版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)
文檔簡介
GB/TXXXXX—XXXX
信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型
1范圍
本標(biāo)準(zhǔn)基于大數(shù)據(jù)環(huán)境下電子化數(shù)據(jù)在組織機(jī)構(gòu)業(yè)務(wù)場景中的數(shù)據(jù)生命周期,從組織建設(shè)、制度流
程、技術(shù)工具以及人員能力四個(gè)方面構(gòu)建了數(shù)據(jù)安全過程的規(guī)范性數(shù)據(jù)安全能力成熟度分級(jí)模型及其評(píng)
估方法。
本標(biāo)準(zhǔn)適用于組織機(jī)構(gòu)數(shù)據(jù)安全能力的自身評(píng)估,也適用于第三方機(jī)構(gòu)對(duì)組織機(jī)構(gòu)的數(shù)據(jù)安全保障
能力進(jìn)行評(píng)估。
2規(guī)范性引用文件
下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅所注日期的版本適用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改單)適用于本文件。
GB/T25069—2010信息安全技術(shù)術(shù)語
GB/T20261—2006信息安全技術(shù)系統(tǒng)安全工程-能力成熟度模型
GB/TAAAAA—AAAA信息技術(shù)大數(shù)據(jù)術(shù)語
GB/TBBBBB—BBBB信息技術(shù)大數(shù)據(jù)參考框架
GB/TCCCCC—CCCC信息安全技術(shù)個(gè)人信息安全規(guī)范
GB/TDDDDD—DDDD信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求
GB/TEEEEE—EEEE信息技術(shù)數(shù)據(jù)管理能力成熟度模型
3術(shù)語、定義和縮略語
GB/T25069—2010中界定的以及下列術(shù)語和定義適用于本文件。
3.1術(shù)語和定義
3.1.1
3.1.2數(shù)據(jù)安全datasecurity
以數(shù)據(jù)為中心的安全,保護(hù)數(shù)據(jù)的可用性、完整性和機(jī)密性。
注:本標(biāo)準(zhǔn)是從組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對(duì)組織機(jī)構(gòu)的數(shù)據(jù)進(jìn)行安全保
護(hù)。
3.1.3
3.1.4數(shù)據(jù)安全能力datasecuritycapability
組織機(jī)構(gòu)在組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對(duì)數(shù)據(jù)的安全保障能力。
3.1.5
3.1.6成熟度maturity
對(duì)一個(gè)組織的有條理的持續(xù)改進(jìn)能力的度量,對(duì)實(shí)現(xiàn)特定過程的連續(xù)性、可持續(xù)性、有效性和可信
度的度量。
1
GB/TXXXXX—XXXX
3.1.7
3.1.8成熟度模型maturitymodel
對(duì)一個(gè)組織機(jī)構(gòu)的成熟度進(jìn)行度量的模型,包括一系列的代表能力和進(jìn)展的特征、屬性、指示或是
模式。模型的內(nèi)容通常是最佳實(shí)踐的舉例說明。成熟度模型提供一個(gè)組織機(jī)構(gòu)衡量其當(dāng)前的實(shí)踐、流程、
方法的能力水平的基準(zhǔn),并設(shè)置提升的目標(biāo)和優(yōu)先級(jí)。當(dāng)一個(gè)模型被廣泛應(yīng)用于某個(gè)特定的行業(yè),這個(gè)
行業(yè)可以基于模型,來評(píng)估本行業(yè)的組織機(jī)構(gòu)的成熟度等級(jí)。
3.1.9
3.1.10組織機(jī)構(gòu)organization
安排了責(zé)任、權(quán)利和關(guān)系的一組人員和設(shè)施。
3.1.11
3.1.12安全過程域securityprocessarea
實(shí)現(xiàn)同一安全目標(biāo)的一系列數(shù)據(jù)安全相關(guān)活動(dòng)、過程的集合。
3.1.13
3.1.14數(shù)據(jù)脫敏datadesensitization
通過模糊化等方法對(duì)原始數(shù)據(jù)的處理,達(dá)到屏蔽敏感信息的一種數(shù)據(jù)保護(hù)方法。
3.1.15
3.1.16數(shù)據(jù)產(chǎn)品dataproduct
直接或間接使用數(shù)據(jù)的產(chǎn)品,包括但不限于能訪問原始數(shù)據(jù),提供數(shù)據(jù)計(jì)算、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)交換、
數(shù)據(jù)分析、數(shù)據(jù)挖掘、數(shù)據(jù)展示等應(yīng)用的軟件產(chǎn)品。
3.1.17
3.1.18數(shù)據(jù)加工dataprocessing
對(duì)原始數(shù)據(jù)進(jìn)行抽取、轉(zhuǎn)換、加載的過程;包括開發(fā)數(shù)據(jù)產(chǎn)品或數(shù)據(jù)分析。
3.1.19
3.1.20合規(guī)compliance
對(duì)數(shù)據(jù)所適用的法律法規(guī)的遵循。
3.2縮略語
下列縮略語適用于本標(biāo)準(zhǔn):
ACL訪問控制列表(AccessControlList)
CMM能力成熟度模型(CapabilityMaturityModel)
DDOS分布式拒絕服務(wù)(DistributedDenialofService)
DLP數(shù)據(jù)防泄漏(DataLossPrevetion)
TLS傳輸層安全(TransportLayerSecurity)
SSL安全套接層(SecureSocketsLayer)
4數(shù)據(jù)安全能力成熟度模型架構(gòu)
4.1模型架構(gòu)
本標(biāo)準(zhǔn)借鑒能力成熟度模型(CMM)的思想,以CMM的通用實(shí)踐來衡量能力成熟度等級(jí),以《信息安
全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求》中的安全要求為基礎(chǔ),指導(dǎo)組織機(jī)構(gòu)如何持續(xù)達(dá)到所對(duì)應(yīng)的安全要
求。數(shù)據(jù)安全能力成熟度模型的模型架構(gòu)由以下三方面構(gòu)成(如圖1所示):
——數(shù)據(jù)生命周期安全:圍繞數(shù)據(jù)生命周期,提煉出大數(shù)據(jù)環(huán)境下,以數(shù)據(jù)為中心,針對(duì)數(shù)據(jù)生命
周期各階段建立的相關(guān)數(shù)據(jù)安全過程域體系。
2
GB/TXXXXX—XXXX
——安全能力維度:明確組織機(jī)構(gòu)在各數(shù)據(jù)安全領(lǐng)域所需要具備的能力維度,明確為制度流程、人
員能力、組織建設(shè)和技術(shù)工具四個(gè)關(guān)鍵能力的維度。
——能力成熟度等級(jí):基于統(tǒng)一的分級(jí)標(biāo)準(zhǔn),細(xì)化組織機(jī)構(gòu)在各數(shù)據(jù)安全過程域的5個(gè)級(jí)別的能力
成熟度分級(jí)要求。
圖1數(shù)據(jù)安全能力成熟度模型架構(gòu)
對(duì)于圖1的模型架構(gòu)的說明如下:
1)基于電子數(shù)據(jù)在組織機(jī)構(gòu)內(nèi)的數(shù)據(jù)生命周期,明確定義各階段特定的數(shù)據(jù)安全過程域和數(shù)據(jù)生
命周期通用的安全過程域。各階段特定的數(shù)據(jù)安全過程域,包括數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)
處理、數(shù)據(jù)交換和數(shù)據(jù)銷毀這六個(gè)階段中,各階段特定的數(shù)據(jù)安全過程域。數(shù)據(jù)生命周期通用的安全過
程域,是與各個(gè)生命周期都相關(guān)的,通用的數(shù)據(jù)安全過程域,比如策略與規(guī)程、合規(guī)性管理等方面。
2)本標(biāo)準(zhǔn)對(duì)組織機(jī)構(gòu)的數(shù)據(jù)安全保障能力的成熟度的分級(jí)評(píng)估,是基于各成熟度等級(jí)下的數(shù)據(jù)安
全能力通用實(shí)踐所定義的分級(jí)評(píng)估方法,對(duì)各階段特定的數(shù)據(jù)安全基本實(shí)踐和數(shù)據(jù)生命周期通用的安全
基本實(shí)踐的實(shí)現(xiàn)的成熟度等級(jí)進(jìn)行評(píng)估。
4.2數(shù)據(jù)生命周期安全
4.2.1數(shù)據(jù)生命周期
基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織機(jī)構(gòu)業(yè)務(wù)中的流轉(zhuǎn)情況,定義了數(shù)據(jù)生命周期的6個(gè)階段,具體各階
段的定義如下:
——數(shù)據(jù)采集:指新的數(shù)據(jù)產(chǎn)生或現(xiàn)有數(shù)據(jù)內(nèi)容發(fā)生顯著改變或更新的階段。對(duì)于組織機(jī)構(gòu)而言,
數(shù)據(jù)的采集既包含在組織機(jī)構(gòu)內(nèi)部系統(tǒng)中生成的數(shù)據(jù)也包含組織機(jī)構(gòu)從外部采集的數(shù)據(jù)。
——數(shù)據(jù)存儲(chǔ):指非動(dòng)態(tài)數(shù)據(jù)以任何數(shù)字格式進(jìn)行物理存儲(chǔ)的階段。
——數(shù)據(jù)處理:指組織機(jī)構(gòu)在內(nèi)部針對(duì)動(dòng)態(tài)數(shù)據(jù)進(jìn)行的一系列活動(dòng)的組合。
——數(shù)據(jù)傳輸:指數(shù)據(jù)在組織機(jī)構(gòu)內(nèi)部從一個(gè)實(shí)體通過網(wǎng)絡(luò)流動(dòng)到另一個(gè)實(shí)體的過程。
3
GB/TXXXXX—XXXX
——數(shù)據(jù)交換:指數(shù)據(jù)經(jīng)由組織機(jī)構(gòu)內(nèi)部與外部組織機(jī)構(gòu)及個(gè)人交互過程中提供數(shù)據(jù)的階段。
——數(shù)據(jù)銷毀:指通過對(duì)數(shù)據(jù)及數(shù)據(jù)的存儲(chǔ)介質(zhì)通過相應(yīng)的操作手段,使數(shù)據(jù)徹底丟失且無法通過
任何手段恢復(fù)的過程。
特定的數(shù)據(jù)所經(jīng)歷的生命周期由實(shí)際的業(yè)務(wù)場景所決定,并非所有的數(shù)據(jù)都會(huì)完整的經(jīng)歷六個(gè)階段。
