)安全領(lǐng)域的制度規(guī)范和流程落地建設(shè)。

——技術(shù)工具:通過技術(shù)手段和產(chǎn)品工具固化安全要求或自動(dòng)化實(shí)現(xiàn)安全工作。

——人員能力:執(zhí)行數(shù)據(jù)安全工作的人員的意識(shí)及專業(yè)能力。

4.3.2組織建設(shè)

從承擔(dān)數(shù)據(jù)安全工作的組織機(jī)構(gòu)建設(shè)應(yīng)具備的能力出發(fā),從以下方面進(jìn)行能力的級(jí)別區(qū)分:

——數(shù)據(jù)安全組織架構(gòu)對(duì)組織業(yè)務(wù)的適用性;

——數(shù)據(jù)安全組織機(jī)構(gòu)承擔(dān)的工作職責(zé)的明確性;

——數(shù)據(jù)安全組織機(jī)構(gòu)運(yùn)作、溝通協(xié)調(diào)的有效性。

4.3.3制度流程

從組織機(jī)構(gòu)在數(shù)據(jù)安全層面的制度流程建設(shè),以及制度流程的執(zhí)行情況出發(fā),從以下維度進(jìn)行能力

的級(jí)別區(qū)分:

4

GB/TXXXXX—XXXX

——數(shù)據(jù)生命周期關(guān)鍵控制節(jié)點(diǎn)授權(quán)審批流程的明確性;

——相關(guān)流程制度的制定、發(fā)布、修訂的規(guī)范性;

——安全要求及流程落地執(zhí)行的一致性和有效性。

4.3.4技術(shù)工具

從組織機(jī)構(gòu)用于開展數(shù)據(jù)安全工作的安全技術(shù)、應(yīng)用系統(tǒng)和自動(dòng)化工具出發(fā),從以下維度進(jìn)行能力

的級(jí)別區(qū)分:

——數(shù)據(jù)安全技術(shù)在數(shù)據(jù)全生命周期過程中的利用情況,針對(duì)數(shù)據(jù)全生命周期安全風(fēng)險(xiǎn)的檢測及響

應(yīng)能力;

——利用技術(shù)工具對(duì)數(shù)據(jù)安全工作的自動(dòng)化支持能力,對(duì)數(shù)據(jù)安全制度流程的固化執(zhí)行能力。

4.3.5人員能力

從組織機(jī)構(gòu)內(nèi)部承擔(dān)數(shù)據(jù)安全工作的人員應(yīng)具備的能力出發(fā),從以下維度進(jìn)行能力的級(jí)別區(qū)分:

——數(shù)據(jù)安全人員所具備的數(shù)據(jù)安全能力是否能夠滿足復(fù)合型能力要求(對(duì)數(shù)據(jù)相關(guān)業(yè)務(wù)的理解力

以及專業(yè)安全能力);

——數(shù)據(jù)安全人員的數(shù)據(jù)安全意識(shí)以及關(guān)鍵數(shù)據(jù)安全崗位員工的數(shù)據(jù)安全能力的培養(yǎng)。

4.4成熟度等級(jí)定義

組織機(jī)構(gòu)的數(shù)據(jù)安全能力成熟度模型具有5個(gè)成熟度等級(jí),成熟度等級(jí)的定義如下:

——等級(jí)1(非正式執(zhí)行),是指具備隨機(jī)、無序、被動(dòng)的安全過程;

——等級(jí)2(計(jì)劃跟蹤),是指具備主動(dòng)、非體系化的安全過程;

——等級(jí)3(充分定義),是指具備正式的規(guī)范的安全過程;

——等級(jí)4(量化控制),是指安全過程可量化;

——等級(jí)5(持續(xù)優(yōu)化),是指安全過程可持續(xù)優(yōu)化。

5數(shù)據(jù)安全能力通用實(shí)踐

5.1能力級(jí)別1—非正式執(zhí)行

5.1.1能力等級(jí)描述

在這一級(jí)別,數(shù)據(jù)安全過程域的基本實(shí)踐通常被執(zhí)行。但基本實(shí)踐的執(zhí)行可能未經(jīng)嚴(yán)格的計(jì)劃和跟

蹤,而是基于個(gè)人的知識(shí)和努力。組織機(jī)構(gòu)內(nèi)的個(gè)人可標(biāo)識(shí)出一個(gè)數(shù)據(jù)安全過程應(yīng)被執(zhí)行,并同意這個(gè)

數(shù)據(jù)安全過程會(huì)在需要時(shí)執(zhí)行。

該能力級(jí)別包含如下公共特征:

公共特征1.1—執(zhí)行基本實(shí)踐。

5.1.2公共特征1.1—執(zhí)行基本實(shí)踐

5.1.2.1公共特征描述

此公共特征的通用實(shí)踐只是保證過程域的基本實(shí)踐以某種方式執(zhí)行。但是,數(shù)據(jù)安全管理的一致性、

性能和質(zhì)量會(huì)因缺乏適當(dāng)控制而存在極大的差異。

5

GB/TXXXXX—XXXX

組織機(jī)構(gòu)在數(shù)據(jù)安全過程域未有效的執(zhí)行相關(guān)工作,僅在部分業(yè)務(wù)場景中/項(xiàng)目執(zhí)行過程中根據(jù)臨

時(shí)的需求執(zhí)行了相關(guān)工作,卻未形成成熟的機(jī)制保證相關(guān)工作的持續(xù)有效進(jìn)行,執(zhí)行相關(guān)工作的人員能

力也未得到有效的保障。所執(zhí)行的過程可稱為“非正式過程”。

5.1.2.2組織建設(shè)

未針對(duì)數(shù)據(jù)安全過程域的工作開展建立數(shù)據(jù)安全相關(guān)的團(tuán)隊(duì)/崗位和職責(zé)。

5.1.2.3制度流程

未建立與數(shù)據(jù)安全過程域相關(guān)的數(shù)據(jù)安全工作相關(guān)的制度流程,數(shù)據(jù)安全工作的開展多為對(duì)特定業(yè)

務(wù)需求的響應(yīng)而觸發(fā)。

5.1.2.4技術(shù)工具

未部署技術(shù)工具以固化數(shù)據(jù)安全制度流程和提升數(shù)據(jù)安全能力。

5.1.2.5人員能力

未安排具備數(shù)據(jù)安全過程域相關(guān)知識(shí)背景的人參與到數(shù)據(jù)安全保障工作中。

5.2能力級(jí)別2—計(jì)劃跟蹤

在這一級(jí)別上,過程域基本實(shí)踐的執(zhí)行是經(jīng)計(jì)劃并被跟蹤的,并對(duì)實(shí)踐情況進(jìn)行驗(yàn)證。數(shù)據(jù)安全管

理應(yīng)符合指定的標(biāo)準(zhǔn)和需求。通過測量來跟蹤過程域的執(zhí)行情況,因此,使組織機(jī)構(gòu)能夠基于實(shí)際實(shí)踐

活動(dòng)進(jìn)行管理。與非正式實(shí)踐級(jí)別間的主要區(qū)別是過程實(shí)踐被計(jì)劃和管理。

該能力級(jí)別包含如下公共特征:

公共特征2.1—規(guī)劃執(zhí)行;

公共特征2.2—規(guī)范化執(zhí)行;

公共特征2.3—驗(yàn)證執(zhí)行;

公共特征2.4—跟蹤執(zhí)行。

5.2.1公共特征2.1—規(guī)劃執(zhí)行

5.2.1.1公共特征描述

該公共特征的基本實(shí)踐集中在過程域以及相關(guān)的基本實(shí)踐執(zhí)行的規(guī)劃方面,因而涉及到過程文檔的

編制,過程工具的提供,過程實(shí)踐的計(jì)劃,規(guī)劃執(zhí)行的培訓(xùn),過程資源的分配以及過程執(zhí)行的責(zé)任分配。

這些通用實(shí)踐為規(guī)范化的過程執(zhí)行提供了最根本的基礎(chǔ)。

5.2.1.2組織建設(shè)

基于數(shù)據(jù)安全過程域的內(nèi)容,規(guī)劃關(guān)鍵數(shù)據(jù)安全管理的團(tuán)隊(duì)/崗位所需要的任務(wù)和責(zé)任,該團(tuán)隊(duì)/

崗位主要負(fù)責(zé)對(duì)數(shù)據(jù)安全過程域中的關(guān)鍵安全管理規(guī)則的制定。任務(wù)和責(zé)任應(yīng)規(guī)定到,包括內(nèi)部、外部

的和過程實(shí)踐相關(guān)的所有相關(guān)方。

5.2.1.3制度流程

以數(shù)據(jù)為中心建立數(shù)據(jù)安全制度流程,并將數(shù)據(jù)安全制度流程形成標(biāo)準(zhǔn)化文檔,并通過技術(shù)工具進(jìn)

行固化,使制度流程按照設(shè)計(jì)的方式執(zhí)行。在此模型中,一個(gè)組織機(jī)構(gòu)或一個(gè)項(xiàng)目中的過程無需與過程

域一一對(duì)應(yīng)。因此,覆蓋一個(gè)過程域的過程可能可以以不止一種方式進(jìn)行描述(例如以政策、標(biāo)準(zhǔn)等方

式),一個(gè)過程描述可能包含不止一個(gè)過程域。

6

GB/TXXXXX—XXXX

對(duì)數(shù)據(jù)安全制度流程的實(shí)踐進(jìn)行規(guī)劃,和對(duì)數(shù)據(jù)安全工程和項(xiàng)目類的過程域規(guī)劃可以按照項(xiàng)目計(jì)劃

的形式存在,而組織類的計(jì)劃可以在組織機(jī)構(gòu)層面上進(jìn)行。

5.2.1.4技術(shù)工具

規(guī)劃為執(zhí)行數(shù)據(jù)安全過程域基本實(shí)踐所需要的技術(shù)工具,來確保數(shù)據(jù)安全過程的執(zhí)行。

為支持?jǐn)?shù)據(jù)安全過程域的規(guī)劃執(zhí)行提供適當(dāng)?shù)墓ぞ摺?/p>

5.2.1.5人員能力

為執(zhí)行數(shù)據(jù)安全過程域基本實(shí)踐規(guī)劃充分的人力資源,分配其所需要的任務(wù)和責(zé)任,規(guī)劃適當(dāng)?shù)呐?/p>

訓(xùn),來確保過程的執(zhí)行。

5.2.2公共特征2.2—規(guī)范化執(zhí)行

5.2.2.1公共特征描述

該公共特征的通用實(shí)踐注重于對(duì)過程實(shí)踐的控制程度,需要使用過程執(zhí)行計(jì)劃、執(zhí)行基于標(biāo)準(zhǔn)和程

序的過程、對(duì)數(shù)據(jù)安全過程實(shí)施配置管理等。這些通用實(shí)踐構(gòu)成了驗(yàn)證數(shù)據(jù)安全過程執(zhí)行的重要基礎(chǔ)。

5.2.2.2組織建設(shè)

基于數(shù)據(jù)安全過程域的內(nèi)容,分配在數(shù)據(jù)安全過程域中所涉及的承擔(dān)關(guān)鍵數(shù)據(jù)安全管理職責(zé)的團(tuán)隊(duì)

/崗位,該團(tuán)隊(duì)/崗位主要負(fù)責(zé)對(duì)數(shù)據(jù)安全過程域中的關(guān)鍵安全管理規(guī)則的落實(shí)。

5.2.2.3制度流程

針對(duì)該數(shù)據(jù)安全過程域中的關(guān)鍵的風(fēng)險(xiǎn)點(diǎn)提出了相應(yīng)的安全要求,并將相應(yīng)的要求以制度流程的形

式進(jìn)行了文檔化。

對(duì)數(shù)據(jù)安全制度流程進(jìn)行規(guī)范化執(zhí)行,在執(zhí)行過程域中,使用文檔化的計(jì)劃、標(biāo)準(zhǔn)指導(dǎo)實(shí)踐?;?/p>

過程描述執(zhí)行的過程稱為“描述的過程”。

將數(shù)據(jù)安全制度流程實(shí)施配置管理,進(jìn)行版本控制和/或變更控制。配置管理可視項(xiàng)目具體情況,

組織機(jī)構(gòu)可采用工具和/或人工方式。配置管理應(yīng)提前做好規(guī)劃。

5.2.2.4技術(shù)工具

根據(jù)行業(yè)內(nèi)對(duì)相關(guān)數(shù)據(jù)安全過程域的技術(shù)產(chǎn)品的普及度,以及組織機(jī)構(gòu)內(nèi)實(shí)現(xiàn)自動(dòng)化安全控制的可

行性,組織機(jī)構(gòu)已經(jīng)優(yōu)先采用了普及度較高的技術(shù)工具或執(zhí)行了可行度較高的自動(dòng)化安全控制。

5.2.2.5人員能力

從事數(shù)據(jù)安全過程域相關(guān)工作的人員具備對(duì)該數(shù)據(jù)安全過程域的關(guān)鍵風(fēng)險(xiǎn)的安全管理的背景知識(shí)

和規(guī)范化執(zhí)行數(shù)據(jù)安全過程的能力。

5.2.3公共特征2.3—驗(yàn)證執(zhí)行

5.2.3.1公共特征描述

該公共特征的通用實(shí)踐注重于確認(rèn)過程按預(yù)定的方式執(zhí)行。因此這個(gè)通用實(shí)踐涉及到驗(yàn)證執(zhí)行過程

與可應(yīng)用的計(jì)劃是一致的,以及對(duì)數(shù)據(jù)安全過程的審計(jì)。這些通用實(shí)踐構(gòu)成了跟蹤過程實(shí)踐能力的重要

基礎(chǔ)。

7

GB/TXXXXX—XXXX

5.2.3.2組織建設(shè)

基于數(shù)據(jù)安全過程域的內(nèi)容,分析在數(shù)據(jù)安全過程域中所涉及的承擔(dān)關(guān)鍵數(shù)據(jù)安全管理職責(zé)的團(tuán)隊(duì)

/崗位,該團(tuán)隊(duì)/崗位主要負(fù)責(zé)對(duì)數(shù)據(jù)安全過程域中的關(guān)鍵安全管理規(guī)則的制定。

驗(yàn)證組織機(jī)構(gòu)的團(tuán)隊(duì)/崗位與可用標(biāo)準(zhǔn)、需求及測量目標(biāo)的一致性。對(duì)于組織建設(shè)的驗(yàn)證過程和審

計(jì)活動(dòng)應(yīng)在計(jì)劃中進(jìn)行定義。

5.2.3.3制度流程

驗(yàn)證制度流程與可用標(biāo)準(zhǔn)、需求及測量目標(biāo)的一致性。對(duì)于制度流程的驗(yàn)證過程和審計(jì)活動(dòng)應(yīng)在計(jì)

劃中進(jìn)行定義。

5.2.3.4技術(shù)工具

驗(yàn)證支撐數(shù)據(jù)安全過程的技術(shù)工具與可用標(biāo)準(zhǔn)、需求及測量目標(biāo)的一致性。對(duì)于技術(shù)工具的驗(yàn)證過

程和審計(jì)活動(dòng)應(yīng)在計(jì)劃中進(jìn)行定義。

5.2.3.5人員能力

驗(yàn)證人員能力與可用標(biāo)準(zhǔn)、需求及測量目標(biāo)的一致性。對(duì)于人員能力的驗(yàn)證過程和審計(jì)活動(dòng)應(yīng)在計(jì)

劃中進(jìn)行定義。

5.2.4公共特征2.4—跟蹤執(zhí)行

5.2.4.1公共特征描述

該公共特征的通用實(shí)踐注重于控制數(shù)據(jù)安全項(xiàng)目進(jìn)展的能力。因此,該過程通過可測量的計(jì)劃跟蹤

過程執(zhí)行,當(dāng)過程實(shí)踐與計(jì)劃產(chǎn)生重大偏離時(shí)采取修正行動(dòng)。這些通用實(shí)踐形成了達(dá)到充分定義過程能

力的根本基礎(chǔ)。

5.2.4.2組織建設(shè)

對(duì)數(shù)據(jù)安全工作相關(guān)的組織建設(shè)定期進(jìn)行跟蹤,通過測量來檢查跟蹤數(shù)據(jù)安全組織建設(shè)工作執(zhí)行的

狀態(tài),并建立對(duì)項(xiàng)目級(jí)別的組織建設(shè)測量的歷史記錄。

當(dāng)數(shù)據(jù)安全組織機(jī)構(gòu)與計(jì)劃的數(shù)據(jù)安全組織機(jī)構(gòu)之間有重大差別時(shí)適當(dāng)?shù)夭扇⌒拚胧?。進(jìn)展可能

由于估算的不精確、實(shí)踐受外部因素的影響、作為計(jì)劃基礎(chǔ)的需求變動(dòng)而與計(jì)劃發(fā)生偏離。修正措施可

能包括改變組織架構(gòu)與職責(zé),改變計(jì)劃,或二者兼有。

5.2.4.3制度流程

對(duì)數(shù)據(jù)安全工作相關(guān)的制度流程定期進(jìn)行跟蹤,通過測量來檢查跟蹤數(shù)據(jù)安全制度流程工作執(zhí)行的

狀態(tài),并建立對(duì)制度流程的測量歷史記錄。

當(dāng)數(shù)據(jù)安全制度流程與計(jì)劃的數(shù)據(jù)安全制度流程間有重大差別時(shí)適當(dāng)?shù)夭扇⌒拚胧?。進(jìn)展可能由

于估算的不精確、實(shí)踐受外部因素的影響、作為計(jì)劃基礎(chǔ)的需求變動(dòng)而與計(jì)劃發(fā)生偏離。修正措施可能

包括改變制度流程,改變計(jì)劃,或二者兼有。

5.2.4.4技術(shù)工具

對(duì)數(shù)據(jù)安全工作相關(guān)的技術(shù)工具定期進(jìn)行跟蹤,通過測量來檢查跟蹤數(shù)據(jù)安全技術(shù)工具的狀態(tài),并

建立對(duì)技術(shù)工具的測量歷史記錄。

8

GB/TXXXXX—XXXX

當(dāng)技術(shù)工具與計(jì)劃執(zhí)行的效果有重大差別時(shí)適當(dāng)?shù)夭扇⌒拚胧?。進(jìn)展可能由于估算的不精確、實(shí)

踐受外部因素的影響、作為計(jì)劃基礎(chǔ)的需求變動(dòng)而與計(jì)劃發(fā)生偏離。修正措施可能包括改變技術(shù)工具,

改變計(jì)劃,或二者兼有。

5.2.4.5人員能力

對(duì)數(shù)據(jù)安全工作相關(guān)的人員能力定期進(jìn)行跟蹤,通過測量來檢查跟蹤數(shù)據(jù)安全人員能力的狀態(tài),并

建立對(duì)人員能力的測量歷史記錄。

當(dāng)數(shù)據(jù)安全人員能力與計(jì)劃的人員能力間有重大差別時(shí)適當(dāng)?shù)夭扇⌒拚胧?。進(jìn)展可能由于估算的

不精確、實(shí)踐受外部因素的影響、作為計(jì)劃基礎(chǔ)的需求變動(dòng)而與計(jì)劃發(fā)生偏離。修正措施可能包括改變

人員能力,改變計(jì)劃,或二者兼有。

5.3能力級(jí)別3—充分定義

在這一級(jí)別,基本實(shí)踐按照充分定義的過程執(zhí)行。充分定義的過程是依據(jù)對(duì)文檔化的標(biāo)準(zhǔn)過程進(jìn)行

裁剪并經(jīng)批準(zhǔn)的過程版本。這一過程與計(jì)劃跟蹤級(jí)的主要區(qū)別在于利用組織機(jī)構(gòu)范圍內(nèi)的過程標(biāo)準(zhǔn)來管

理和規(guī)劃。

該能力級(jí)別包括以下公共特征:

公共特征3.1—定義標(biāo)準(zhǔn)過程;

公共特征3.2—執(zhí)行已定義的過程;