4.2.2數(shù)據(jù)安全過程域體系
安全過程域體系覆蓋數(shù)據(jù)生命周期的六個(gè)階段,包含各生命周期階段通用的安全過程域和各生命周
期階段下的安全過程域,如圖2所示。
圖2數(shù)據(jù)安全過程域體系
4.3安全能力維度
4.3.1能力構(gòu)成
通過對(duì)各項(xiàng)安全過程所需具備安全能力的量化,可供組織機(jī)構(gòu)評(píng)估每項(xiàng)安全過程的實(shí)現(xiàn)能力。安全
能力從組織建設(shè)、制度流程、技術(shù)工具及人員能力四個(gè)維度展開。
——組織建設(shè):數(shù)據(jù)安全組織機(jī)構(gòu)的架構(gòu)建立、職責(zé)分配和溝通協(xié)作。
——制度流程:組織機(jī)構(gòu)關(guān)鍵數(shù)據(jù)安全領(lǐng)域的制度規(guī)范和流程落地建設(shè)。
——技術(shù)工具:通過技術(shù)手段和產(chǎn)品工具固化安全要求或自動(dòng)化實(shí)現(xiàn)安全工作。
——人員能力:執(zhí)行數(shù)據(jù)安全工作的人員的意識(shí)及專業(yè)能力。
4.3.2組織建設(shè)
從承擔(dān)數(shù)據(jù)安全工作的組織機(jī)構(gòu)建設(shè)應(yīng)具備的能力出發(fā),從以下方面進(jìn)行能力的級(jí)別區(qū)分:
——數(shù)據(jù)安全組織架構(gòu)對(duì)組織業(yè)務(wù)的適用性;
——數(shù)據(jù)安全組織機(jī)構(gòu)承擔(dān)的工作職責(zé)的明確性;
——數(shù)據(jù)安全組織機(jī)構(gòu)運(yùn)作、溝通協(xié)調(diào)的有效性。
4.3.3制度流程
從組織機(jī)構(gòu)在數(shù)據(jù)安全層面的制度流程建設(shè),以及制度流程的執(zhí)行情況出發(fā),從以下維度進(jìn)行能力
的級(jí)別區(qū)分:
4
GB/TXXXXX—XXXX
——數(shù)據(jù)生命周期關(guān)鍵控制節(jié)點(diǎn)授權(quán)審批流程的明確性;
——相關(guān)流程制度的制定、發(fā)布、修訂的規(guī)范性;
——安全要求及流程落地執(zhí)行的一致性和有效性。
4.3.4技術(shù)工具
從組織機(jī)構(gòu)用于開展數(shù)據(jù)安全工作的安全技術(shù)、應(yīng)用系統(tǒng)和自動(dòng)化工具出發(fā),從以下維度進(jìn)行能力
的級(jí)別區(qū)分:
——數(shù)據(jù)安全技術(shù)在數(shù)據(jù)全生命周期過程中的利用情況,針對(duì)數(shù)據(jù)全生命周期安全風(fēng)險(xiǎn)的檢測及響
應(yīng)能力;
——利用技術(shù)工具對(duì)數(shù)據(jù)安全工作的自動(dòng)化支持能力,對(duì)數(shù)據(jù)安全制度流程的固化執(zhí)行能力。
4.3.5人員能力
從組織機(jī)構(gòu)內(nèi)部承擔(dān)數(shù)據(jù)安全工作的人員應(yīng)具備的能力出發(fā),從以下維度進(jìn)行能力的級(jí)別區(qū)分:
——數(shù)據(jù)安全人員所具備的數(shù)據(jù)安全能力是否能夠滿足復(fù)合型能力要求(對(duì)數(shù)據(jù)相關(guān)業(yè)務(wù)的理解力
以及專業(yè)安全能力);
——數(shù)據(jù)安全人員的數(shù)據(jù)安全意識(shí)以及關(guān)鍵數(shù)據(jù)安全崗位員工的數(shù)據(jù)安全能力的培養(yǎng)。
4.4成熟度等級(jí)定義
組織機(jī)構(gòu)的數(shù)據(jù)安全能力成熟度模型具有5個(gè)成熟度等級(jí),成熟度等級(jí)的定義如下:
——等級(jí)1(非正式執(zhí)行),是指具備隨機(jī)、無序、被動(dòng)的安全過程;
——等級(jí)2(計(jì)劃跟蹤),是指具備主動(dòng)、非體系化的安全過程;
——等級(jí)3(充分定義),是指具備正式的規(guī)范的安全過程;
——等級(jí)4(量化控制),是指安全過程可量化;
——等級(jí)5(持續(xù)優(yōu)化),是指安全過程可持續(xù)優(yōu)化。
5數(shù)據(jù)安全能力通用實(shí)踐
5.1能力級(jí)別1—非正式執(zhí)行
5.1.1能力等級(jí)描述
在這一級(jí)別,數(shù)據(jù)安全過程域的基本實(shí)踐通常被執(zhí)行。但基本實(shí)踐的執(zhí)行可能未經(jīng)嚴(yán)格的計(jì)劃和跟
蹤,而是基于個(gè)人的知識(shí)和努力。組織機(jī)構(gòu)內(nèi)的個(gè)人可標(biāo)識(shí)出一個(gè)數(shù)據(jù)安全過程應(yīng)被執(zhí)行,并同意這個(gè)
數(shù)據(jù)安全過程會(huì)在需要時(shí)執(zhí)行。
該能力級(jí)別包含如下公共特征:
公共特征1.1—執(zhí)行基本實(shí)踐。
5.1.2公共特征1.1—執(zhí)行基本實(shí)踐
5.1.2.1公共特征描述
此公共特征的通用實(shí)踐只是保證過程域的基本實(shí)踐以某種方式執(zhí)行。但是,數(shù)據(jù)安全管理的一致性、
性能和質(zhì)量會(huì)因缺乏適當(dāng)控制而存在極大的差異。
5
GB/TXXXXX—XXXX
組織機(jī)構(gòu)在數(shù)據(jù)安全過程域未有效的執(zhí)行相關(guān)工作,僅在部分業(yè)務(wù)場景中/項(xiàng)目執(zhí)行過程中根據(jù)臨
時(shí)的需求執(zhí)行了相關(guān)工作,卻未形成成熟的機(jī)制保證相關(guān)工作的持續(xù)有效進(jìn)行,執(zhí)行相關(guān)工作的人員能
力也未得到有效的保障。所執(zhí)行的過程可稱為“非正式過程”。
5.1.2.2組織建設(shè)
未針對(duì)數(shù)據(jù)安全過程域的工作開展建立數(shù)據(jù)安全相關(guān)的團(tuán)隊(duì)/崗位和職責(zé)。
5.1.2.3制度流程
未建立與數(shù)據(jù)安全過程域相關(guān)的數(shù)據(jù)安全工作相關(guān)的制度流程,數(shù)據(jù)安全工作的開展多為對(duì)特定業(yè)
務(wù)需求的響應(yīng)而觸發(fā)。
5.1.2.4技術(shù)工具
未部署技術(shù)工具以固化數(shù)據(jù)安全制度流程和提升數(shù)據(jù)安全能力。
5.1.2.5人員能力
未安排具備數(shù)據(jù)安全過程域相關(guān)知識(shí)背景的人參與到數(shù)據(jù)安全保障工作中。
5.2能力級(jí)別2—計(jì)劃跟蹤
在這一級(jí)別上,過程域基本實(shí)踐的執(zhí)行是經(jīng)計(jì)劃并被跟蹤的,并對(duì)實(shí)踐情況進(jìn)行驗(yàn)證。數(shù)據(jù)安全管
理應(yīng)符合指定的標(biāo)準(zhǔn)和需求。通過測量來跟蹤過程域的執(zhí)行情況,因此,使組織機(jī)構(gòu)能夠基于實(shí)際實(shí)踐
活動(dòng)進(jìn)行管理。與非正式實(shí)踐級(jí)別間的主要區(qū)別是過程實(shí)踐被計(jì)劃和管理。
該能力級(jí)別包含如下公共特征:
公共特征2.1—規(guī)劃執(zhí)行;
公共特征2.2—規(guī)范化執(zhí)行;
公共特征2.3—驗(yàn)證執(zhí)行;
公共特征2.4—跟蹤執(zhí)行。
5.2.1公共特征2.1—規(guī)劃執(zhí)行
5.2.1.1公共特征描述
該公共特征的基本實(shí)踐集中在過程域以及相關(guān)的基本實(shí)踐執(zhí)行的規(guī)劃方面,因而涉及到過程文檔的
編制,過程工具的提供,過程實(shí)踐的計(jì)劃,規(guī)劃執(zhí)行的培訓(xùn),過程資源的分配以及過程執(zhí)行的責(zé)任分配。
這些通用實(shí)踐為規(guī)范化的過程執(zhí)行提供了最根本的基礎(chǔ)。
5.2.1.2組織建設(shè)
基于數(shù)據(jù)安全過程域的內(nèi)容,規(guī)劃關(guān)鍵數(shù)據(jù)安全管理的團(tuán)隊(duì)/崗位所需要的任務(wù)和責(zé)任,該團(tuán)隊(duì)/
崗位主要負(fù)責(zé)對(duì)數(shù)據(jù)安全過程域中的關(guān)鍵安全管理規(guī)則的制定。任務(wù)和責(zé)任應(yīng)規(guī)定到,包括內(nèi)部、外部
的和過程實(shí)踐相關(guān)的所有相關(guān)方。
5.2.1.3制度流程
以數(shù)據(jù)為中心建立數(shù)據(jù)安全制度流程,并將數(shù)據(jù)安全制度流程形成標(biāo)準(zhǔn)化文檔,并通過技術(shù)工具進(jìn)
行固化,使制度流程按照設(shè)計(jì)的方式執(zhí)行。在此模型中,一個(gè)組織機(jī)構(gòu)或一個(gè)項(xiàng)目中的過程無需與過程
域一一對(duì)應(yīng)。因此,覆蓋一個(gè)過程域的過程可能可以以不止一種方式進(jìn)行描述(例如以政策、標(biāo)準(zhǔn)等方
式),一個(gè)過程描述可能包含不止一個(gè)過程域。
6
GB/TXXXXX—XXXX
對(duì)數(shù)據(jù)安全制度流程的實(shí)踐進(jìn)行規(guī)劃,和對(duì)數(shù)據(jù)安全工程和項(xiàng)目類的過程域規(guī)劃可以按照項(xiàng)目計(jì)劃
的形式存在,而組織類的計(jì)劃可以在組織機(jī)構(gòu)層面上進(jìn)行。
5.2.1.4技術(shù)工具
規(guī)劃為執(zhí)行數(shù)據(jù)安全過程域基本實(shí)踐所需要的技術(shù)工具,來確保數(shù)據(jù)安全過程的執(zhí)行。
為支持?jǐn)?shù)據(jù)安全過程域的規(guī)劃執(zhí)行提供適當(dāng)?shù)墓ぞ摺?/p>
5.2.1.5人員能力
為執(zhí)行數(shù)據(jù)安全過程域基本實(shí)踐規(guī)劃充分的人力資源,分配其所需要的任務(wù)和責(zé)任,規(guī)劃適當(dāng)?shù)呐?/p>
訓(xùn),來確保過程的執(zhí)行。
5.2.2公共特征2.2—規(guī)范化執(zhí)行
5.2.2.1公共特征描述
該公共特征的通用實(shí)踐注重于對(duì)過程實(shí)踐的控制程度,需要使用過程執(zhí)行計(jì)劃、執(zhí)行基于標(biāo)準(zhǔn)和程
序的過程、對(duì)數(shù)據(jù)安全過程實(shí)施配置管理等。這些通用實(shí)踐構(gòu)成了驗(yàn)證數(shù)據(jù)安全過程執(zhí)行的重要基礎(chǔ)。
5.2.2.2組織建設(shè)
基于數(shù)據(jù)安全過程域的內(nèi)容,分配在數(shù)據(jù)安全過程域中所涉及的承擔(dān)關(guān)鍵數(shù)據(jù)安全管理職責(zé)的團(tuán)隊(duì)