公共特征3.3—協(xié)調(diào)安全實(shí)踐。

5.3.1公共特征—定義標(biāo)準(zhǔn)過程

5.3.1.1公共特征

該公共特征的通用實(shí)踐注重于組織機(jī)構(gòu)標(biāo)準(zhǔn)過程的制度化。過程制度化的起因和基礎(chǔ)可能是一個(gè)或

多個(gè)相似過程在特定項(xiàng)目中的成功應(yīng)用。一個(gè)組織機(jī)構(gòu)的標(biāo)準(zhǔn)過程可能需要適合特定環(huán)境的使用,所以

也應(yīng)考慮到如何進(jìn)行裁剪。因此,要為組織機(jī)構(gòu)定義標(biāo)準(zhǔn)化的過程文檔,要為滿足特定用途對(duì)標(biāo)準(zhǔn)過程

進(jìn)行裁剪。這些通用過程形成了執(zhí)行已定義過程必要的基礎(chǔ)。

5.3.1.2組織建設(shè)

組織機(jī)構(gòu)設(shè)立了實(shí)體或虛擬的團(tuán)隊(duì),該團(tuán)隊(duì)主要負(fù)責(zé)針對(duì)該數(shù)據(jù)安全域建立有效的安全保護(hù)機(jī)制,

包括但不限于建立組織機(jī)構(gòu)統(tǒng)一的安全管理策略、制度和流程,并制定并面向組織機(jī)構(gòu)范圍內(nèi)提供整體

的技術(shù)標(biāo)準(zhǔn)解決方案。

該團(tuán)隊(duì)與數(shù)據(jù)安全過程域相關(guān)的部門(如業(yè)務(wù)部門、法律部門等)共同合作,建立有效的溝通和推

進(jìn)機(jī)制。

該團(tuán)隊(duì)已明確了數(shù)據(jù)安全的組織機(jī)構(gòu)和崗位,數(shù)據(jù)安全人員的角色及其職責(zé)分配,并建立有效的工

作考核機(jī)制。

5.3.1.3制度流程

對(duì)數(shù)據(jù)安全過程域進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,并參考相關(guān)的安全管理體系的方法論,建立了適應(yīng)于組

織機(jī)構(gòu)自身在數(shù)據(jù)安全過程域的標(biāo)準(zhǔn)制度流程。

建立數(shù)據(jù)安全域的標(biāo)準(zhǔn)制度流程,包括但不限于與組織機(jī)構(gòu)結(jié)構(gòu)和數(shù)據(jù)業(yè)務(wù)相一致的安全策略、具

有明確管控要求的制度規(guī)范、用于相關(guān)管控要求落地的流程、指導(dǎo)整體工作執(zhí)行的實(shí)施指南。

9

GB/TXXXXX—XXXX

組織機(jī)構(gòu)針對(duì)該數(shù)據(jù)安全過程域的制度流程建立標(biāo)準(zhǔn)的培訓(xùn)和宣傳方案,實(shí)現(xiàn)對(duì)與該數(shù)據(jù)安全過程

域相關(guān)的團(tuán)隊(duì)和人員在對(duì)制度流程的理解上的一致性。

5.3.1.4技術(shù)工具

建立數(shù)據(jù)安全過程域相關(guān)的在線化平臺(tái)固化并記錄相關(guān)的流程,在組織機(jī)構(gòu)內(nèi)部建設(shè)、部署數(shù)據(jù)安

全技術(shù)產(chǎn)品,強(qiáng)化安全控制。

其中,與數(shù)據(jù)安全過程域強(qiáng)關(guān)聯(lián)的技術(shù)產(chǎn)品包含關(guān)鍵的產(chǎn)品功能,組織機(jī)構(gòu)內(nèi)基于具體的業(yè)務(wù)場景

實(shí)現(xiàn)了對(duì)數(shù)據(jù)安全技術(shù)產(chǎn)品的有效運(yùn)營,以保證產(chǎn)品功能對(duì)組織機(jī)構(gòu)的業(yè)務(wù)場景的適應(yīng)性。

5.3.1.5人員能力

從事數(shù)據(jù)安全工作的人員具備數(shù)據(jù)安全標(biāo)準(zhǔn)資質(zhì),具備在數(shù)據(jù)安全領(lǐng)域的工作經(jīng)驗(yàn),能夠充分理解

組織機(jī)構(gòu)在該數(shù)據(jù)安全過程域的安全風(fēng)險(xiǎn)并具備集合具體的業(yè)務(wù)場景制定風(fēng)險(xiǎn)改進(jìn)方案的能力。

5.3.2公共特征3.2—執(zhí)行已定義過程

5.3.2.1公共特征描述

該公共特征注重于充分定義過程的可重復(fù)執(zhí)行。因此提出了已定義過程的使用,針對(duì)有缺陷的過程

結(jié)果和工作產(chǎn)品的核查,過程執(zhí)行及其結(jié)果數(shù)據(jù)的使用。該通用實(shí)踐構(gòu)成了協(xié)調(diào)安全實(shí)踐的重要基礎(chǔ)。

5.3.2.2組織建設(shè)

組織機(jī)構(gòu)設(shè)立了負(fù)責(zé)針對(duì)該數(shù)據(jù)安全域執(zhí)行進(jìn)行有效安全保護(hù)的實(shí)體或虛擬的團(tuán)隊(duì)。

該團(tuán)隊(duì)與數(shù)據(jù)安全過程域相關(guān)的部門(如業(yè)務(wù)部門、法律部門等)共同合作,建立有效的溝通和推

進(jìn)機(jī)制,實(shí)現(xiàn)數(shù)據(jù)安全要求和技術(shù)落地方案在數(shù)據(jù)安全過程域相關(guān)場景下的有效推行。

該團(tuán)隊(duì)已明確了相關(guān)人員在該數(shù)據(jù)安全過程域下的專職職責(zé),建立執(zhí)行缺陷復(fù)查的檢查工作的考核

機(jī)制。

5.3.2.3制度流程

組織機(jī)構(gòu)針對(duì)該數(shù)據(jù)安全過程域的制度流程建立了有效的培訓(xùn)和宣傳方案,實(shí)現(xiàn)對(duì)與該數(shù)據(jù)安全過

程域相關(guān)的團(tuán)隊(duì)和人員在對(duì)制度流程的理解上的一致性。使用充分定義的過程,并建立專門的缺陷復(fù)查

過程域,針對(duì)過程域的適當(dāng)工作產(chǎn)品進(jìn)行缺陷復(fù)查。

5.3.2.4技術(shù)工具

針對(duì)該數(shù)據(jù)安全過程域中的安全管理要求,一方面建立相應(yīng)的在線化平臺(tái)固化并記錄相關(guān)的流程,

另一方面結(jié)合行業(yè)內(nèi)的優(yōu)秀產(chǎn)品方案在組織機(jī)構(gòu)內(nèi)部建設(shè)、部署相應(yīng)的技術(shù)產(chǎn)品,強(qiáng)化相應(yīng)的安全控制。

使用技術(shù)工具收集測量數(shù)據(jù),得到更積極的應(yīng)用并且為下一級(jí)的定量管理奠定了基礎(chǔ)。

5.3.2.5人員能力

從事數(shù)據(jù)安全工作的人員具備數(shù)據(jù)安全標(biāo)準(zhǔn)資質(zhì),具備在數(shù)據(jù)安全領(lǐng)域的工作經(jīng)驗(yàn),能夠有效執(zhí)行

已定義的數(shù)據(jù)安全過程。

從事數(shù)據(jù)安全工作的人員能夠充分理解組織機(jī)構(gòu)在該數(shù)據(jù)安全過程域的安全風(fēng)險(xiǎn),具備集合具體的

業(yè)務(wù)場景制定風(fēng)險(xiǎn)改進(jìn)方案,并執(zhí)行已制定的風(fēng)險(xiǎn)改進(jìn)方案的能力。

5.3.3公共特征3.3—協(xié)調(diào)實(shí)踐

5.3.3.1公共特征描述

10

GB/TXXXXX—XXXX

此公共特征側(cè)重于單個(gè)業(yè)務(wù)系統(tǒng)和組織活動(dòng)的協(xié)調(diào)。許多重大活動(dòng)都是由業(yè)務(wù)系統(tǒng)中的不同工作組

和代表業(yè)務(wù)系統(tǒng)的組織服務(wù)組共同完成的。缺乏協(xié)調(diào)將會(huì)導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)和不可比的結(jié)果。因此應(yīng)確

定業(yè)務(wù)系統(tǒng)內(nèi)、各業(yè)務(wù)系統(tǒng)之間、組織機(jī)構(gòu)外部活動(dòng)的協(xié)調(diào)機(jī)制。這些通用實(shí)踐是獲得定量控制過程能

力的必要基礎(chǔ)。

5.3.3.2組織建設(shè)

數(shù)據(jù)安全的組織機(jī)構(gòu)能夠協(xié)調(diào)業(yè)務(wù)系統(tǒng)內(nèi)、組織機(jī)構(gòu)的不同業(yè)務(wù)系統(tǒng)之間,以及與組織機(jī)構(gòu)外部之

間的標(biāo)準(zhǔn)執(zhí)行實(shí)踐,保證數(shù)據(jù)安全組織建設(shè)相關(guān)標(biāo)準(zhǔn)的統(tǒng)一執(zhí)行。

5.3.3.3制度流程

數(shù)據(jù)安全的制度流程能夠協(xié)調(diào)業(yè)務(wù)系統(tǒng)內(nèi)、組織機(jī)構(gòu)的不同業(yè)務(wù)系統(tǒng)之間,以及與組織機(jī)構(gòu)外部之

間的標(biāo)準(zhǔn)執(zhí)行實(shí)踐,保證數(shù)據(jù)安全制度流程相關(guān)標(biāo)準(zhǔn)的統(tǒng)一執(zhí)行。

5.3.3.4技術(shù)工具

數(shù)據(jù)安全的技術(shù)工具能夠協(xié)調(diào)業(yè)務(wù)系統(tǒng)內(nèi)、組織機(jī)構(gòu)的不同業(yè)務(wù)系統(tǒng)之間,以及與組織機(jī)構(gòu)外部之

間的標(biāo)準(zhǔn)執(zhí)行實(shí)踐。保證數(shù)據(jù)安全過程域中技術(shù)工具的安全管理標(biāo)準(zhǔn)統(tǒng)一執(zhí)行。

5.3.3.5人員能力

數(shù)據(jù)安全人員能夠協(xié)調(diào)項(xiàng)目組內(nèi)、組織機(jī)構(gòu)的不同項(xiàng)目組之間,以及與組織機(jī)構(gòu)外部之間的標(biāo)準(zhǔn)執(zhí)

行實(shí)踐。保證數(shù)據(jù)安全過程域中人員能力相關(guān)資質(zhì)管理標(biāo)準(zhǔn)的統(tǒng)一執(zhí)行。

5.4能力級(jí)別4—量化控制

這個(gè)級(jí)別收集、分析執(zhí)行的詳細(xì)測量。這將獲得對(duì)過程能力和改進(jìn)能力的量化理解以預(yù)測執(zhí)行情況。

這個(gè)級(jí)別執(zhí)行的管理是客觀的,數(shù)據(jù)安全管理的質(zhì)量是量化的。這一級(jí)與充分定義級(jí)的主要區(qū)別在于定

義的過程是定量的理解和控制。

該能力級(jí)別包括如下公共特征:

公共特征4.1—建立可測的安全目標(biāo);

公共特征4.2—客觀地管理執(zhí)行。

5.4.1公共特征4.1—建立可測的安全目標(biāo)

5.4.1.1公共特征描述

該公共特征的通用實(shí)踐側(cè)重于為組織機(jī)構(gòu)的數(shù)據(jù)安全建立可測量目標(biāo)。因此這個(gè)公共特征提出了安

全目標(biāo)的建立。這些通用實(shí)踐為客觀地執(zhí)行管理提供了必要的基礎(chǔ)。

5.4.1.2組織建設(shè)

結(jié)合組織機(jī)構(gòu)戰(zhàn)略安全目標(biāo)、業(yè)務(wù)系統(tǒng)的特定要求和優(yōu)先級(jí)或業(yè)務(wù)策略,將安全目標(biāo)分解落實(shí)到數(shù)

據(jù)安全數(shù)據(jù)安全相關(guān)的團(tuán)隊(duì)/崗位的職責(zé)中,以利于安全目標(biāo)的量化可測量、可執(zhí)行。

5.4.1.3制度流程

量化地確定已定義的過程,測量活動(dòng)要被嵌入到過程定義中。建立與數(shù)據(jù)安全過程域相關(guān)的數(shù)據(jù)安

全工作相關(guān)的制度流程,數(shù)據(jù)安全工作的開展多為對(duì)特定業(yè)務(wù)需求的響應(yīng)而觸發(fā)。

11

GB/TXXXXX—XXXX

5.4.1.4技術(shù)工具

根據(jù)定量的安全目標(biāo),對(duì)技術(shù)工具提出相應(yīng)的功能和性能需求。在已有的技術(shù)工具的基礎(chǔ)上實(shí)現(xiàn)對(duì)

關(guān)鍵數(shù)據(jù)安全能力的量化培訓(xùn)和提升。在已有的該數(shù)據(jù)安全過程域的安全技術(shù)產(chǎn)品的基礎(chǔ)上,進(jìn)一步結(jié)

合組織機(jī)構(gòu)具體的業(yè)務(wù)場景,對(duì)安全技術(shù)產(chǎn)品的功能和設(shè)置進(jìn)行更為細(xì)致化的管理,從而實(shí)現(xiàn)產(chǎn)品能力

上的更加細(xì)化的量化安全控制。

5.4.1.5人員能力

關(guān)鍵崗位的數(shù)據(jù)安全人員具備較高的數(shù)據(jù)安全能力,能夠在理解組織機(jī)構(gòu)整體數(shù)據(jù)安全目標(biāo)的基礎(chǔ)

上考慮負(fù)責(zé)的數(shù)據(jù)安全過程領(lǐng)域的安全工作開展方式。

5.4.2公共特征4.2—客觀地管理執(zhí)行

5.4.2.1公共特征描述

該公共特征的通用實(shí)踐側(cè)重于確定過程能力的量化測量并使用量化測量來管理這一過程。這個(gè)公共

特征提出了量化地確定過程能力和以量化測量作為修正行動(dòng)的基礎(chǔ)。這些通用實(shí)踐構(gòu)成了獲得持續(xù)改進(jìn)

能力的必要基礎(chǔ)。

5.4.2.2組織建設(shè)

組織機(jī)構(gòu)應(yīng)明確進(jìn)行定量執(zhí)行的工作要求,在工作團(tuán)隊(duì)中設(shè)置負(fù)責(zé)數(shù)據(jù)收集、存儲(chǔ)和分析的角色和

人員,提供相應(yīng)的資源,從而在工作中能夠客觀地監(jiān)督過程的執(zhí)行。

5.4.2.3制度流程

在過程執(zhí)行中收集測量數(shù)據(jù),對(duì)各項(xiàng)工作的執(zhí)行情況及其效果進(jìn)行客觀的度量,為過程的持續(xù)改進(jìn)

提供決策依據(jù)。

當(dāng)過程未按定義過程能力執(zhí)行時(shí),適當(dāng)?shù)夭扇⌒拚袆?dòng)?;趯?duì)過程能力的理解,識(shí)別出現(xiàn)偏差的

原因,并制定出適當(dāng)?shù)募m正、預(yù)防措施,提出何時(shí)和采取何種修正行動(dòng)。

針對(duì)組織機(jī)構(gòu)在該數(shù)據(jù)安全過程域的制度流程進(jìn)一步細(xì)化,針對(duì)所適應(yīng)的關(guān)鍵業(yè)務(wù)場景基于組織機(jī)

構(gòu)統(tǒng)一的制度流程細(xì)化成相應(yīng)的管理細(xì)則,從而提升其可落地性。制度流程的細(xì)化主要由承擔(dān)數(shù)據(jù)安全

職責(zé)的具體業(yè)務(wù)團(tuán)隊(duì)來負(fù)責(zé)并在該團(tuán)隊(duì)范圍內(nèi)進(jìn)行發(fā)布和推廣,例如基于組織機(jī)構(gòu)制定的數(shù)據(jù)對(duì)外交換

的原則,各業(yè)務(wù)團(tuán)隊(duì)可基于其相關(guān)的數(shù)據(jù)交換的業(yè)務(wù)場景中所涉及的對(duì)外交換的數(shù)據(jù),制定出詳細(xì)的適

用于該團(tuán)隊(duì)業(yè)務(wù)場景的對(duì)外數(shù)據(jù)交換的安全細(xì)則。

組織機(jī)構(gòu)進(jìn)一步關(guān)注制度流程的執(zhí)行效果,從安全要求、流程執(zhí)行的有效性方面進(jìn)行持續(xù)的跟蹤和

效果度量,從而反饋到相關(guān)制度流程的內(nèi)容修訂上。

5.4.2.4技術(shù)工具

提供技術(shù)工具支持?jǐn)?shù)據(jù)的采集、存儲(chǔ)、分析和管理等工作。

5.4.2.5人員能力

關(guān)鍵崗位的數(shù)據(jù)安全人員具備客觀地管理執(zhí)行的意識(shí)和能力,自覺地根據(jù)制度流程要求,采用技術(shù)

工具進(jìn)行數(shù)據(jù)的采集和分析。

5.5能力級(jí)別5—持續(xù)優(yōu)化

12

GB/TXXXXX—XXXX

在這個(gè)級(jí)別上,基于組織機(jī)構(gòu)的商務(wù)目標(biāo)并針對(duì)過程的有效性和執(zhí)行效率建立量化執(zhí)行目標(biāo)。通過

執(zhí)行已定義過程和有創(chuàng)建的新概念、新技術(shù)的量化反饋來保證對(duì)這些目標(biāo)進(jìn)行持續(xù)過程改進(jìn)。這一級(jí)與

定量控制級(jí)的主要區(qū)別在于已定義的過程和標(biāo)準(zhǔn)過程基于對(duì)這些過程變化效果的量化理解,進(jìn)行連續(xù)調(diào)

整和改進(jìn)。

安全過程可持續(xù)優(yōu)化,實(shí)時(shí)跟蹤行業(yè)的最佳實(shí)踐和業(yè)務(wù)的最新動(dòng)向,制度流程和技術(shù)工具持續(xù)調(diào)整

以更好適應(yīng)業(yè)務(wù)發(fā)展,沉淀下來的數(shù)據(jù)安全最佳實(shí)踐能推廣至行業(yè)供其他組織機(jī)構(gòu)借鑒。

該能力級(jí)別包括如下公共特征:

公共特征5.1—改進(jìn)組織能力;

公共特征5.2—改進(jìn)過程有效性。

5.5.1公共特征5.1—改進(jìn)組織能力

該公共特征的通用實(shí)踐注重于在整個(gè)組織機(jī)構(gòu)范圍內(nèi)標(biāo)準(zhǔn)過程的使用進(jìn)行比較和在這些不同使用

之間進(jìn)行比較。當(dāng)這些過程被使用時(shí),尋找改進(jìn)標(biāo)準(zhǔn)過程的機(jī)會(huì),分析產(chǎn)生的缺陷以標(biāo)識(shí)對(duì)標(biāo)準(zhǔn)過程的

其它可能改進(jìn)。因此,這個(gè)公共特征對(duì)過程的有效性建立了目標(biāo)、標(biāo)識(shí)對(duì)標(biāo)準(zhǔn)過程的改進(jìn)以及分析對(duì)標(biāo)

準(zhǔn)過程的可能變更。這些通用實(shí)踐構(gòu)成了改進(jìn)過程有效性的必要基礎(chǔ)。

5.5.1.1組織建設(shè)

組織架構(gòu)的設(shè)置與國際上領(lǐng)先的數(shù)據(jù)安全管理理念符合,且能更好適應(yīng)業(yè)務(wù)發(fā)展的戰(zhàn)略規(guī)劃,具備

及時(shí)調(diào)整的以促進(jìn)業(yè)務(wù)發(fā)展的能力。

5.5.1.2制度流程

為改進(jìn)過程有效性,根據(jù)組織機(jī)構(gòu)的業(yè)務(wù)目標(biāo)和當(dāng)前過程能力建立量化目標(biāo)。實(shí)時(shí)跟蹤數(shù)據(jù)安全管