/崗位,該團(tuán)隊(duì)/崗位主要負(fù)責(zé)對(duì)數(shù)據(jù)安全過程域中的關(guān)鍵安全管理規(guī)則的落實(shí)。
5.2.2.3制度流程
針對(duì)該數(shù)據(jù)安全過程域中的關(guān)鍵的風(fēng)險(xiǎn)點(diǎn)提出了相應(yīng)的安全要求,并將相應(yīng)的要求以制度流程的形
式進(jìn)行了文檔化。
對(duì)數(shù)據(jù)安全制度流程進(jìn)行規(guī)范化執(zhí)行,在執(zhí)行過程域中,使用文檔化的計(jì)劃、標(biāo)準(zhǔn)指導(dǎo)實(shí)踐?;?/p>
過程描述執(zhí)行的過程稱為“描述的過程”。
將數(shù)據(jù)安全制度流程實(shí)施配置管理,進(jìn)行版本控制和/或變更控制。配置管理可視項(xiàng)目具體情況,
組織機(jī)構(gòu)可采用工具和/或人工方式。配置管理應(yīng)提前做好規(guī)劃。
5.2.2.4技術(shù)工具
根據(jù)行業(yè)內(nèi)對(duì)相關(guān)數(shù)據(jù)安全過程域的技術(shù)產(chǎn)品的普及度,以及組織機(jī)構(gòu)內(nèi)實(shí)現(xiàn)自動(dòng)化安全控制的可
行性,組織機(jī)構(gòu)已經(jīng)優(yōu)先采用了普及度較高的技術(shù)工具或執(zhí)行了可行度較高的自動(dòng)化安全控制。
5.2.2.5人員能力
從事數(shù)據(jù)安全過程域相關(guān)工作的人員具備對(duì)該數(shù)據(jù)安全過程域的關(guān)鍵風(fēng)險(xiǎn)的安全管理的背景知識(shí)
和規(guī)范化執(zhí)行數(shù)據(jù)安全過程的能力。
5.2.3公共特征2.3—驗(yàn)證執(zhí)行
5.2.3.1公共特征描述
該公共特征的通用實(shí)踐注重于確認(rèn)過程按預(yù)定的方式執(zhí)行。因此這個(gè)通用實(shí)踐涉及到驗(yàn)證執(zhí)行過程
與可應(yīng)用的計(jì)劃是一致的,以及對(duì)數(shù)據(jù)安全過程的審計(jì)。這些通用實(shí)踐構(gòu)成了跟蹤過程實(shí)踐能力的重要
基礎(chǔ)。
7
GB/TXXXXX—XXXX
5.2.3.2組織建設(shè)
基于數(shù)據(jù)安全過程域的內(nèi)容,分析在數(shù)據(jù)安全過程域中所涉及的承擔(dān)關(guān)鍵數(shù)據(jù)安全管理職責(zé)的團(tuán)隊(duì)
/崗位,該團(tuán)隊(duì)/崗位主要負(fù)責(zé)對(duì)數(shù)據(jù)安全過程域中的關(guān)鍵安全管理規(guī)則的制定。
驗(yàn)證組織機(jī)構(gòu)的團(tuán)隊(duì)/崗位與可用標(biāo)準(zhǔn)、需求及測量目標(biāo)的一致性。對(duì)于組織建設(shè)的驗(yàn)證過程和審
計(jì)活動(dòng)應(yīng)在計(jì)劃中進(jìn)行定義。
5.2.3.3制度流程
驗(yàn)證制度流程與可用標(biāo)準(zhǔn)、需求及測量目標(biāo)的一致性。對(duì)于制度流程的驗(yàn)證過程和審計(jì)活動(dòng)應(yīng)在計(jì)
劃中進(jìn)行定義。
5.2.3.4技術(shù)工具
驗(yàn)證支撐數(shù)據(jù)安全過程的技術(shù)工具與可用標(biāo)準(zhǔn)、需求及測量目標(biāo)的一致性。對(duì)于技術(shù)工具的驗(yàn)證過
程和審計(jì)活動(dòng)應(yīng)在計(jì)劃中進(jìn)行定義。
5.2.3.5人員能力
驗(yàn)證人員能力與可用標(biāo)準(zhǔn)、需求及測量目標(biāo)的一致性。對(duì)于人員能力的驗(yàn)證過程和審計(jì)活動(dòng)應(yīng)在計(jì)
劃中進(jìn)行定義。
5.2.4公共特征2.4—跟蹤執(zhí)行
5.2.4.1公共特征描述
該公共特征的通用實(shí)踐注重于控制數(shù)據(jù)安全項(xiàng)目進(jìn)展的能力。因此,該過程通過可測量的計(jì)劃跟蹤
過程執(zhí)行,當(dāng)過程實(shí)踐與計(jì)劃產(chǎn)生重大偏離時(shí)采取修正行動(dòng)。這些通用實(shí)踐形成了達(dá)到充分定義過程能
力的根本基礎(chǔ)。
5.2.4.2組織建設(shè)
對(duì)數(shù)據(jù)安全工作相關(guān)的組織建設(shè)定期進(jìn)行跟蹤,通過測量來檢查跟蹤數(shù)據(jù)安全組織建設(shè)工作執(zhí)行的
狀態(tài),并建立對(duì)項(xiàng)目級(jí)別的組織建設(shè)測量的歷史記錄。
當(dāng)數(shù)據(jù)安全組織機(jī)構(gòu)與計(jì)劃的數(shù)據(jù)安全組織機(jī)構(gòu)之間有重大差別時(shí)適當(dāng)?shù)夭扇⌒拚胧?。進(jìn)展可能
由于估算的不精確、實(shí)踐受外部因素的影響、作為計(jì)劃基礎(chǔ)的需求變動(dòng)而與計(jì)劃發(fā)生偏離。修正措施可
能包括改變組織架構(gòu)與職責(zé),改變計(jì)劃,或二者兼有。
5.2.4.3制度流程
對(duì)數(shù)據(jù)安全工作相關(guān)的制度流程定期進(jìn)行跟蹤,通過測量來檢查跟蹤數(shù)據(jù)安全制度流程工作執(zhí)行的
狀態(tài),并建立對(duì)制度流程的測量歷史記錄。
當(dāng)數(shù)據(jù)安全制度流程與計(jì)劃的數(shù)據(jù)安全制度流程間有重大差別時(shí)適當(dāng)?shù)夭扇⌒拚胧?。進(jìn)展可能由
于估算的不精確、實(shí)踐受外部因素的影響、作為計(jì)劃基礎(chǔ)的需求變動(dòng)而與計(jì)劃發(fā)生偏離。修正措施可能
包括改變制度流程,改變計(jì)劃,或二者兼有。
5.2.4.4技術(shù)工具
對(duì)數(shù)據(jù)安全工作相關(guān)的技術(shù)工具定期進(jìn)行跟蹤,通過測量來檢查跟蹤數(shù)據(jù)安全技術(shù)工具的狀態(tài),并
建立對(duì)技術(shù)工具的測量歷史記錄。
8
GB/TXXXXX—XXXX
當(dāng)技術(shù)工具與計(jì)劃執(zhí)行的效果有重大差別時(shí)適當(dāng)?shù)夭扇⌒拚胧?。進(jìn)展可能由于估算的不精確、實(shí)
踐受外部因素的影響、作為計(jì)劃基礎(chǔ)的需求變動(dòng)而與計(jì)劃發(fā)生偏離。修正措施可能包括改變技術(shù)工具,
改變計(jì)劃,或二者兼有。
5.2.4.5人員能力
對(duì)數(shù)據(jù)安全工作相關(guān)的人員能力定期進(jìn)行跟蹤,通過測量來檢查跟蹤數(shù)據(jù)安全人員能力的狀態(tài),并
建立對(duì)人員能力的測量歷史記錄。
當(dāng)數(shù)據(jù)安全人員能力與計(jì)劃的人員能力間有重大差別時(shí)適當(dāng)?shù)夭扇⌒拚胧?。進(jìn)展可能由于估算的
不精確、實(shí)踐受外部因素的影響、作為計(jì)劃基礎(chǔ)的需求變動(dòng)而與計(jì)劃發(fā)生偏離。修正措施可能包括改變
人員能力,改變計(jì)劃,或二者兼有。
5.3能力級(jí)別3—充分定義
在這一級(jí)別,基本實(shí)踐按照充分定義的過程執(zhí)行。充分定義的過程是依據(jù)對(duì)文檔化的標(biāo)準(zhǔn)過程進(jìn)行
裁剪并經(jīng)批準(zhǔn)的過程版本。這一過程與計(jì)劃跟蹤級(jí)的主要區(qū)別在于利用組織機(jī)構(gòu)范圍內(nèi)的過程標(biāo)準(zhǔn)來管
理和規(guī)劃。
該能力級(jí)別包括以下公共特征:
公共特征3.1—定義標(biāo)準(zhǔn)過程;
公共特征3.2—執(zhí)行已定義的過程;
公共特征3.3—協(xié)調(diào)安全實(shí)踐。
5.3.1公共特征—定義標(biāo)準(zhǔn)過程
5.3.1.1公共特征
該公共特征的通用實(shí)踐注重于組織機(jī)構(gòu)標(biāo)準(zhǔn)過程的制度化。過程制度化的起因和基礎(chǔ)可能是一個(gè)或
多個(gè)相似過程在特定項(xiàng)目中的成功應(yīng)用。一個(gè)組織機(jī)構(gòu)的標(biāo)準(zhǔn)過程可能需要適合特定環(huán)境的使用,所以
也應(yīng)考慮到如何進(jìn)行裁剪。因此,要為組織機(jī)構(gòu)定義標(biāo)準(zhǔn)化的過程文檔,要為滿足特定用途對(duì)標(biāo)準(zhǔn)過程
進(jìn)行裁剪。這些通用過程形成了執(zhí)行已定義過程必要的基礎(chǔ)。
5.3.1.2組織建設(shè)
組織機(jī)構(gòu)設(shè)立了實(shí)體或虛擬的團(tuán)隊(duì),該團(tuán)隊(duì)主要負(fù)責(zé)針對(duì)該數(shù)據(jù)安全域建立有效的安全保護(hù)機(jī)制,
包括但不限于建立組織機(jī)構(gòu)統(tǒng)一的安全管理策略、制度和流程,并制定并面向組織機(jī)構(gòu)范圍內(nèi)提供整體
的技術(shù)標(biāo)準(zhǔn)解決方案。
該團(tuán)隊(duì)與數(shù)據(jù)安全過程域相關(guān)的部門(如業(yè)務(wù)部門、法律部門等)共同合作,建立有效的溝通和推
進(jìn)機(jī)制。
該團(tuán)隊(duì)已明確了數(shù)據(jù)安全的組織機(jī)構(gòu)和崗位,數(shù)據(jù)安全人員的角色及其職責(zé)分配,并建立有效的工
作考核機(jī)制。
5.3.1.3制度流程
對(duì)數(shù)據(jù)安全過程域進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,并參考相關(guān)的安全管理體系的方法論,建立了適應(yīng)于組
織機(jī)構(gòu)自身在數(shù)據(jù)安全過程域的標(biāo)準(zhǔn)制度流程。
建立數(shù)據(jù)安全域的標(biāo)準(zhǔn)制度流程,包括但不限于與組織機(jī)構(gòu)結(jié)構(gòu)和數(shù)據(jù)業(yè)務(wù)相一致的安全策略、具
有明確管控要求的制度規(guī)范、用于相關(guān)管控要求落地的流程、指導(dǎo)整體工作執(zhí)行的實(shí)施指南。
9
GB/TXXXXX—XXXX
組織機(jī)構(gòu)針對(duì)該數(shù)據(jù)安全過程域的制度流程建立標(biāo)準(zhǔn)的培訓(xùn)和宣傳方案,實(shí)現(xiàn)對(duì)與該數(shù)據(jù)安全過程
域相關(guān)的團(tuán)隊(duì)和人員在對(duì)制度流程的理解上的一致性。
5.3.1.4技術(shù)工具