理領(lǐng)域的最佳實(shí)踐和業(yè)務(wù)的最新動(dòng)向,預(yù)先判斷業(yè)務(wù)在數(shù)據(jù)安全領(lǐng)域所面臨的風(fēng)險(xiǎn),并在制度流程上進(jìn)

行持續(xù)性的優(yōu)化。通過改變組織機(jī)構(gòu)的標(biāo)準(zhǔn)過程族連續(xù)地改進(jìn)過程,從而提高過程有效性。

5.5.1.3技術(shù)工具

基于數(shù)據(jù)安全技術(shù)的最新進(jìn)展以及組織機(jī)構(gòu)沉淀下來的數(shù)據(jù)安全技術(shù)能力,結(jié)合業(yè)務(wù)發(fā)展的實(shí)際情

況引入先進(jìn)的技術(shù)工具提升數(shù)據(jù)安全控制的有效性。

5.5.1.4人員能力

密切關(guān)注國內(nèi)外最新的數(shù)據(jù)安全標(biāo)準(zhǔn)及規(guī)范,加強(qiáng)行業(yè)領(lǐng)域內(nèi)的專家交流,結(jié)合本組織機(jī)構(gòu)的特點(diǎn)

合理優(yōu)化并組織機(jī)構(gòu)內(nèi)的數(shù)據(jù)安全解決方案。

5.5.2公共特征5.2—改進(jìn)過程有效性

該公共特征的通用實(shí)踐注重于制定處于連續(xù)受控改進(jìn)狀態(tài)下的標(biāo)準(zhǔn)過程。因此這個(gè)公共特征提出消

除標(biāo)準(zhǔn)過程產(chǎn)生缺陷的原因和持續(xù)改進(jìn)的標(biāo)準(zhǔn)過程。

5.5.2.1組織建設(shè)

組織架構(gòu)的設(shè)置與國際上領(lǐng)先的數(shù)據(jù)安全管理理念符合,且能更好適應(yīng)業(yè)務(wù)發(fā)展的戰(zhàn)略規(guī)劃,具備

及時(shí)調(diào)整的以促進(jìn)業(yè)務(wù)發(fā)展的能力。

5.5.2.2制度流程

13

GB/TXXXXX—XXXX

為改進(jìn)過程有效性,根據(jù)組織機(jī)構(gòu)的業(yè)務(wù)目標(biāo)和當(dāng)前過程能力建立量化目標(biāo)。實(shí)時(shí)跟蹤數(shù)據(jù)安全管

理領(lǐng)域的最佳實(shí)踐和業(yè)務(wù)的最新動(dòng)向,預(yù)先判斷業(yè)務(wù)在數(shù)據(jù)安全領(lǐng)域所面臨的風(fēng)險(xiǎn),并在制度流程上進(jìn)

行持續(xù)性的優(yōu)化。執(zhí)行缺陷的因果分析。有選擇的消除已定義過程中缺陷產(chǎn)生的原因。在這個(gè)公共實(shí)踐

中,意味著公共原因和特殊原因的變化,并且每一種缺陷都會(huì)導(dǎo)致采取不同的行動(dòng)。

5.5.2.3技術(shù)工具

基于數(shù)據(jù)安全技術(shù)的最新進(jìn)展以及組織機(jī)構(gòu)沉淀下來的數(shù)據(jù)安全技術(shù)能力,結(jié)合業(yè)務(wù)發(fā)展的實(shí)際情

況引入先進(jìn)的技術(shù)工具提升數(shù)據(jù)安全控制的有效性。

5.5.2.4人員能力

密切關(guān)注國內(nèi)外最新的數(shù)據(jù)安全標(biāo)準(zhǔn)及規(guī)范,加強(qiáng)行業(yè)領(lǐng)域內(nèi)的專家交流,結(jié)合本組織機(jī)構(gòu)的特點(diǎn)

合理優(yōu)化并組織機(jī)構(gòu)內(nèi)的數(shù)據(jù)安全解決方案。

執(zhí)行該過程的人員一般為參與分析的人員。這是一種事前和反復(fù)的因果分析活動(dòng)。以前具有相似屬

性的項(xiàng)目缺陷可作為目標(biāo)改進(jìn)區(qū)。

6數(shù)據(jù)生命周期通用的安全基本實(shí)踐

6.1策略與規(guī)程

6.1.1數(shù)據(jù)安全策略與規(guī)程

6.1.1.1數(shù)據(jù)安全過程域描述

通過建立組織機(jī)構(gòu)整體的數(shù)據(jù)安全策略及規(guī)程,以實(shí)現(xiàn)對(duì)數(shù)據(jù)全生命周期的安全風(fēng)險(xiǎn)管控。

6.1.1.2數(shù)據(jù)安全能力基本實(shí)踐

a)組織建設(shè):設(shè)立數(shù)據(jù)安全的團(tuán)隊(duì)/崗位負(fù)責(zé)組織機(jī)構(gòu)的數(shù)據(jù)安全策略與規(guī)程的制定、修訂和落

地。(《要求》5.1.1a)b))

b)制度流程:

1)依據(jù)組織機(jī)構(gòu)的業(yè)務(wù)戰(zhàn)略,建立數(shù)據(jù)安全方針和目標(biāo),并基于此建立以數(shù)據(jù)生命周期為

核心思想的數(shù)據(jù)安全制度體系,相關(guān)制度均從目的、范圍、崗位、責(zé)任、管理層承諾、

內(nèi)外部協(xié)調(diào)及合規(guī)性方面提出明確的要求。(《要求》5.1.1a)b))

2)建立了數(shù)據(jù)安全策略與規(guī)程的分發(fā)流程,策略和規(guī)程均能被組織機(jī)構(gòu)各部門、崗位和人

員獲取。(《要求》5.1.1c))

3)制定并實(shí)施與安全策略和規(guī)程相適應(yīng)的大數(shù)據(jù)平臺(tái)和大數(shù)據(jù)應(yīng)用實(shí)施細(xì)則,包括外部數(shù)

據(jù)資源整合、數(shù)據(jù)共享、數(shù)據(jù)發(fā)布等數(shù)據(jù)供應(yīng)鏈安全管理細(xì)則、合同要求及審核機(jī)制。

(《要求》5.1.1.d))

4)建立策略及規(guī)程的評(píng)審、發(fā)布流程,并確定適當(dāng)?shù)念l率和時(shí)機(jī)對(duì)策略和規(guī)范進(jìn)行更新,

以確保其持續(xù)的適宜性和有效性。(《要求》5.1.1e)f))

c)技術(shù)工具:建立了數(shù)據(jù)安全策略及規(guī)程管理的技術(shù)工具,通過該技術(shù)工具面向組織機(jī)構(gòu)全體

員工發(fā)布對(duì)策略及規(guī)范的解讀材料,以便于策略規(guī)范的落地推進(jìn)。(《要求》5.1.1c)d))

d)人員能力:

1)負(fù)責(zé)數(shù)據(jù)安全頂層方針、策略制定的人員了解組織機(jī)構(gòu)的業(yè)務(wù)發(fā)展目標(biāo),能夠?qū)?shù)據(jù)安

全工作目標(biāo)和業(yè)務(wù)發(fā)展目標(biāo)進(jìn)行有機(jī)的結(jié)合。(《要求》5.1.1a)、5.1.2a)b))

2)負(fù)責(zé)數(shù)據(jù)安全策略與規(guī)程編寫的人員掌握信息安全管理體系建設(shè)的知識(shí),并具有專業(yè)的

規(guī)范撰寫能力。(《要求》5.1.1a)、b)、c)、d))

14

GB/TXXXXX—XXXX

3)負(fù)責(zé)數(shù)據(jù)安全策略及規(guī)范推廣的人員能夠?qū)?shù)據(jù)安全管理的方針、策略和制度規(guī)范進(jìn)行

準(zhǔn)確解讀,能夠以員工和相關(guān)方易理解的方式通過培訓(xùn)等形式進(jìn)行宣傳。(《要求》5.1.1

c))

6.2數(shù)據(jù)與系統(tǒng)資產(chǎn)

6.2.1數(shù)據(jù)資產(chǎn)

6.2.1.1數(shù)據(jù)安全過程域描述

通過建立針對(duì)組織機(jī)構(gòu)數(shù)據(jù)資產(chǎn)的有效管理手段,從資產(chǎn)的類型、管理模式方面實(shí)現(xiàn)統(tǒng)一的管理標(biāo)

準(zhǔn)。

6.2.1.2數(shù)據(jù)安全能力基本實(shí)踐

a)組織建設(shè):設(shè)置數(shù)據(jù)安全的團(tuán)隊(duì)/崗位負(fù)責(zé)組織機(jī)構(gòu)統(tǒng)一的數(shù)據(jù)資產(chǎn)管理工作,主要負(fù)責(zé)對(duì)數(shù)

據(jù)資產(chǎn)管理的規(guī)范制定和落地推動(dòng),并由各業(yè)務(wù)團(tuán)隊(duì)的具體人員承擔(dān)各業(yè)務(wù)范圍內(nèi)的數(shù)據(jù)資

產(chǎn)管理工作。(《要求》5.2.1.1a)b)c)d)e))

b)制度流程:

1)制定數(shù)據(jù)資產(chǎn)的安全管理規(guī)范,明確數(shù)據(jù)資產(chǎn)的安全管理目標(biāo)和安全原則,管理規(guī)范明

確了數(shù)據(jù)資產(chǎn)的登記制度,定義了數(shù)據(jù)資產(chǎn)的數(shù)據(jù)管理者和安全管理者在組織機(jī)構(gòu)中的

角色定位和所應(yīng)承擔(dān)的職責(zé),并提出數(shù)據(jù)資產(chǎn)的分類管理要求。(《要求》5.2.1.1a)

c))

2)建立數(shù)據(jù)資產(chǎn)分類分級(jí)方法和操作指南,以及數(shù)據(jù)資產(chǎn)分類分級(jí)的變更審批流程和機(jī)制。

(《要求》5.2.1.1b))

3)建立數(shù)據(jù)資產(chǎn)清單,明確數(shù)據(jù)資產(chǎn)管理范圍和屬性。(《要求》5.2.1.1d))

4)建立組織機(jī)構(gòu)內(nèi)部數(shù)據(jù)資產(chǎn)管理過程中需要數(shù)據(jù)管理者和安全管理者需要參與的審批流

程,并清晰定期其在各流程中所承擔(dān)的審批職責(zé)。(《要求》5.2.1.1b))

5)定期審核和更新數(shù)據(jù)資產(chǎn)安全管理相關(guān)的安全規(guī)范、操作細(xì)則。(《要求》5.2.1.1e))

6)依據(jù)數(shù)據(jù)資產(chǎn)和數(shù)據(jù)主體安全分級(jí)要求建立相應(yīng)的標(biāo)記策略、訪問控制、數(shù)據(jù)加解密、

數(shù)據(jù)脫敏等安全機(jī)制和管控措施。(《要求》5.2.1.2a))

7)建立組織機(jī)構(gòu)業(yè)務(wù)所需的內(nèi)外部數(shù)據(jù)資產(chǎn)的安全治理原則和數(shù)據(jù)資源整合規(guī)范。(《要

求》5.2.1.2b))

c)技術(shù)工具:

1)建立組織機(jī)構(gòu)統(tǒng)一的數(shù)據(jù)資產(chǎn)管理平臺(tái),通過技術(shù)工具整體量化組織機(jī)構(gòu)內(nèi)部的數(shù)據(jù)資

產(chǎn)情況,實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)的統(tǒng)一管理,包括但不限于標(biāo)識(shí)數(shù)據(jù)的數(shù)據(jù)管理者和安全管理

者,數(shù)據(jù)資產(chǎn)等級(jí),數(shù)據(jù)資產(chǎn)數(shù)據(jù)量,各等級(jí)的數(shù)據(jù)資產(chǎn)的分布情況等信息,從而便于

數(shù)據(jù)管理人員進(jìn)行整體的數(shù)據(jù)資產(chǎn)現(xiàn)狀統(tǒng)計(jì)。(《要求》5.2.1.2c))

2)量化數(shù)據(jù)管理者和安全管理者在相關(guān)數(shù)據(jù)安全流程中的參與情況,調(diào)整數(shù)據(jù)管理者和安

全管理者的職責(zé)要求。(《要求》5.2.1.2a))

d)人員能力:具備對(duì)組織機(jī)構(gòu)內(nèi)部數(shù)據(jù)資產(chǎn)管理需求的理解,以及對(duì)數(shù)據(jù)資產(chǎn)所涉及業(yè)務(wù)范圍

的整體概念的理解,能夠建立適用于組織機(jī)構(gòu)業(yè)務(wù)實(shí)際情況的可落地的管理制度。(《要求》

5.2.1.1a)b)c)d)e)、《要求》5.2.1.2a)b)c))

6.2.2系統(tǒng)資產(chǎn)

6.2.2.1數(shù)據(jù)安全過程域描述

15

GB/TXXXXX—XXXX

通過建立針對(duì)組織機(jī)構(gòu)內(nèi)部信息系統(tǒng)資產(chǎn)的有效管理手段,從資產(chǎn)的類型、管理模式方面實(shí)現(xiàn)統(tǒng)一

的管理標(biāo)準(zhǔn)。

6.2.2.2數(shù)據(jù)安全能力基本實(shí)踐

a)組織建設(shè):設(shè)置專門的團(tuán)隊(duì)/崗位負(fù)責(zé)組織機(jī)構(gòu)統(tǒng)一的信息系統(tǒng)資產(chǎn)管理工作,主要負(fù)責(zé)對(duì)信

息系統(tǒng)資產(chǎn)管理的規(guī)范制定和落地推動(dòng),并由各業(yè)務(wù)團(tuán)隊(duì)的具體人員承擔(dān)各業(yè)務(wù)范圍內(nèi)的信

息系統(tǒng)資產(chǎn)管理工作。(《要求》5.2.2.1a)、b)、c)、d)、e))

b)制度流程:

1)制定信息系統(tǒng)資產(chǎn)的安全管理制度,明確信息系統(tǒng)資產(chǎn)安全管理目標(biāo)和安全原則、信息

系統(tǒng)資產(chǎn)的全生命周期管理要求、資產(chǎn)登記要求和分類標(biāo)記要求,并針對(duì)安全管理制度

執(zhí)行定期審核和更新。(《要求》5.2.2.1a)、e))

2)建立信息系統(tǒng)資產(chǎn)建設(shè)和運(yùn)營管理制度和機(jī)制,明確規(guī)劃、設(shè)計(jì)、采購、開發(fā)、運(yùn)行、

維護(hù)及報(bào)廢等資產(chǎn)管理過程的安全要求。(《要求》5.2.2.1b))

3)建立組織機(jī)構(gòu)內(nèi)的信息系統(tǒng)資產(chǎn)登記機(jī)制,形成整體的信息系統(tǒng)軟硬件資產(chǎn)清單,明確

系統(tǒng)資產(chǎn)安全責(zé)任主體及相關(guān)方,并及時(shí)更新系統(tǒng)資產(chǎn)相關(guān)信息。(《要求》5.2.2.1c))

4)建立和實(shí)施信息系統(tǒng)資產(chǎn)分類和標(biāo)記規(guī)程,使資產(chǎn)標(biāo)記易于填寫和依附在相應(yīng)的系統(tǒng)資

產(chǎn)上。(《要求》5.2.2.1d))

5)建立信息系統(tǒng)資產(chǎn)更新、運(yùn)營風(fēng)險(xiǎn)評(píng)估和供應(yīng)鏈安全審查規(guī)程和制度。(《要求》5.2.2.2

b))

c)技術(shù)工具:

1)針對(duì)易通過技術(shù)工具執(zhí)行資產(chǎn)登記、分類標(biāo)記的信息系統(tǒng),實(shí)現(xiàn)自動(dòng)化的屬性標(biāo)識(shí)工作。

(《要求》5.2.2.1d))

2)組織機(jī)構(gòu)建立信息系統(tǒng)資產(chǎn)管理平臺(tái),能夠通過技術(shù)工具整體量化組織機(jī)構(gòu)內(nèi)部的信息

系統(tǒng)資產(chǎn)情況,包括但不限于整體的信息系統(tǒng)資產(chǎn)數(shù)量等信息,具備系統(tǒng)資產(chǎn)統(tǒng)一注冊(cè)、

管理和使用監(jiān)控等能力,從而便于信息系統(tǒng)管理人員進(jìn)行整體的信息系統(tǒng)資產(chǎn)現(xiàn)狀統(tǒng)計(jì)。

(《要求》5.2.2.2a))

d)人員能力:負(fù)責(zé)組織機(jī)構(gòu)統(tǒng)一的信息系統(tǒng)資產(chǎn)管理工作的人員具備對(duì)組織機(jī)構(gòu)內(nèi)部信息系統(tǒng)

資產(chǎn)管理需求的理解,以及對(duì)信息系統(tǒng)資產(chǎn)所涉及業(yè)務(wù)范圍的整體概念的理解,能夠建立適

用于組織機(jī)構(gòu)業(yè)務(wù)實(shí)際情況的可落地的管理制度。(《要求》5.2.2.1a)、b)、c)、d)、

e))

6.3組織和人員管理

6.3.1組織管理

6.3.1.1數(shù)據(jù)安全過程域描述

通過建立組織機(jī)構(gòu)內(nèi)部負(fù)責(zé)數(shù)據(jù)安全工作的職能部門及崗位,并明確職能部門及崗位承擔(dān)的數(shù)據(jù)安

全責(zé)任,防范人員管理過程中存在的安全風(fēng)險(xiǎn)。

6.3.1.2數(shù)據(jù)安全能力基本實(shí)踐

a)組織建設(shè):

1)基于組織機(jī)構(gòu)的數(shù)據(jù)安全方針及策略,充分定義了組織機(jī)構(gòu)內(nèi)部正式的數(shù)據(jù)安全職能部

門/崗位,數(shù)據(jù)安全的職能框架包括但不限于:(《要求》5.3.1.1a)、c))

數(shù)據(jù)安全規(guī)范及標(biāo)準(zhǔn):負(fù)責(zé)組織機(jī)構(gòu)內(nèi)數(shù)據(jù)安全相關(guān)的規(guī)范制度和詳細(xì)標(biāo)準(zhǔn)的制定,

為組織機(jī)構(gòu)數(shù)據(jù)安全相關(guān)工作的開展提供依據(jù)和要求。

數(shù)據(jù)安全技術(shù)及產(chǎn)品:負(fù)責(zé)組織機(jī)構(gòu)內(nèi)數(shù)據(jù)安全技術(shù)的應(yīng)用、數(shù)據(jù)安全產(chǎn)品的開發(fā)

和部署,建立整體的技術(shù)防護(hù)及應(yīng)急保障體系。

16

GB/TXXXXX—XXXX

數(shù)據(jù)安全監(jiān)控及審計(jì):負(fù)責(zé)建立組織機(jī)構(gòu)內(nèi)的數(shù)據(jù)安全風(fēng)險(xiǎn)管理體系,對(duì)數(shù)據(jù)全生

命周期的安全風(fēng)險(xiǎn)進(jìn)行審計(jì),從風(fēng)險(xiǎn)的預(yù)防、發(fā)現(xiàn)、跟進(jìn)等環(huán)節(jié)實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的有效

管理。

數(shù)據(jù)安全宣傳與促進(jìn):負(fù)責(zé)面向組織機(jī)構(gòu)內(nèi)全體人員普及數(shù)據(jù)安全相關(guān)知識(shí),通過

多種形式推廣數(shù)據(jù)安全的風(fēng)險(xiǎn)防范思路和方法,提高組織機(jī)構(gòu)內(nèi)全體人員的數(shù)據(jù)安

全意識(shí),促進(jìn)數(shù)據(jù)安全工作的具體落地。

數(shù)據(jù)安全合作與交流:負(fù)責(zé)與監(jiān)管機(jī)構(gòu)進(jìn)行持續(xù)的溝通,并在行業(yè)內(nèi)交流數(shù)據(jù)安全