建立數(shù)據(jù)安全過程域相關(guān)的在線化平臺(tái)固化并記錄相關(guān)的流程,在組織機(jī)構(gòu)內(nèi)部建設(shè)、部署數(shù)據(jù)安
全技術(shù)產(chǎn)品,強(qiáng)化安全控制。
其中,與數(shù)據(jù)安全過程域強(qiáng)關(guān)聯(lián)的技術(shù)產(chǎn)品包含關(guān)鍵的產(chǎn)品功能,組織機(jī)構(gòu)內(nèi)基于具體的業(yè)務(wù)場景
實(shí)現(xiàn)了對(duì)數(shù)據(jù)安全技術(shù)產(chǎn)品的有效運(yùn)營,以保證產(chǎn)品功能對(duì)組織機(jī)構(gòu)的業(yè)務(wù)場景的適應(yīng)性。
5.3.1.5人員能力
從事數(shù)據(jù)安全工作的人員具備數(shù)據(jù)安全標(biāo)準(zhǔn)資質(zhì),具備在數(shù)據(jù)安全領(lǐng)域的工作經(jīng)驗(yàn),能夠充分理解
組織機(jī)構(gòu)在該數(shù)據(jù)安全過程域的安全風(fēng)險(xiǎn)并具備集合具體的業(yè)務(wù)場景制定風(fēng)險(xiǎn)改進(jìn)方案的能力。
5.3.2公共特征3.2—執(zhí)行已定義過程
5.3.2.1公共特征描述
該公共特征注重于充分定義過程的可重復(fù)執(zhí)行。因此提出了已定義過程的使用,針對(duì)有缺陷的過程
結(jié)果和工作產(chǎn)品的核查,過程執(zhí)行及其結(jié)果數(shù)據(jù)的使用。該通用實(shí)踐構(gòu)成了協(xié)調(diào)安全實(shí)踐的重要基礎(chǔ)。
5.3.2.2組織建設(shè)
組織機(jī)構(gòu)設(shè)立了負(fù)責(zé)針對(duì)該數(shù)據(jù)安全域執(zhí)行進(jìn)行有效安全保護(hù)的實(shí)體或虛擬的團(tuán)隊(duì)。
該團(tuán)隊(duì)與數(shù)據(jù)安全過程域相關(guān)的部門(如業(yè)務(wù)部門、法律部門等)共同合作,建立有效的溝通和推
進(jìn)機(jī)制,實(shí)現(xiàn)數(shù)據(jù)安全要求和技術(shù)落地方案在數(shù)據(jù)安全過程域相關(guān)場景下的有效推行。
該團(tuán)隊(duì)已明確了相關(guān)人員在該數(shù)據(jù)安全過程域下的專職職責(zé),建立執(zhí)行缺陷復(fù)查的檢查工作的考核
機(jī)制。
5.3.2.3制度流程
組織機(jī)構(gòu)針對(duì)該數(shù)據(jù)安全過程域的制度流程建立了有效的培訓(xùn)和宣傳方案,實(shí)現(xiàn)對(duì)與該數(shù)據(jù)安全過
程域相關(guān)的團(tuán)隊(duì)和人員在對(duì)制度流程的理解上的一致性。使用充分定義的過程,并建立專門的缺陷復(fù)查
過程域,針對(duì)過程域的適當(dāng)工作產(chǎn)品進(jìn)行缺陷復(fù)查。
5.3.2.4技術(shù)工具
針對(duì)該數(shù)據(jù)安全過程域中的安全管理要求,一方面建立相應(yīng)的在線化平臺(tái)固化并記錄相關(guān)的流程,
另一方面結(jié)合行業(yè)內(nèi)的優(yōu)秀產(chǎn)品方案在組織機(jī)構(gòu)內(nèi)部建設(shè)、部署相應(yīng)的技術(shù)產(chǎn)品,強(qiáng)化相應(yīng)的安全控制。
使用技術(shù)工具收集測量數(shù)據(jù),得到更積極的應(yīng)用并且為下一級(jí)的定量管理奠定了基礎(chǔ)。
5.3.2.5人員能力
從事數(shù)據(jù)安全工作的人員具備數(shù)據(jù)安全標(biāo)準(zhǔn)資質(zhì),具備在數(shù)據(jù)安全領(lǐng)域的工作經(jīng)驗(yàn),能夠有效執(zhí)行
已定義的數(shù)據(jù)安全過程。
從事數(shù)據(jù)安全工作的人員能夠充分理解組織機(jī)構(gòu)在該數(shù)據(jù)安全過程域的安全風(fēng)險(xiǎn),具備集合具體的
業(yè)務(wù)場景制定風(fēng)險(xiǎn)改進(jìn)方案,并執(zhí)行已制定的風(fēng)險(xiǎn)改進(jìn)方案的能力。
5.3.3公共特征3.3—協(xié)調(diào)實(shí)踐
5.3.3.1公共特征描述
10
GB/TXXXXX—XXXX
此公共特征側(cè)重于單個(gè)業(yè)務(wù)系統(tǒng)和組織活動(dòng)的協(xié)調(diào)。許多重大活動(dòng)都是由業(yè)務(wù)系統(tǒng)中的不同工作組
和代表業(yè)務(wù)系統(tǒng)的組織服務(wù)組共同完成的。缺乏協(xié)調(diào)將會(huì)導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)和不可比的結(jié)果。因此應(yīng)確
定業(yè)務(wù)系統(tǒng)內(nèi)、各業(yè)務(wù)系統(tǒng)之間、組織機(jī)構(gòu)外部活動(dòng)的協(xié)調(diào)機(jī)制。這些通用實(shí)踐是獲得定量控制過程能
力的必要基礎(chǔ)。
5.3.3.2組織建設(shè)
數(shù)據(jù)安全的組織機(jī)構(gòu)能夠協(xié)調(diào)業(yè)務(wù)系統(tǒng)內(nèi)、組織機(jī)構(gòu)的不同業(yè)務(wù)系統(tǒng)之間,以及與組織機(jī)構(gòu)外部之
間的標(biāo)準(zhǔn)執(zhí)行實(shí)踐,保證數(shù)據(jù)安全組織建設(shè)相關(guān)標(biāo)準(zhǔn)的統(tǒng)一執(zhí)行。
5.3.3.3制度流程
數(shù)據(jù)安全的制度流程能夠協(xié)調(diào)業(yè)務(wù)系統(tǒng)內(nèi)、組織機(jī)構(gòu)的不同業(yè)務(wù)系統(tǒng)之間,以及與組織機(jī)構(gòu)外部之
間的標(biāo)準(zhǔn)執(zhí)行實(shí)踐,保證數(shù)據(jù)安全制度流程相關(guān)標(biāo)準(zhǔn)的統(tǒng)一執(zhí)行。
5.3.3.4技術(shù)工具
數(shù)據(jù)安全的技術(shù)工具能夠協(xié)調(diào)業(yè)務(wù)系統(tǒng)內(nèi)、組織機(jī)構(gòu)的不同業(yè)務(wù)系統(tǒng)之間,以及與組織機(jī)構(gòu)外部之
間的標(biāo)準(zhǔn)執(zhí)行實(shí)踐。保證數(shù)據(jù)安全過程域中技術(shù)工具的安全管理標(biāo)準(zhǔn)統(tǒng)一執(zhí)行。
5.3.3.5人員能力
數(shù)據(jù)安全人員能夠協(xié)調(diào)項(xiàng)目組內(nèi)、組織機(jī)構(gòu)的不同項(xiàng)目組之間,以及與組織機(jī)構(gòu)外部之間的標(biāo)準(zhǔn)執(zhí)
行實(shí)踐。保證數(shù)據(jù)安全過程域中人員能力相關(guān)資質(zhì)管理標(biāo)準(zhǔn)的統(tǒng)一執(zhí)行。
5.4能力級(jí)別4—量化控制
這個(gè)級(jí)別收集、分析執(zhí)行的詳細(xì)測量。這將獲得對(duì)過程能力和改進(jìn)能力的量化理解以預(yù)測執(zhí)行情況。
這個(gè)級(jí)別執(zhí)行的管理是客觀的,數(shù)據(jù)安全管理的質(zhì)量是量化的。這一級(jí)與充分定義級(jí)的主要區(qū)別在于定
義的過程是定量的理解和控制。
該能力級(jí)別包括如下公共特征:
公共特征4.1—建立可測的安全目標(biāo);
公共特征4.2—客觀地管理執(zhí)行。
5.4.1公共特征4.1—建立可測的安全目標(biāo)
5.4.1.1公共特征描述
該公共特征的通用實(shí)踐側(cè)重于為組織機(jī)構(gòu)的數(shù)據(jù)安全建立可測量目標(biāo)。因此這個(gè)公共特征提出了安
全目標(biāo)的建立。這些通用實(shí)踐為客觀地執(zhí)行管理提供了必要的基礎(chǔ)。
5.4.1.2組織建設(shè)
結(jié)合組織機(jī)構(gòu)戰(zhàn)略安全目標(biāo)、業(yè)務(wù)系統(tǒng)的特定要求和優(yōu)先級(jí)或業(yè)務(wù)策略,將安全目標(biāo)分解落實(shí)到數(shù)
據(jù)安全數(shù)據(jù)安全相關(guān)的團(tuán)隊(duì)/崗位的職責(zé)中,以利于安全目標(biāo)的量化可測量、可執(zhí)行。
5.4.1.3制度流程
量化地確定已定義的過程,測量活動(dòng)要被嵌入到過程定義中。建立與數(shù)據(jù)安全過程域相關(guān)的數(shù)據(jù)安
全工作相關(guān)的制度流程,數(shù)據(jù)安全工作的開展多為對(duì)特定業(yè)務(wù)需求的響應(yīng)而觸發(fā)。
11
GB/TXXXXX—XXXX
5.4.1.4技術(shù)工具
根據(jù)定量的安全目標(biāo),對(duì)技術(shù)工具提出相應(yīng)的功能和性能需求。在已有的技術(shù)工具的基礎(chǔ)上實(shí)現(xiàn)對(duì)
關(guān)鍵數(shù)據(jù)安全能力的量化培訓(xùn)和提升。在已有的該數(shù)據(jù)安全過程域的安全技術(shù)產(chǎn)品的基礎(chǔ)上,進(jìn)一步結(jié)
合組織機(jī)構(gòu)具體的業(yè)務(wù)場景,對(duì)安全技術(shù)產(chǎn)品的功能和設(shè)置進(jìn)行更為細(xì)致化的管理,從而實(shí)現(xiàn)產(chǎn)品能力
上的更加細(xì)化的量化安全控制。
5.4.1.5人員能力
關(guān)鍵崗位的數(shù)據(jù)安全人員具備較高的數(shù)據(jù)安全能力,能夠在理解組織機(jī)構(gòu)整體數(shù)據(jù)安全目標(biāo)的基礎(chǔ)
上考慮負(fù)責(zé)的數(shù)據(jù)安全過程領(lǐng)域的安全工作開展方式。
5.4.2公共特征4.2—客觀地管理執(zhí)行
5.4.2.1公共特征描述
該公共特征的通用實(shí)踐側(cè)重于確定過程能力的量化測量并使用量化測量來管理這一過程。這個(gè)公共
特征提出了量化地確定過程能力和以量化測量作為修正行動(dòng)的基礎(chǔ)。這些通用實(shí)踐構(gòu)成了獲得持續(xù)改進(jìn)
能力的必要基礎(chǔ)。
5.4.2.2組織建設(shè)
組織機(jī)構(gòu)應(yīng)明確進(jìn)行定量執(zhí)行的工作要求,在工作團(tuán)隊(duì)中設(shè)置負(fù)責(zé)數(shù)據(jù)收集、存儲(chǔ)和分析的角色和
人員,提供相應(yīng)的資源,從而在工作中能夠客觀地監(jiān)督過程的執(zhí)行。
5.4.2.3制度流程
在過程執(zhí)行中收集測量數(shù)據(jù),對(duì)各項(xiàng)工作的執(zhí)行情況及其效果進(jìn)行客觀的度量,為過程的持續(xù)改進(jìn)