的實(shí)踐經(jīng)驗(yàn)、開展相關(guān)合作以促進(jìn)行業(yè)的整體發(fā)展。

信息系統(tǒng)安全管理:負(fù)責(zé)信息系統(tǒng)的安全規(guī)劃、安全建設(shè)、安全運(yùn)營和系統(tǒng)維護(hù)工

作,實(shí)現(xiàn)基礎(chǔ)信息系統(tǒng)的安全管理。

2)組織機(jī)構(gòu)層面建立數(shù)據(jù)安全領(lǐng)導(dǎo)小組,指定機(jī)構(gòu)最高管理者或授權(quán)代表擔(dān)任小組組長,

并明確組長責(zé)任與權(quán)力。(《要求》5.3.1.1b))

3)職能崗位設(shè)計(jì)時(shí)考慮了職責(zé)分離的原則,并建立組織機(jī)構(gòu)內(nèi)部監(jiān)督管理職能部門,對(duì)組

織機(jī)構(gòu)內(nèi)部的數(shù)據(jù)安全管理的相關(guān)職能崗位的操作行為進(jìn)行安全監(jiān)督管理。(《要求》

5.3.1.1d))

4)建立體系化的大數(shù)據(jù)安全管理機(jī)構(gòu),組織機(jī)構(gòu)最高管理人員應(yīng)作為大數(shù)據(jù)安全領(lǐng)導(dǎo)小組

組長,且配備必要的管理人員和技術(shù)人員。(《要求》5.3.1.2a))

5)設(shè)置專職的大數(shù)據(jù)服務(wù)安全崗位,建立規(guī)范化的大數(shù)據(jù)服務(wù)安全保護(hù)、評(píng)估及考核專職

隊(duì)伍。(《要求》5.3.1.2b))

b)制度流程:

1)制定數(shù)據(jù)安全職能的工作規(guī)范,以明確各職能崗位之間的協(xié)作關(guān)系,明確了各職能崗位

的運(yùn)行配合機(jī)制。(《要求》5.3.1.1a))

2)制定大數(shù)據(jù)安全追責(zé)制度,定期對(duì)責(zé)任部門和安全崗位組織安全檢查,形成檢查報(bào)告。

(《要求》5.3.1.1e))

c)技術(shù)工具:在組織機(jī)構(gòu)通過技術(shù)工具以公開信息且可查詢的形式面向全員公布數(shù)據(jù)安全職能

部門的組織架構(gòu)。(《要求》5.3.1.1a,5.3.1.2a))

d)人員能力:

1)負(fù)責(zé)執(zhí)行數(shù)據(jù)安全職能設(shè)置的人員能夠明確組織機(jī)構(gòu)的數(shù)據(jù)安全工作目標(biāo)。(《要求》

5.3.1.1a))

2)能夠充分理解數(shù)據(jù)安全職能現(xiàn)狀,并具備基于職能運(yùn)作的效果有效調(diào)整職能設(shè)置的能力。

(《要求》5.3.1.2a)、b))

6.3.2人員管理

6.3.2.1數(shù)據(jù)安全過程域描述

通過對(duì)人力資源管理過程中各環(huán)節(jié)的安全管理,有效降低對(duì)組織機(jī)構(gòu)內(nèi)部的員工和第三方員工的管

理過程中存在的安全風(fēng)險(xiǎn)。

6.3.2.2數(shù)據(jù)安全能力基本實(shí)踐

a)組織建設(shè):明確在人力資源管理過程中承擔(dān)數(shù)據(jù)安全管理職責(zé)的崗位,該崗位負(fù)責(zé)對(duì)數(shù)據(jù)安

全需求的分析及落地方案的制訂和推進(jìn)。(《要求》5.3.2.1a)、b)、c)、d)、e)、f)、

g))

b)制度流程:

1)制定人力資源安全策略,明確不同崗位人員在數(shù)據(jù)生命周期各階段數(shù)據(jù)服務(wù)和系統(tǒng)服務(wù)

相關(guān)的工作范疇和安全管控措施。(《要求》5.3.2.1a))

17

GB/TXXXXX—XXXX

2)制定大數(shù)據(jù)服務(wù)人員招聘、錄用、上崗、調(diào)崗、離崗、考核、選拔等人員安全管理制度,

將數(shù)據(jù)安全相關(guān)的環(huán)節(jié)固化到涉及的人力資源流程中。制度中明確要求在錄用重要崗位

人員前對(duì)其進(jìn)行背景調(diào)查,確保符合相關(guān)的法律、法規(guī)、合同和道德要求,并與所有涉

及大數(shù)據(jù)服務(wù)崗位人員簽訂安全責(zé)任協(xié)議;明確大數(shù)據(jù)服務(wù)重要崗位的兼職和輪崗、權(quán)

限分離、多人共管等安全管理要求;建立在崗人員安全責(zé)任獎(jiǎng)懲管理機(jī)制,將員工在職

期間在數(shù)據(jù)安全方面的義務(wù)和職責(zé)納入人力資源激勵(lì)和懲罰的范疇,并按照規(guī)定對(duì)造成

大數(shù)據(jù)安全損失的人員給予相應(yīng)的處理,記錄并保存相關(guān)信息;在重要崗位人員調(diào)離或

終止勞動(dòng)合同時(shí),與其簽訂保密協(xié)議。(《要求》5.3.2.1b)、c)、d)、e)、g))

3)制定第三方人員安全管理制度,對(duì)接觸個(gè)人信息、重要數(shù)據(jù)等數(shù)據(jù)的人員進(jìn)行審批和登

記,并要求簽署保密協(xié)議,定期對(duì)這些人員行為進(jìn)行安全審查。(《要求》5.3.2.1f))

4)明確關(guān)鍵崗位人員背景調(diào)查范圍,定期對(duì)關(guān)鍵崗位人員進(jìn)行背景審查;對(duì)員工候選者的

背景調(diào)查中也包含了對(duì)候選者的專業(yè)能力的調(diào)查。(《要求》5.3.2.2a))

c)技術(shù)工具:通過技術(shù)化手段將人力資源安全相關(guān)的流程通過系統(tǒng)平臺(tái)自動(dòng)化實(shí)現(xiàn)。(《要求》

5.3.2.1a)、b)、c)、d)、e)、f)、g))

d)人員能力:

1)負(fù)責(zé)人力資源安全管理的人員應(yīng)充分理解人力資源管理流程中可對(duì)安全風(fēng)險(xiǎn)進(jìn)行把控

的環(huán)節(jié)。并通過培訓(xùn)、考試等手段提升全體人員數(shù)據(jù)安全意識(shí)水平。(《要求》5.3.2.1

a)、b)、c)、d)、e)、f)、g))

2)明確關(guān)鍵崗位人員安全能力要求,并確定他們培訓(xùn)技能考核內(nèi)容與考核指標(biāo),定期對(duì)關(guān)

鍵崗位人員進(jìn)行審查和能力考核。(《要求》5.3.2.2b))

6.3.3角色管理

6.3.3.1數(shù)據(jù)安全過程域描述

通過對(duì)大數(shù)據(jù)安全管理過程中各角色的安全管理,有效降低對(duì)組織機(jī)構(gòu)內(nèi)部的員工和第三方員工的

管理過程中存在的安全風(fēng)險(xiǎn)。

6.3.3.2數(shù)據(jù)安全能力基本實(shí)踐

a)組織建設(shè):明確在人力資源管理過程中承擔(dān)數(shù)據(jù)安全管理職責(zé)的崗位,該崗位負(fù)責(zé)對(duì)數(shù)據(jù)安

全需求的分析及落地方案的制訂和推進(jìn)。(《要求》5.3.3.1a)、b)、c))

b)制度流程:

1)建立大數(shù)據(jù)相關(guān)的安全角色,明確安全角色的分配策略和授權(quán)范圍。(《要求》5.3.3.1

a))

2)建立用戶角色及角色權(quán)限沖突的定期審查機(jī)制,及時(shí)更新用戶角色及角色權(quán)限授權(quán)信息。

(《要求》5.3.3.1b))

3)明確大數(shù)據(jù)安全相關(guān)重要崗位及其角色安全要求,建立重要崗位角色清單和授權(quán)機(jī)制。

(《要求》5.3.1.1c))

4)依照大數(shù)據(jù)業(yè)務(wù)需求和大數(shù)據(jù)系統(tǒng)架構(gòu)建立分層的角色體系、職責(zé)分離等大數(shù)據(jù)業(yè)務(wù)安

全角色管理機(jī)制。(《要求》5.3.3.2a))

5)建立用戶應(yīng)用上下文感知的角色啟動(dòng)、停用與禁用的動(dòng)態(tài)管理策略、規(guī)程和機(jī)制。(《要

求》5.3.3.2b))

c)技術(shù)工具:通過技術(shù)化手段將角色管理相關(guān)的規(guī)則與組織機(jī)構(gòu)的身份認(rèn)證管理平臺(tái)進(jìn)行聯(lián)動(dòng),

自動(dòng)化實(shí)現(xiàn)相關(guān)安全控制。(《要求》5.3.3.1a)、b)、c))

d)人員能力:負(fù)責(zé)角色管理的人員應(yīng)充分理解角色管理流程中可對(duì)安全風(fēng)險(xiǎn)進(jìn)行把控的環(huán)節(jié),通

過培訓(xùn)、考試等手段提升各角色人員數(shù)據(jù)安全意識(shí)水平。(《要求》5.3.3.1a)、b)、c))

18

GB/TXXXXX—XXXX

6.3.4人員培訓(xùn)

6.3.4.1數(shù)據(jù)安全過程域描述

通過對(duì)人力培訓(xùn)管理過程中各環(huán)節(jié)的管理,有效提升組織機(jī)構(gòu)內(nèi)部的員工和第三方員工的數(shù)據(jù)安全

意識(shí)和數(shù)據(jù)安全能力水平。

6.3.4.2數(shù)據(jù)安全能力基本實(shí)踐

a)組織建設(shè):明確組織機(jī)構(gòu)內(nèi)部承擔(dān)人員數(shù)據(jù)安全培訓(xùn)管理職責(zé)的崗位,該崗位負(fù)責(zé)對(duì)數(shù)據(jù)安

全培訓(xùn)需求的分析及落地方案的制訂和推進(jìn)。(《要求》5.3.4.1a)、b)、c))

b)制度流程:

1)制定大數(shù)據(jù)安全崗位人員的安全培訓(xùn)計(jì)劃,并對(duì)培訓(xùn)計(jì)劃定期審核和更新。(《要求》

5.3.4.1a))?

2)制定大數(shù)據(jù)安全關(guān)鍵崗位轉(zhuǎn)崗、崗位升級(jí)等相應(yīng)的人員安全培訓(xùn)計(jì)劃,并對(duì)培訓(xùn)計(jì)劃定

期審核和更新。?(《要求》5.3.4.1b))

3)按計(jì)劃對(duì)相關(guān)人員開展數(shù)據(jù)安全培訓(xùn),包括政策、法律、法規(guī)、標(biāo)準(zhǔn)等合規(guī)性培訓(xùn),并

對(duì)培訓(xùn)結(jié)果進(jìn)行評(píng)價(jià)、記錄和歸檔。(《要求》5.3.4.1c))

4)根據(jù)不同的業(yè)數(shù)據(jù)各類業(yè)務(wù)場景下的數(shù)據(jù)安全培訓(xùn)計(jì)劃和培訓(xùn)材料。(《要求》5.3.4.2

a))

c)技術(shù)工具:

1)通過技術(shù)化手段將數(shù)據(jù)安全人員培訓(xùn)相關(guān)的流程通過系統(tǒng)平臺(tái)自動(dòng)化實(shí)現(xiàn)。(《要求》

5.3.4.1a)、b)、c))

2)通過在線的人員培訓(xùn)管理平臺(tái),量化管理人員培訓(xùn)的效果。(《要求》5.3.4.1a)、b)、

c)、5.3.4.2a))

d)人員能力:固化了針對(duì)員工、第三方人員進(jìn)行數(shù)據(jù)安全能力培訓(xùn)的環(huán)節(jié),通過培訓(xùn)、考試等

手段提升全體人員數(shù)據(jù)安全能力水平。(《要求》5.3.4.1a)、b)、c)、5.3.4.2a))

6.4業(yè)務(wù)規(guī)劃與管理

6.4.1戰(zhàn)略規(guī)劃

6.4.1.1數(shù)據(jù)安全過程域描述

通過建立組織層面大數(shù)據(jù)安全戰(zhàn)略規(guī)劃體系,保證大數(shù)據(jù)戰(zhàn)略規(guī)劃與組織機(jī)構(gòu)的大數(shù)據(jù)業(yè)務(wù)規(guī)劃相

適應(yīng)。

6.4.1.2數(shù)據(jù)安全能力基本實(shí)踐

a)組織建設(shè):設(shè)立專門的大數(shù)據(jù)戰(zhàn)略規(guī)劃崗位,負(fù)責(zé)對(duì)制定組織機(jī)構(gòu)整體的戰(zhàn)略規(guī)劃并推進(jìn)階

段性的規(guī)劃執(zhí)行;同時(shí),設(shè)立大數(shù)據(jù)安全戰(zhàn)略規(guī)劃評(píng)估小組,負(fù)責(zé)機(jī)構(gòu)安全規(guī)劃評(píng)估,確保

大數(shù)據(jù)安全策略、安全目標(biāo)和戰(zhàn)略規(guī)劃內(nèi)容的合規(guī)性。(《要求》5.4.1.1c))

b)制度流程:

1)依據(jù)機(jī)構(gòu)大數(shù)據(jù)安全戰(zhàn)略規(guī)劃目標(biāo),制定大數(shù)據(jù)安全規(guī)劃各階段目標(biāo)、任務(wù)和工作重點(diǎn),

并對(duì)戰(zhàn)略規(guī)劃目標(biāo)和安全規(guī)劃實(shí)施過程進(jìn)行監(jiān)督與控制。(《要求》5.4.1.1b))

2)建立大數(shù)據(jù)安全管理綱領(lǐng)性文件,包括但不限于:數(shù)據(jù)治理、數(shù)據(jù)質(zhì)量、元數(shù)據(jù),以及

平臺(tái)與應(yīng)用安全相關(guān)的數(shù)據(jù)所有權(quán)、數(shù)據(jù)開放與共享等安全策略。(《要求》5.4.1.2b))

3)建立大數(shù)據(jù)安全規(guī)劃動(dòng)態(tài)調(diào)整制度,并通過信息化平臺(tái)進(jìn)行管理。(《要求》5.4.1.2a))

c)技術(shù)工具:

1)建立組織機(jī)構(gòu)統(tǒng)一的信息化平臺(tái)對(duì)大數(shù)據(jù)安全戰(zhàn)略規(guī)劃面向組織機(jī)構(gòu)內(nèi)部全員進(jìn)行發(fā)布,

以該信息可被全員所知悉。(《要求》5.4.1.1a)、b)、c))

19

GB/TXXXXX—XXXX

2)通過組織機(jī)構(gòu)的信息化平臺(tái)執(zhí)行對(duì)大數(shù)據(jù)安全規(guī)劃的動(dòng)態(tài)管理。(《要求》5.4.1.2a))

d)人員能力:負(fù)責(zé)該項(xiàng)工作的人員均具有戰(zhàn)略規(guī)劃能力,并對(duì)組織機(jī)構(gòu)的數(shù)據(jù)安全管理的業(yè)務(wù)

需求有充分的理解,通過培訓(xùn)和宣傳等手段實(shí)現(xiàn)各業(yè)務(wù)的數(shù)據(jù)管理人員對(duì)戰(zhàn)略規(guī)劃的一致性

理解。(《要求》5.4.1.1a)、b)、c))

6.4.2需求分析

6.4.2.1數(shù)據(jù)安全過程域描述

通過建立針對(duì)組織機(jī)構(gòu)業(yè)務(wù)的大數(shù)據(jù)安全需求分析體系,分析組織機(jī)構(gòu)內(nèi)大數(shù)據(jù)業(yè)務(wù)的安全需求。

6.4.2.2數(shù)據(jù)安全能力基本實(shí)踐

a)組織建設(shè):針對(duì)開展大數(shù)據(jù)業(yè)務(wù)的團(tuán)隊(duì)均設(shè)立了對(duì)應(yīng)的安全需求分析的崗位,負(fù)責(zé)在大數(shù)據(jù)

業(yè)務(wù)規(guī)劃階段開展安全需求分析工作,確保安全需求的有效制定和規(guī)范化表達(dá)。(《要求》

5.4.2.1a)、b)、c)、d)、e))

b)制度流程:

1)建立大數(shù)據(jù)業(yè)務(wù)的安全需求分析的指南,明確安全需求分析工作需要依據(jù)國家法律、法

規(guī)、標(biāo)準(zhǔn)與主管機(jī)構(gòu)的政策規(guī)范要求,分析大數(shù)據(jù)業(yè)務(wù)所面臨的安全合規(guī)性需求;依據(jù)

組織機(jī)構(gòu)的業(yè)務(wù)戰(zhàn)略規(guī)劃目標(biāo)、大數(shù)據(jù)業(yè)務(wù)的目標(biāo)和特定,分析大數(shù)據(jù)業(yè)務(wù)的安全需求;

識(shí)別大數(shù)據(jù)業(yè)務(wù)面臨的威脅和自身脆弱性,分析大數(shù)據(jù)業(yè)務(wù)的安全風(fēng)險(xiǎn)和應(yīng)對(duì)措施需求;

依據(jù)組織機(jī)構(gòu)的業(yè)務(wù)戰(zhàn)略規(guī)劃,明確大數(shù)據(jù)業(yè)務(wù)安全需求和安全規(guī)劃實(shí)施的優(yōu)先級(jí)。(《要

求》5.4.2.1b)、c)、d)、e))

2)使用數(shù)據(jù)驅(qū)動(dòng)分析方法或安全需求工程思想進(jìn)行大數(shù)據(jù)安全需求分析,確保大數(shù)據(jù)安全

需求的有效制定和規(guī)范化表達(dá)。(《要求》5.4.2.2a))

c)技術(shù)工具:建立承載大數(shù)據(jù)業(yè)務(wù)的安全需求分析的平臺(tái),該平臺(tái)記錄所有的大數(shù)據(jù)業(yè)務(wù)的需

求分析的申請(qǐng)、需求分析以及相關(guān)安全方案,以保證對(duì)所有的大數(shù)據(jù)業(yè)務(wù)的安全需求分析過

程的有效追溯。(《要求》5.4.2.1a)、b)、c)、d)、e))

d)人員能力:負(fù)責(zé)該項(xiàng)工作的人員均具有需求分析挖掘能力,對(duì)組織機(jī)構(gòu)的數(shù)據(jù)安全管理的業(yè)

務(wù)場景有充分的理解,并通過培訓(xùn)實(shí)現(xiàn)各業(yè)務(wù)的需求分析人員對(duì)大數(shù)據(jù)安全需求分析標(biāo)準(zhǔn)的

一致性理解。(《要求》5.4.2.1a)、b)、c)、d)、e))

6.4.3元數(shù)據(jù)安全

6.4.3.1數(shù)據(jù)安全過程域描述

通過建立組織機(jī)構(gòu)的元數(shù)據(jù)管理體系,實(shí)現(xiàn)對(duì)組織機(jī)構(gòu)內(nèi)元數(shù)據(jù)的有效管理。

6.4.3.2數(shù)據(jù)安全能力基本實(shí)踐

a)組織建設(shè):

1)設(shè)立了固定的團(tuán)隊(duì)/崗位負(fù)責(zé)組織機(jī)構(gòu)的統(tǒng)一元數(shù)據(jù)管理工作建立相應(yīng)的原則并提供統(tǒng)

一的技術(shù)工具,并由各業(yè)務(wù)的數(shù)據(jù)管理團(tuán)隊(duì)/崗位負(fù)責(zé)具體的元數(shù)據(jù)管理執(zhí)行工作。(《要

求》5.4.3

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

評(píng)論

0/150

提交評(píng)論