提供決策依據(jù)。
當(dāng)過程未按定義過程能力執(zhí)行時(shí),適當(dāng)?shù)夭扇⌒拚袆?dòng)?;趯?duì)過程能力的理解,識(shí)別出現(xiàn)偏差的
原因,并制定出適當(dāng)?shù)募m正、預(yù)防措施,提出何時(shí)和采取何種修正行動(dòng)。
針對(duì)組織機(jī)構(gòu)在該數(shù)據(jù)安全過程域的制度流程進(jìn)一步細(xì)化,針對(duì)所適應(yīng)的關(guān)鍵業(yè)務(wù)場景基于組織機(jī)
構(gòu)統(tǒng)一的制度流程細(xì)化成相應(yīng)的管理細(xì)則,從而提升其可落地性。制度流程的細(xì)化主要由承擔(dān)數(shù)據(jù)安全
職責(zé)的具體業(yè)務(wù)團(tuán)隊(duì)來負(fù)責(zé)并在該團(tuán)隊(duì)范圍內(nèi)進(jìn)行發(fā)布和推廣,例如基于組織機(jī)構(gòu)制定的數(shù)據(jù)對(duì)外交換
的原則,各業(yè)務(wù)團(tuán)隊(duì)可基于其相關(guān)的數(shù)據(jù)交換的業(yè)務(wù)場景中所涉及的對(duì)外交換的數(shù)據(jù),制定出詳細(xì)的適
用于該團(tuán)隊(duì)業(yè)務(wù)場景的對(duì)外數(shù)據(jù)交換的安全細(xì)則。
組織機(jī)構(gòu)進(jìn)一步關(guān)注制度流程的執(zhí)行效果,從安全要求、流程執(zhí)行的有效性方面進(jìn)行持續(xù)的跟蹤和
效果度量,從而反饋到相關(guān)制度流程的內(nèi)容修訂上。
5.4.2.4技術(shù)工具
提供技術(shù)工具支持?jǐn)?shù)據(jù)的采集、存儲(chǔ)、分析和管理等工作。
5.4.2.5人員能力
關(guān)鍵崗位的數(shù)據(jù)安全人員具備客觀地管理執(zhí)行的意識(shí)和能力,自覺地根據(jù)制度流程要求,采用技術(shù)
工具進(jìn)行數(shù)據(jù)的采集和分析。
5.5能力級(jí)別5—持續(xù)優(yōu)化
12
GB/TXXXXX—XXXX
在這個(gè)級(jí)別上,基于組織機(jī)構(gòu)的商務(wù)目標(biāo)并針對(duì)過程的有效性和執(zhí)行效率建立量化執(zhí)行目標(biāo)。通過
執(zhí)行已定義過程和有創(chuàng)建的新概念、新技術(shù)的量化反饋來保證對(duì)這些目標(biāo)進(jìn)行持續(xù)過程改進(jìn)。這一級(jí)與
定量控制級(jí)的主要區(qū)別在于已定義的過程和標(biāo)準(zhǔn)過程基于對(duì)這些過程變化效果的量化理解,進(jìn)行連續(xù)調(diào)
整和改進(jìn)。
安全過程可持續(xù)優(yōu)化,實(shí)時(shí)跟蹤行業(yè)的最佳實(shí)踐和業(yè)務(wù)的最新動(dòng)向,制度流程和技術(shù)工具持續(xù)調(diào)整
以更好適應(yīng)業(yè)務(wù)發(fā)展,沉淀下來的數(shù)據(jù)安全最佳實(shí)踐能推廣至行業(yè)供其他組織機(jī)構(gòu)借鑒。
該能力級(jí)別包括如下公共特征:
公共特征5.1—改進(jìn)組織能力;
公共特征5.2—改進(jìn)過程有效性。
5.5.1公共特征5.1—改進(jìn)組織能力
該公共特征的通用實(shí)踐注重于在整個(gè)組織機(jī)構(gòu)范圍內(nèi)標(biāo)準(zhǔn)過程的使用進(jìn)行比較和在這些不同使用
之間進(jìn)行比較。當(dāng)這些過程被使用時(shí),尋找改進(jìn)標(biāo)準(zhǔn)過程的機(jī)會(huì),分析產(chǎn)生的缺陷以標(biāo)識(shí)對(duì)標(biāo)準(zhǔn)過程的
其它可能改進(jìn)。因此,這個(gè)公共特征對(duì)過程的有效性建立了目標(biāo)、標(biāo)識(shí)對(duì)標(biāo)準(zhǔn)過程的改進(jìn)以及分析對(duì)標(biāo)
準(zhǔn)過程的可能變更。這些通用實(shí)踐構(gòu)成了改進(jìn)過程有效性的必要基礎(chǔ)。
5.5.1.1組織建設(shè)
組織架構(gòu)的設(shè)置與國際上領(lǐng)先的數(shù)據(jù)安全管理理念符合,且能更好適應(yīng)業(yè)務(wù)發(fā)展的戰(zhàn)略規(guī)劃,具備
及時(shí)調(diào)整的以促進(jìn)業(yè)務(wù)發(fā)展的能力。
5.5.1.2制度流程
為改進(jìn)過程有效性,根據(jù)組織機(jī)構(gòu)的業(yè)務(wù)目標(biāo)和當(dāng)前過程能力建立量化目標(biāo)。實(shí)時(shí)跟蹤數(shù)據(jù)安全管
理領(lǐng)域的最佳實(shí)踐和業(yè)務(wù)的最新動(dòng)向,預(yù)先判斷業(yè)務(wù)在數(shù)據(jù)安全領(lǐng)域所面臨的風(fēng)險(xiǎn),并在制度流程上進(jìn)
行持續(xù)性的優(yōu)化。通過改變組織機(jī)構(gòu)的標(biāo)準(zhǔn)過程族連續(xù)地改進(jìn)過程,從而提高過程有效性。
5.5.1.3技術(shù)工具
基于數(shù)據(jù)安全技術(shù)的最新進(jìn)展以及組織機(jī)構(gòu)沉淀下來的數(shù)據(jù)安全技術(shù)能力,結(jié)合業(yè)務(wù)發(fā)展的實(shí)際情
況引入先進(jìn)的技術(shù)工具提升數(shù)據(jù)安全控制的有效性。
5.5.1.4人員能力
密切關(guān)注國內(nèi)外最新的數(shù)據(jù)安全標(biāo)準(zhǔn)及規(guī)范,加強(qiáng)行業(yè)領(lǐng)域內(nèi)的專家交流,結(jié)合本組織機(jī)構(gòu)的特點(diǎn)
合理優(yōu)化并組織機(jī)構(gòu)內(nèi)的數(shù)據(jù)安全解決方案。
5.5.2公共特征5.2—改進(jìn)過程有效性
該公共特征的通用實(shí)踐注重于制定處于連續(xù)受控改進(jìn)狀態(tài)下的標(biāo)準(zhǔn)過程。因此這個(gè)公共特征提出消
除標(biāo)準(zhǔn)過程產(chǎn)生缺陷的原因和持續(xù)改進(jìn)的標(biāo)準(zhǔn)過程。
5.5.2.1組織建設(shè)
組織架構(gòu)的設(shè)置與國際上領(lǐng)先的數(shù)據(jù)安全管理理念符合,且能更好適應(yīng)業(yè)務(wù)發(fā)展的戰(zhàn)略規(guī)劃,具備
及時(shí)調(diào)整的以促進(jìn)業(yè)務(wù)發(fā)展的能力。
5.5.2.2制度流程
13
GB/TXXXXX—XXXX
為改進(jìn)過程有效性,根據(jù)組織機(jī)構(gòu)的業(yè)務(wù)目標(biāo)和當(dāng)前過程能力建立量化目標(biāo)。實(shí)時(shí)跟蹤數(shù)據(jù)安全管
理領(lǐng)域的最佳實(shí)踐和業(yè)務(wù)的最新動(dòng)向,預(yù)先判斷業(yè)務(wù)在數(shù)據(jù)安全領(lǐng)域所面臨的風(fēng)險(xiǎn),并在制度流程上進(jìn)
行持續(xù)性的優(yōu)化。執(zhí)行缺陷的因果分析。有選擇的消除已定義過程中缺陷產(chǎn)生的原因。在這個(gè)公共實(shí)踐
中,意味著公共原因和特殊原因的變化,并且每一種缺陷都會(huì)導(dǎo)致采取不同的行動(dòng)。
5.5.2.3技術(shù)工具
基于數(shù)據(jù)安全技術(shù)的最新進(jìn)展以及組織機(jī)構(gòu)沉淀下來的數(shù)據(jù)安全技術(shù)能力,結(jié)合業(yè)務(wù)發(fā)展的實(shí)際情
況引入先進(jìn)的技術(shù)工具提升數(shù)據(jù)安全控制的有效性。
5.5.2.4人員能力
密切關(guān)注國內(nèi)外最新的數(shù)據(jù)安全標(biāo)準(zhǔn)及規(guī)范,加強(qiáng)行業(yè)領(lǐng)域內(nèi)的專家交流,結(jié)合本組織機(jī)構(gòu)的特點(diǎn)
合理優(yōu)化并組織機(jī)構(gòu)內(nèi)的數(shù)據(jù)安全解決方案。
執(zhí)行該過程的人員一般為參與分析的人員。這是一種事前和反復(fù)的因果分析活動(dòng)。以前具有相似屬
性的項(xiàng)目缺陷可作為目標(biāo)改進(jìn)區(qū)。
6數(shù)據(jù)生命周期通用的安全基本實(shí)踐
6.1策略與規(guī)程
6.1.1數(shù)據(jù)安全策略與規(guī)程
6.1.1.1數(shù)據(jù)安全過程域描述
通過建立組織機(jī)構(gòu)整體的數(shù)據(jù)安全策略及規(guī)程,以實(shí)現(xiàn)對(duì)數(shù)據(jù)全生命周期的安全風(fēng)險(xiǎn)管控。
6.1.1.2數(shù)據(jù)安全能力基本實(shí)踐
a)組織建設(shè):設(shè)立數(shù)據(jù)安全的團(tuán)隊(duì)/崗位負(fù)責(zé)組織機(jī)構(gòu)的數(shù)據(jù)安全策略與規(guī)程的制定、修訂和落
地。(《要求》5.1.1a)b))
b)制度流程:
1)依據(jù)組織機(jī)構(gòu)的業(yè)務(wù)戰(zhàn)略,建立數(shù)據(jù)安全方針和目標(biāo),并基于此建立以數(shù)據(jù)生命周期為
核心思想的數(shù)據(jù)安全制度體系,相關(guān)制度均從目的、范圍、崗位、責(zé)任、管理層承諾、
內(nèi)外部協(xié)調(diào)及合規(guī)性方面提出明確的要求。(《要求》5.1.1a)b))
2)建立了數(shù)據(jù)安全策略與規(guī)程的分發(fā)流程,策略和規(guī)程均能被組織機(jī)構(gòu)各部門、崗位和人
員獲取。(《要求》5.1.1c))
3)制定并實(shí)施與安全策略和規(guī)程相適應(yīng)的大數(shù)據(jù)平臺(tái)和大數(shù)據(jù)應(yīng)用實(shí)施細(xì)則,包括外部數(shù)
據(jù)資源整合、數(shù)據(jù)共享、數(shù)據(jù)發(fā)布等數(shù)據(jù)供應(yīng)鏈安全管理細(xì)則、合同要求及審核機(jī)制。
(《要求》5.1.1.d))
4)建立策略及規(guī)程的評(píng)審、發(fā)布流程,并確定適當(dāng)?shù)念l率和時(shí)機(jī)對(duì)策略和規(guī)范進(jìn)行更新,
以確保其持續(xù)的適宜性和有效性。(《要求》5.1.1e)f))
c)技術(shù)工具:建立了數(shù)據(jù)安全策略及規(guī)程管理的技術(shù)工具,通過該技術(shù)工具面向組織機(jī)構(gòu)全體
員工發(fā)布對(duì)策略及規(guī)范的解讀材料,以便于策略規(guī)范的落地推進(jìn)。(《要求》5.1.1c)d))
d)人員能力:
1)負(fù)責(zé)數(shù)據(jù)安全頂層方針、策略制定的人員了解組織機(jī)構(gòu)的業(yè)務(wù)發(fā)展目標(biāo),能夠?qū)?shù)據(jù)安
全工作目標(biāo)和業(yè)務(wù)發(fā)展目標(biāo)進(jìn)行有機(jī)的結(jié)合。(《要求》5.1.1a)、5.1.2a)b))
2)負(fù)責(zé)數(shù)據(jù)安全策略與規(guī)程編寫的人員掌握信息安全管理體系建設(shè)的知識(shí),并具有專業(yè)的
規(guī)范撰寫能力。(《要求》5.1.1a)、b)、c)、d))
14
GB/TXXXXX—XXXX
3)負(fù)責(zé)數(shù)據(jù)安全策略及規(guī)范推廣的人員能夠?qū)?shù)據(jù)安全管理的方針、策略和制度規(guī)范進(jìn)行
準(zhǔn)確解讀,能夠以員工和相關(guān)方易理解的方式通過培訓(xùn)等形式進(jìn)行宣傳。(《要求》5.1.1
c))
6.2數(shù)據(jù)與系統(tǒng)資產(chǎn)
6.2.1數(shù)據(jù)資產(chǎn)
6.2.1.1數(shù)據(jù)安全過程域描述
通過建立針對(duì)組織機(jī)構(gòu)數(shù)據(jù)資產(chǎn)的有效管理手段,從資產(chǎn)的類型、管理模式方面實(shí)現(xiàn)統(tǒng)一的管理標(biāo)
準(zhǔn)。
6.2.1.2數(shù)據(jù)安全能力基本實(shí)踐
a)組織建設(shè):設(shè)置數(shù)據(jù)安全的團(tuán)隊(duì)/崗位負(fù)責(zé)組織機(jī)構(gòu)統(tǒng)一的數(shù)據(jù)資產(chǎn)管理工作,主要負(fù)責(zé)對(duì)數(shù)
據(jù)資產(chǎn)管理的規(guī)范制定和落地推動(dòng),并由各業(yè)務(wù)團(tuán)隊(duì)的具體人員承擔(dān)各業(yè)務(wù)范圍內(nèi)的數(shù)據(jù)資
產(chǎn)管理工作。(《要求》5.2.1.1a)b)c)d)e))
b)制度流程:
1)制定數(shù)據(jù)資產(chǎn)的安全管理規(guī)范,明確數(shù)據(jù)資產(chǎn)的安全管理目標(biāo)和安全原則,管理規(guī)范明
確了數(shù)據(jù)資產(chǎn)的登記制度,定義了數(shù)據(jù)資產(chǎn)的數(shù)據(jù)管理者和安全管理者在組織機(jī)構(gòu)中的
角色定位和所應(yīng)承擔(dān)的職責(zé),并提出數(shù)據(jù)資產(chǎn)的分類管理要求。(《要求》5.2.1.1a)
c))
2)建立數(shù)據(jù)資產(chǎn)分類分級(jí)方法和操作指南,以及數(shù)據(jù)資產(chǎn)分類分級(jí)的變更審批流程和機(jī)制。
(《要求》5.2.1.1b))
3)建立數(shù)據(jù)資產(chǎn)清單,明確數(shù)據(jù)資產(chǎn)管理范圍和屬性。(《要求》5.2.1.1d))
4)建立組織機(jī)構(gòu)內(nèi)部數(shù)據(jù)資產(chǎn)管理過程中需要數(shù)據(jù)管理者和安全管理者需要參與的審批流
程,并清晰定期其在各流程中所承擔(dān)的審批職責(zé)。(《要求》5.2.1.1b))
5)定期審核和更新數(shù)據(jù)資產(chǎn)安全管理相關(guān)的安全規(guī)范、操作細(xì)則。(《要求》5.2.1.1e))
6)依據(jù)數(shù)據(jù)資產(chǎn)和數(shù)據(jù)主體安全分級(jí)要求建立相應(yīng)的標(biāo)記策略、訪問控制、數(shù)據(jù)加解密、
數(shù)據(jù)脫敏等安全機(jī)制和管控措施。(《要求》5.2.1.2a))
7)建立組織機(jī)構(gòu)業(yè)務(wù)所需的內(nèi)外部數(shù)據(jù)資產(chǎn)的安全治理原則和數(shù)據(jù)資源整合規(guī)范。(《要
求》5.2.1.2b))
c)技術(shù)工具:
1)建立組織機(jī)構(gòu)統(tǒng)一的數(shù)據(jù)資產(chǎn)管理平臺(tái),通過技術(shù)工具整體量化組織機(jī)構(gòu)內(nèi)部的數(shù)據(jù)資
產(chǎn)情況,實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)的統(tǒng)一管理,包括但不限于標(biāo)識(shí)數(shù)據(jù)的數(shù)據(jù)管理者和安全管理
者,數(shù)據(jù)資產(chǎn)等級(jí),數(shù)據(jù)資產(chǎn)數(shù)據(jù)量,各等級(jí)的數(shù)據(jù)資產(chǎn)的分布情況等信息,從而便于
數(shù)據(jù)管理人員進(jìn)行整體的數(shù)據(jù)資產(chǎn)現(xiàn)狀統(tǒng)計(jì)。(《要求》5.2.1.2c))
2)量化數(shù)據(jù)管理者和安全管理者在相關(guān)數(shù)據(jù)安全流程中的參與情況,調(diào)整數(shù)據(jù)管理者和安
全管理者的職責(zé)要求。(《要求》5.2.1.2a))
d)人員能力:具備對(duì)組織機(jī)構(gòu)內(nèi)部數(shù)據(jù)資產(chǎn)管理需求的理解,以及對(duì)數(shù)據(jù)資產(chǎn)所涉及業(yè)務(wù)范圍
的整體概念的理解,能夠建立適用于組織機(jī)構(gòu)業(yè)務(wù)實(shí)際情況的可落地的管理制度。(《要求》
5.2.1.1a)b)c)d)e)、《要求》5.2.1.2a)b)c))
6.2.2系統(tǒng)資產(chǎn)
6.2.2.1數(shù)據(jù)安全過程域描述
15
GB/TXXXXX—XXXX
通過建立針對(duì)組織機(jī)構(gòu)內(nèi)部信息系統(tǒng)資產(chǎn)的有效管理手段,從資產(chǎn)的類型、管理模式方面實(shí)現(xiàn)統(tǒng)一
的管理標(biāo)準(zhǔn)。
6.2.2.2數(shù)據(jù)安全能力基本實(shí)踐
a)組織建設(shè):設(shè)置專門的團(tuán)隊(duì)/崗位負(fù)責(zé)組織機(jī)構(gòu)統(tǒng)一的信息系統(tǒng)資產(chǎn)管理工作,主要負(fù)責(zé)對(duì)信
息系統(tǒng)資產(chǎn)管理的規(guī)范制定和落地推動(dòng),并由各業(yè)務(wù)團(tuán)隊(duì)的具體人員承擔(dān)各業(yè)務(wù)范圍內(nèi)的信
息系統(tǒng)資產(chǎn)管理工作。(《要求》5.2.2.1a)、b)、c)、d)、e))
b)制度流程:
1)制定信息系統(tǒng)資產(chǎn)的安全管理制度,明確信息系統(tǒng)資產(chǎn)安全管理目標(biāo)和安全原則、信息
系統(tǒng)資產(chǎn)的全生命周期管理要求、資產(chǎn)登記要求和分類標(biāo)記要求,并針對(duì)安全管理制度
執(zhí)行定期審核和更新。(《要求》5.2.2.1a)、e))
2)建立信息系統(tǒng)資產(chǎn)建設(shè)和運(yùn)營管理制度和機(jī)制,明確規(guī)劃、設(shè)計(jì)、采購、開發(fā)、運(yùn)行、
維護(hù)及報(bào)廢等資產(chǎn)管理過程的安全要求。(《要求》5.2.2.1b))
3)建立組織機(jī)構(gòu)內(nèi)的信息系統(tǒng)資產(chǎn)登記機(jī)制,形成整體的信息系統(tǒng)軟硬件資產(chǎn)清單,明確
系統(tǒng)資產(chǎn)安全責(zé)任主體及相關(guān)方,并及時(shí)更新系統(tǒng)資產(chǎn)相關(guān)信息。(《要求》5.2.2.1c))
4)建立和實(shí)施信息系統(tǒng)資產(chǎn)分類和標(biāo)記規(guī)程,使資產(chǎn)標(biāo)記易于填寫和依附在相應(yīng)的系統(tǒng)資
產(chǎn)上。(《要求》5.2.2.1d))
5)建立信息系統(tǒng)資產(chǎn)更新、運(yùn)營風(fēng)險(xiǎn)評(píng)估和供應(yīng)鏈安全審查規(guī)程和制度。(《要求》5.2.2.2
b))
c)技術(shù)工具:
1)針對(duì)易通過技術(shù)工具執(zhí)行資產(chǎn)登記、分類標(biāo)記的信息系統(tǒng),實(shí)現(xiàn)自動(dòng)化的屬性標(biāo)識(shí)工作。
(《要求》5.2.2.1d))
2)組織機(jī)構(gòu)建立信息系統(tǒng)資產(chǎn)管理平臺(tái),能夠通過技術(shù)工具整體量化組織機(jī)構(gòu)內(nèi)部的信息
系統(tǒng)資產(chǎn)情況,包括但不限于整體的信息系統(tǒng)資產(chǎn)數(shù)量等信息,具備系統(tǒng)資產(chǎn)統(tǒng)一注冊(cè)、
管理和使用監(jiān)控等能力,從而便于信息系統(tǒng)管理人員進(jìn)行整體的信息系統(tǒng)資產(chǎn)現(xiàn)狀統(tǒng)計(jì)。
(《要求》5.2.2.2a))
d)人員能力:負(fù)責(zé)組織機(jī)構(gòu)統(tǒng)一的信息系統(tǒng)資產(chǎn)管理工作的人員具備對(duì)組織機(jī)構(gòu)內(nèi)部信息系統(tǒng)
資產(chǎn)管理需求的理解,以及對(duì)信息系統(tǒng)資產(chǎn)所涉及業(yè)務(wù)范圍的整體概念的理解,能夠建立適
用于組織機(jī)構(gòu)業(yè)務(wù)實(shí)際情況的可落地的管理制度。(《要求》5.2.2.1a)、b)、c)、d)、
e))
6.3組織和人員管理
6.3.1組織管理
6.3.1.1數(shù)據(jù)安全過程域描述
通過建立組織機(jī)構(gòu)內(nèi)部負(fù)責(zé)數(shù)據(jù)安全工作的職能部門及崗位,并明確職能部門及崗位承擔(dān)的數(shù)據(jù)安
全責(zé)任,防范人員管理過程中存在的安全風(fēng)險(xiǎn)。
6.3.1.2數(shù)據(jù)安全能力基本實(shí)踐
a)組織建設(shè):
1)基于組織機(jī)構(gòu)的數(shù)據(jù)安全方針及策略,充分定義了組織機(jī)構(gòu)內(nèi)部正式的數(shù)據(jù)安全職能部
門/崗位,數(shù)據(jù)安全的職能框架包括但不限于:(《要求》5.3.1.1a)、c))
數(shù)據(jù)安全規(guī)范及標(biāo)準(zhǔn):負(fù)責(zé)組織機(jī)構(gòu)內(nèi)數(shù)據(jù)安全相關(guān)的規(guī)范制度和詳細(xì)標(biāo)準(zhǔn)的制定,
為組織機(jī)構(gòu)數(shù)據(jù)安全相關(guān)工作的開展提供依據(jù)和要求。
數(shù)據(jù)安全技術(shù)及產(chǎn)品:負(fù)責(zé)組織機(jī)構(gòu)內(nèi)數(shù)據(jù)安全技術(shù)的應(yīng)用、數(shù)據(jù)安全產(chǎn)品的開發(fā)
和部署,建立整體的技術(shù)防護(hù)及應(yīng)急保障體系。
16
GB/TXXXXX—XXXX
數(shù)據(jù)安全監(jiān)控及審計(jì):負(fù)責(zé)建立組織機(jī)構(gòu)內(nèi)的數(shù)據(jù)安全風(fēng)險(xiǎn)管理體系,對(duì)數(shù)據(jù)全生
命周期的安全風(fēng)險(xiǎn)進(jìn)行審計(jì),從風(fēng)險(xiǎn)的預(yù)防、發(fā)現(xiàn)、跟進(jìn)等環(huán)節(jié)實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的有效
管理。
數(shù)據(jù)安全宣傳與促進(jìn):負(fù)責(zé)面向組織機(jī)構(gòu)內(nèi)全體人員普及數(shù)據(jù)安全相關(guān)知識(shí),通過
多種形式推廣數(shù)據(jù)安全的風(fēng)險(xiǎn)防范思路和方法,提高組織機(jī)構(gòu)內(nèi)全體人員的數(shù)據(jù)安
全意識(shí),促進(jìn)數(shù)據(jù)安全工作的具體落地。
數(shù)據(jù)安全合作與交流:負(fù)責(zé)與監(jiān)管機(jī)構(gòu)進(jìn)行持續(xù)的溝通,并在行業(yè)內(nèi)交流數(shù)據(jù)安全
的實(shí)踐經(jīng)驗(yàn)、開展相關(guān)合作以促進(jìn)行業(yè)的整體發(fā)展。
信息系統(tǒng)安全管理:負(fù)責(zé)信息系統(tǒng)的安全規(guī)劃、安全建設(shè)、安全運(yùn)營和系統(tǒng)維護(hù)工
作,實(shí)現(xiàn)基礎(chǔ)信息系統(tǒng)的安全管理。
2)組織機(jī)構(gòu)層面建立數(shù)據(jù)安全領(lǐng)導(dǎo)小組,指定機(jī)構(gòu)最高管理者或授權(quán)代表擔(dān)任小組組長,
并明確組長責(zé)任與權(quán)力。(《要求》5.3.1.1b))
3)職能崗位設(shè)計(jì)時(shí)考慮了職責(zé)分離的原則,并建立組織機(jī)構(gòu)內(nèi)部監(jiān)督管理職能部門,對(duì)組
織機(jī)構(gòu)內(nèi)部的數(shù)據(jù)安全管理的相關(guān)職能崗位的操作行為進(jìn)行安全監(jiān)督管理。(《要求》
5.3.1.1d))
4)建立體系化的大數(shù)據(jù)安全管理機(jī)構(gòu),組織機(jī)構(gòu)最高管理人員應(yīng)作為大數(shù)據(jù)安全領(lǐng)導(dǎo)小組
組長,且配備必要的管理人員和技術(shù)人員。(《要求》5.3.1.2a))
5)設(shè)置專職的大數(shù)據(jù)服務(wù)安全崗位,建立規(guī)范化的大數(shù)據(jù)服務(wù)安全保護(hù)、評(píng)估及考核專職
隊(duì)伍。(《要求》5.3.1.2b))
b)制度流程:
1)制定數(shù)據(jù)安全職能的工作規(guī)范,以明確各職能崗位之間的協(xié)作關(guān)系,明確了各職能崗位
的運(yùn)行配合機(jī)制。(《要求》5.3.1.1a))
2)制定大數(shù)據(jù)安全追責(zé)制度,定期對(duì)責(zé)任部門和安全崗位組織安全檢查,形成檢查報(bào)告。
(《要求》5.3.1.1e))
c)技術(shù)工具:在組織機(jī)構(gòu)通過技術(shù)工具以公開信息且可查詢的形式面向全員公布數(shù)據(jù)安全職能
部門的組織架構(gòu)。(《要求》5.3.1.1a,5.3.1.2a))
d)人員能力:
1)負(fù)責(zé)執(zhí)行數(shù)據(jù)安全職能設(shè)置的人員能夠明確組織機(jī)構(gòu)的數(shù)據(jù)安全工作目標(biāo)。(《要求》
5.3.1.1a))
2)能夠充分理解數(shù)據(jù)安全職能現(xiàn)狀,并具備基于職能運(yùn)作的效果有效調(diào)整職能設(shè)置的能力。
(《要求》5.3.1.2a)、b))
6.3.2人員管理
6.3.2.1數(shù)據(jù)安全過程域描述
通過對(duì)人力資源管理過程中各環(huán)節(jié)的安全管理,有效降低對(duì)組織機(jī)構(gòu)內(nèi)部的員工和第三方員工的管
理過程中存在的安全風(fēng)險(xiǎn)。
6.3.2.2數(shù)據(jù)安全能力基本實(shí)踐
a)組織建設(shè):明確在人力資源管理過程中承擔(dān)數(shù)據(jù)安全管理職責(zé)的崗位,該崗位負(fù)責(zé)對(duì)數(shù)據(jù)安
全需求的分析及落地方案的制訂和推進(jìn)。(《要求》5.3.2.1a)、b)、c)、d)、e)、f)、
g))
b)制度流程:
1)制定人力資源安全策略,明確不同崗位人員在數(shù)據(jù)生命周期各階段數(shù)據(jù)服務(wù)和系統(tǒng)服務(wù)
相關(guān)的工作范疇和安全管控措施。(《要求》5.3.2.1a))
17
GB/TXXXXX—XXXX
2)制定大數(shù)據(jù)服務(wù)人員招聘、錄用、上崗、調(diào)崗、離崗、考核、選拔等人員安全管理制度,
將數(shù)據(jù)安全相關(guān)的環(huán)節(jié)固化到涉及的人力資源流程中。制度中明確要求在錄用重要崗位
人員前對(duì)其進(jìn)行背景調(diào)查,確保符合相關(guān)的法律、法規(guī)、合同和道德要求,并與所有涉
及大數(shù)據(jù)服務(wù)崗位人員簽訂安全責(zé)任協(xié)議;明確大數(shù)據(jù)服務(wù)重要崗位的兼職和輪崗、權(quán)
限分離、多人共管等安全管理要求;建立在崗人員安全責(zé)任獎(jiǎng)懲管理機(jī)制,將員工在職
期間在數(shù)據(jù)安全方面的義務(wù)和職責(zé)納入人力資源激勵(lì)和懲罰的范疇,并按照規(guī)定對(duì)造成
大數(shù)據(jù)安全損失的人員給予相應(yīng)的處理,記錄并保存相關(guān)信息;在重要崗位人員調(diào)離或
終止勞動(dòng)合同時(shí),與其簽訂保密協(xié)議。(《要求》5.3.2.1b)、c)、d)、e)、g))
3)制定第三方人員安全管理制度,對(duì)接觸個(gè)人信息、重要數(shù)據(jù)等數(shù)據(jù)的人員進(jìn)行審批和登
記,并要求簽署保密協(xié)議,定期對(duì)這些人員行為進(jìn)行安全審查。(《要求》5.3.2.1f))
4)明確關(guān)鍵崗位人員背景調(diào)查范圍,定期對(duì)關(guān)鍵崗位人員進(jìn)行背景審查;對(duì)員工候選者的
背景調(diào)查中也包含了對(duì)候選者的專業(yè)能力的調(diào)查。(《要求》5.3.2.2a))
c)技術(shù)工具:通過技術(shù)化手段將人力資源安全相關(guān)的流程通過系統(tǒng)平臺(tái)自動(dòng)化實(shí)現(xiàn)。(《要求》
5.3.2.1a)、b)、c)、d)、e)、f)、g))
d)人員能力:
1)負(fù)責(zé)人力資源安全管理的人員應(yīng)充分理解人力資源管理流程中可對(duì)安全風(fēng)險(xiǎn)進(jìn)行把控
的環(huán)節(jié)。并通過培訓(xùn)、考試等手段提升全體人員數(shù)據(jù)安全意識(shí)水平。(《要求》5.3.2.1
a)、b)、c)、d)、e)、f)、g))
2)明確關(guān)鍵崗位人員安全能力要求,并確定他們培訓(xùn)技能考核內(nèi)容與考核指標(biāo),定期對(duì)關(guān)
鍵崗位人員進(jìn)行審查和能力考核。(《要求》5.3.2.2b))
6.3.3角色管理
6.3.3.1數(shù)據(jù)安全過程域描述
通過對(duì)大數(shù)據(jù)安全管理過程中各角色的安全管理,有效降低對(duì)組織機(jī)構(gòu)內(nèi)部的員工和第三方員工的
管理過程中存在的安全風(fēng)險(xiǎn)。
6.3.3.2數(shù)據(jù)安全能力基本實(shí)踐
a)組織建設(shè):明確在人力資源管理過程中承擔(dān)數(shù)據(jù)安全管理職責(zé)的崗位,該崗位負(fù)責(zé)對(duì)數(shù)據(jù)安
全需求的分析及落地方案的制訂和推進(jìn)。(《要求》5.3.3.1a)、b)、c))
b)制度流程:
1)建立大數(shù)據(jù)相關(guān)的安全角色,明確安全角色的分配策略和授權(quán)范圍。(《要求》5.3.3.1
a))
2)建立用戶角色及角色權(quán)限沖突的定期審查機(jī)制,及時(shí)更新用戶角色及角色權(quán)限授權(quán)信息。
(《要求》5.3.3.1b))
3)明確大數(shù)據(jù)安全相關(guān)重要崗位及其角色安全要求,建立重要崗位角色清單和授權(quán)機(jī)制。
(《要求》5.3.1.1c))
4)依照大數(shù)據(jù)業(yè)務(wù)需求和大數(shù)據(jù)系統(tǒng)架構(gòu)建立分層的角色體系、職責(zé)分離等大數(shù)據(jù)業(yè)務(wù)安
全角色管理機(jī)制。(《要求》5.3.3.2a))
5)建立用戶應(yīng)用上下文感知的角色啟動(dòng)、停用與禁用的動(dòng)態(tài)管理策略、規(guī)程和機(jī)制。(《要
求》5.3.3.2b))
c)技術(shù)工具:通過技術(shù)化手段將角色管理相關(guān)的規(guī)則與組織機(jī)構(gòu)的身份認(rèn)證管理平臺(tái)進(jìn)行聯(lián)動(dòng),
自動(dòng)化實(shí)現(xiàn)相關(guān)安全控制。(《要求》5.3.3.1a)、b)、c))
d)人員能力:負(fù)責(zé)角色管理的人員應(yīng)充分理解角色管理流程中可對(duì)安全風(fēng)險(xiǎn)進(jìn)行把控的環(huán)節(jié),通
過培訓(xùn)、考試等手段提升各角色人員數(shù)據(jù)安全意識(shí)水平。(《要求》5.3.3.1a)、b)、c))
18
GB/TXXXXX—XXXX
6.3.4人員培訓(xùn)
6.3.4.1數(shù)據(jù)安全過程域描述
通過對(duì)人力培訓(xùn)管理過程中各環(huán)節(jié)的管理,有效提升組織機(jī)構(gòu)內(nèi)部的員工和第三方員工的數(shù)據(jù)安全
意識(shí)和數(shù)據(jù)安全能力水平。
6.3.4.2數(shù)據(jù)安全能力基本實(shí)踐
a)組織建設(shè):明確組織機(jī)構(gòu)內(nèi)部承擔(dān)人員數(shù)據(jù)安全培訓(xùn)管理職責(zé)的崗位,該崗位負(fù)責(zé)對(duì)數(shù)據(jù)安
全培訓(xùn)需求的分析及落地方案的制訂和推進(jìn)。(《要求》5.3.4.1a)、b)、c))
b)制度流程:
1)制定大數(shù)據(jù)安全崗位人員的安全培訓(xùn)計(jì)劃,并對(duì)培訓(xùn)計(jì)劃定期審核和更新。(《要求》
5.3.4.1a))?
2)制定大數(shù)據(jù)安全關(guān)鍵崗位轉(zhuǎn)崗、崗位升級(jí)等相應(yīng)的人員安全培訓(xùn)計(jì)劃,并對(duì)培訓(xùn)計(jì)劃定
期審核和更新。?(《要求》5.3.4.1b))
3)按計(jì)劃對(duì)相關(guān)人員開展數(shù)據(jù)安全培訓(xùn),包括政策、法律、法規(guī)、標(biāo)準(zhǔn)等合規(guī)性培訓(xùn),并
對(duì)培訓(xùn)結(jié)果進(jìn)行評(píng)價(jià)、記錄和歸檔。(《要求》5.3.4.1c))
4)根據(jù)不同的業(yè)數(shù)據(jù)各類業(yè)務(wù)場景下的數(shù)據(jù)安全培訓(xùn)計(jì)劃和培訓(xùn)材料。(《要求》5.3.4.2
a))
c)技術(shù)工具:
1)通過技術(shù)化手段將數(shù)據(jù)安全人員培訓(xùn)相關(guān)的流程通過系統(tǒng)平臺(tái)自動(dòng)化實(shí)現(xiàn)。(《要求》
5.3.4.1a)、b)、c))
2)通過在線的人員培訓(xùn)管理平臺(tái),量化管理人員培訓(xùn)的效果。(《要求》5.3.4.1a)、b)、
c)、5.3.4.2a))
d)人員能力:固化了針對(duì)員工、第三方人員進(jìn)行數(shù)據(jù)安全能力培訓(xùn)的環(huán)節(jié),通過培訓(xùn)、考試等
手段提升全體人員數(shù)據(jù)安全能力水平。(《要求》5.3.4.1a)、b)、c)、5.3.4.2a))
6.4業(yè)務(wù)規(guī)劃與管理
6.4.1戰(zhàn)略規(guī)劃
6.4.1.1數(shù)據(jù)安全過程域描述
通過建立組織層面大數(shù)據(jù)安全戰(zhàn)略規(guī)劃體系,保證大數(shù)據(jù)戰(zhàn)略規(guī)劃與組織機(jī)構(gòu)的大數(shù)據(jù)業(yè)務(wù)規(guī)劃相
適應(yīng)。
6.4.1.2數(shù)據(jù)安全能力基本實(shí)踐
a)組織建設(shè):設(shè)立專門的大數(shù)據(jù)戰(zhàn)略規(guī)劃崗位,負(fù)責(zé)對(duì)制定組織機(jī)構(gòu)整體的戰(zhàn)略規(guī)劃并推進(jìn)階
段性的規(guī)劃執(zhí)行;同時(shí),設(shè)立大數(shù)據(jù)安全戰(zhàn)略規(guī)劃評(píng)估小組,負(fù)責(zé)機(jī)構(gòu)安全規(guī)劃評(píng)估,確保
大數(shù)據(jù)安全策略、安全目標(biāo)和戰(zhàn)略規(guī)劃內(nèi)容的合規(guī)性。(《要求》5.4.1.1c))
b)制度流程:
1)依據(jù)機(jī)構(gòu)大數(shù)據(jù)安全戰(zhàn)略規(guī)劃目標(biāo),制定大數(shù)據(jù)安全規(guī)劃各階段目標(biāo)、任務(wù)和工作重點(diǎn),
并對(duì)戰(zhàn)略規(guī)劃目標(biāo)和安全規(guī)劃實(shí)施過程進(jìn)行監(jiān)督與控制。(《要求》5.4.1.1b))
2)建立大數(shù)據(jù)安全管理綱領(lǐng)性文件,包括但不限于:數(shù)據(jù)治理、數(shù)據(jù)質(zhì)量、元數(shù)據(jù),以及
平臺(tái)與應(yīng)用安全相關(guān)的數(shù)據(jù)所有權(quán)、數(shù)據(jù)開放與共享等安全策略。(《要求》5.4.1.2b))
3)建立大數(shù)據(jù)安全規(guī)劃動(dòng)態(tài)調(diào)整制度,并通過信息化平臺(tái)進(jìn)行管理。(《要求》5.4.1.2a))
c)技術(shù)工具:
1)建立組織機(jī)構(gòu)統(tǒng)一的信息化平臺(tái)對(duì)大數(shù)據(jù)安全戰(zhàn)略規(guī)劃面向組織機(jī)構(gòu)內(nèi)部全員進(jìn)行發(fā)布,
以該信息可被全員所知悉。(《要求》5.4.1.1a)、b)、c))
19
GB/TXXXXX—XXXX
2)通過組織機(jī)構(gòu)的信息化平臺(tái)執(zhí)行對(duì)大數(shù)據(jù)安全規(guī)劃的動(dòng)態(tài)管理。(《要求》5.4.1.2a))
d)人員能力:負(fù)責(zé)該項(xiàng)工作的人員均具有戰(zhàn)略規(guī)劃能力,并對(duì)組織機(jī)構(gòu)的數(shù)據(jù)安全管理的業(yè)務(wù)
需求有充分的理解,通過培訓(xùn)和宣傳等手段實(shí)現(xiàn)各業(yè)務(wù)的數(shù)據(jù)管理人員對(duì)戰(zhàn)略規(guī)劃的一致性
理解。(《要求》5.4.1.1a)、b)、c))
6.4.2需求分析
6.4.2.1數(shù)據(jù)安全過程域描述
通過建立針對(duì)組織機(jī)構(gòu)業(yè)務(wù)的大數(shù)據(jù)安全需求分析體系,分析組織機(jī)構(gòu)內(nèi)大數(shù)據(jù)業(yè)務(wù)的安全需求。
6.4.2.2數(shù)據(jù)安全能力基本實(shí)踐
a)組織建設(shè):針對(duì)開展大數(shù)據(jù)業(yè)務(wù)的團(tuán)隊(duì)均設(shè)立了對(duì)應(yīng)的安全需求分析的崗位,負(fù)責(zé)在大數(shù)據(jù)
業(yè)務(wù)規(guī)劃階段開展安全需求分析工作,確保安全需求的有效制定和規(guī)范化表達(dá)。(《要求》
5.4.2.1a)、b)、c)、d)、e))
b)制度流程:
1)建立大數(shù)據(jù)業(yè)務(wù)的安全需求分析的指南,明確安全需求分析工作需要依據(jù)國家法律、法
規(guī)、標(biāo)準(zhǔn)與主管機(jī)構(gòu)的政策規(guī)范要求,分析大數(shù)據(jù)業(yè)務(wù)所面臨的安全合規(guī)性需求;依據(jù)
組織機(jī)構(gòu)的業(yè)務(wù)戰(zhàn)略規(guī)劃目標(biāo)、大數(shù)據(jù)業(yè)務(wù)的目標(biāo)和特定,分析大數(shù)據(jù)業(yè)務(wù)的安全需求;
識(shí)別大數(shù)據(jù)業(yè)務(wù)面臨的威脅和自身脆弱性,分析大數(shù)據(jù)業(yè)務(wù)的安全風(fēng)險(xiǎn)和應(yīng)對(duì)措施需求;
依據(jù)組織機(jī)構(gòu)的業(yè)務(wù)戰(zhàn)略規(guī)劃,明確大數(shù)據(jù)業(yè)務(wù)安全需求和安全規(guī)劃實(shí)施的優(yōu)先級(jí)。(《要
求》5.4.2.1b)、c)、d)、e))
2)使用數(shù)據(jù)驅(qū)動(dòng)分析方法或安全需求工程思想進(jìn)行大數(shù)據(jù)安全需求分析,確保大數(shù)據(jù)安全
需求的有效制定和規(guī)范化表達(dá)。(《要求》5.4.2.2a))
c)技術(shù)工具:建立承載大數(shù)據(jù)業(yè)務(wù)的安全需求分析的平臺(tái),該平臺(tái)記錄所有的大數(shù)據(jù)業(yè)務(wù)的需
求分析的申請(qǐng)、需求分析以及相關(guān)安全方案,以保證對(duì)所有的大數(shù)據(jù)業(yè)務(wù)的安全需求分析過
程的有效追溯。(《要求》5.4.2.1a)、b)、c)、d)、e))
d)人員能力:負(fù)責(zé)該項(xiàng)工作的人員均具有需求分析挖掘能力,對(duì)組織機(jī)構(gòu)的數(shù)據(jù)安全管理的業(yè)
務(wù)場景有充分的理解,并通過培訓(xùn)實(shí)現(xiàn)各業(yè)務(wù)的需求分析人員對(duì)大數(shù)據(jù)安全需求分析標(biāo)準(zhǔn)的
一致性理解。(《要求》5.4.2.1a)、b)、c)、d)、e))
6.4.3元數(shù)據(jù)安全
6.4.3.1數(shù)據(jù)安全過程域描述
通過建立組織機(jī)構(gòu)的元數(shù)據(jù)管理體系,實(shí)現(xiàn)對(duì)組織機(jī)構(gòu)內(nèi)元數(shù)據(jù)的有效管理。
6.4.3.2數(shù)據(jù)安全能力基本實(shí)踐
a)組織建設(shè):
1)設(shè)立了固定的團(tuán)隊(duì)/崗位負(fù)責(zé)組織機(jī)構(gòu)的統(tǒng)一元數(shù)據(jù)管理工作建立相應(yīng)的原則并提供統(tǒng)
一的技術(shù)工具,并由各業(yè)務(wù)的數(shù)據(jù)管理團(tuán)隊(duì)/崗位負(fù)責(zé)具體的元數(shù)據(jù)管理執(zhí)行工作。(《要
求》5.4.3
溫馨提示
- 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
- 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
- 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
- 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
- 5. 人人文庫網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
- 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
- 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 2024年度上海市高校教師資格證之高等教育法規(guī)能力檢測試卷B卷附答案
- 第1-4單元期中鞏固卷(試題)-2024-2025學(xué)年二年級(jí)上冊(cè)數(shù)學(xué)人教版
- 山東省日照市北京路中學(xué)2024-2025學(xué)年九年級(jí)上學(xué)期10月月考物理試卷
- 2024年度股東權(quán)益轉(zhuǎn)讓協(xié)議范本版
- 消防灑水裝置相關(guān)項(xiàng)目實(shí)施方案
- 2024年度門衛(wèi)崗位勞動(dòng)協(xié)議版
- 電熱保護(hù)套相關(guān)項(xiàng)目實(shí)施方案
- 打字機(jī)架相關(guān)項(xiàng)目建議書
- 快遞物流運(yùn)輸網(wǎng)絡(luò)優(yōu)化策略
- 建筑企業(yè)施工安全預(yù)案
- 大學(xué)生安全教育(在校篇)學(xué)習(xí)通課后章節(jié)答案期末考試題庫2023年
- 如何“泡”開詩歌公開課一等獎(jiǎng)市賽課獲獎(jiǎng)?wù)n件
- 中班科學(xué)《森林運(yùn)動(dòng)會(huì)》 課件
- 升降機(jī)安全管理培訓(xùn)
- 血管瘤及脈管畸形
- DB42-T 1965-2023 公開版地圖地理信息審查工作規(guī)程
- 門衛(wèi)保安反恐演練方案
- GB/T 42313-2023電力儲(chǔ)能系統(tǒng)術(shù)語
- 有限元填空選擇題及答案
- 《教育的第三只眼》讀書筆記思維導(dǎo)圖
- 加氫裂化催化劑分類及選擇
評(píng)論
0/150
提交評(píng)論