DCMM之数据安全包含哪些内容

数据安全过程域包含了3个能力项,即数据安全策略、数据安全管理和数据安全审计,今天擎标就介绍一下这3个能力域包含的内容。
1.1 数据安全策略
1.1.1 概述
数据安全策略是数据安全的核心内容,在制定的过程中需要结合组织管理需求、监管需求以及相关标准等统一制定。
1.1.2 过程描述
过程描述如下:
a)了解国家、行业等监管需求,并根据组织对数据安全的业务需要,进行数据安全策略规划,建立组织的数据安全管理策略;
b)制定适合组织的数据安全标准,确定数据安全等级及覆盖范围等;
c)定义组织数据安全管理的目标、原则、管理制度、管理组织、管理流程等,为组织的数据安全管理提供保障。
1.1.3 过程目标
过程目标如下:
a)建立统一的数据安全标准;
b)提供适用的数据安全策略。
1.1.4 能力等级标准
能力等级标准如下:
a)第1级:初始级
在项目中设置了数据安全标准与策略,并在文档中进行了描述。
b)第2级:受管理级
1)业务部门内部建立了数据安全标准、管理策略和管理流程;
2)业务部门内部识别数据安全利益相关者;
3)业务部门内部数据安全标准与策略的建立能遵循合理的管理流程。
c)第3级:稳健级
1)建立组织统一的数据安全标准以及策略并正式发布;
2)规范了组织数据安全标准与策略相关的管理流程,并以此指导数据安全标准和策略的制定;
3)数据安全标准与策略制定过程中能识别组织内外部的数据安全需求,包括外部监管和法律的需求;
4)规范了数据安全利益相关者在数据安全管理过程中的职责;
5)定期开展数据安全标准和策略相关的培训和宣贯。
d)第4级:量化管理级
1)数据安全标准和策略的制定能符合国家标准或行业标准的相关规定;
2)梳理和明确了组织相关的外部法律、监管等方面关于安全方面的需求列表,并和组织的数据安全标准和策略进行了关联;
3)能根据内外部环境的变化定期优化提升数据安全标准与策略。
e)第5级:优化级
1)参与数据安全相关国家标准的制定;
2)在业界分享最佳实践,成为行业标杆。
1.2 数据安全管理
1.2.1 概述
数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控数据的访问等进行数据安全的管理工作,满足数据安全的业务需要和监管需求,实现组织内部对数据生存周期的数据安全管理。
1.2.2 过程描述
过程描述如下:
a)数据安全等级的划分,根据组织数据安全标准,充分了解组织数据安全管理需求,对组织内部的数据进行等级划分并形成相关文档;
b)数据访问权限控制,制定数据安全管理的利益相关者清单,围绕利益相关者需求,对其数据访问、控制权限进行授权;
c)用户身份认证和访问行为监控,在数据访问过程中对用户的身份进行认证识别,对其行为进行记录和监控;
d)数据安全的保护,提供数据安全保护控制相关的措施,保证数据在应用过程中的隐私性;
e)数据安全风险管理,对组织已知或潜在的数据安全进行分析,制定防范措施并监督落实。
1.2.3 过程目标
过程目标如下:
a)对组织内部的数据进行分级管理,重点关注数据的管理需求;
b)对数据在组织内部流通的各个环节进行监控,保证数据安全;
c)分析潜在的数据安全风险,预防风险的发生。
1.2.4 能力等级标准
能力等级标准如下:
a)第1级:初始级
1)在项目中进行了数据访问授权和数据安全监控;
2)对出现的数据安全问题进行分析和管理。
b)第2级:受管理级
1)依据数据安全标准在业务部门内部对数据进行安全等级的划分;
2)业务部门内部进行了数据利益相关者需求的识别,并进行数据访问授权以及数据安全保护;
3)业务部门内部进行了数据访问、使用等方面的监控;
4)业务部门内部对潜在数据安全风险进行了分析,制定了预防措施。
c)第3级:稳健级
1)组织对数据进行了全面的安全等级划分,每级数据的安全需求能清晰定义,安全需求的责任部门明确;
2)根据外部监管定义数据范围,能清楚的定义外部监管对数据的安全需求;
3)围绕数据生存周期,了解组织内利益相关者的数据安全需求,并对数据进行了安全授权和安全保护;
4)能对数据生存周期进行安全监控,及时了解可能存在的安全隐患;
5)对于不同的数据使用对象,通过数据脱敏、加密、过滤等技术保证数据的隐私性;
6)定期开展数据安全风险分析活动,明确分析要点,制定风险预防方案并监督实施;
7)定期汇总、分析组织内部的数据安全问题,并形成数据安全知识库;
8)新的项目建设中能按照数据安全要求进行数据安全等级划分、数据安全控制等;
9)定期开展数据安全相关培训和宣贯,提升组织人员数据安全意识。
d)第4级;量化管理级
1)定义了数据安全管理的考核指标和考核办法,并定期进行相关的考核;
2)定期总结数据安全管理工作,在组织层面发布数据安全管理工作报告;
3)重点数据的安全控制可落实到字段级,明确核心字段的安全等级和管控措施。
e)第5级:优化级
1)能主动预防数据安全风险,并对已发生的数据安全问题进行溯源和分析;
2)在业界分享最佳实践,成为行业标杆。
1.3 数据安全审计
1.3.1 概述
数据安全审计是一项控制活动,负责定期分析、验证、讨论、改进数据安全管理相关的政策、标准和活动。审计工作可由组织内部或外部审计人员执行,市计人员应独立于审计所涉及的数据和流程。数据安全审计的目标是为组织以及外部监管机构提供评估和建议。
1.3.2 过程描述
过程描述如下:
a)过程审计,分析实施规程和实际做法,确保数据安全目标、策咯、标准、指导方针和预期结果相一致;
b)规范审计,评估现有标准和规程是否适当,是否与业务要求和技术要求相一致;
c)合规审计,检索和审阅机构相关监管法规要求,验证机构是否符合监管法规要求;
d)供应商审计,评审合同、数据共享协议,确保供应商切实履行数据安全义务;
e)审计报告发布,向高级管理人员、数据管理专员以及其他利益相关者报告组织内的数据安全状态;
f)数据安全建议,推荐数据安全的设计、操作和合规等方面的改进工作建议。
1.3.3 过程目标
过程目标如下:
a)确保组织的安全需求、监管需求得到满足;
b)及时发现数据安全隐患,改进数据安全措施;
c)提出数据安全管理建议,促进数据安全的优化提升。
1.3.4 能力等级标准
能力等级标准如下:
a)第1级:初始级
1)与组织信息化安全审计合并进行,没有独立的数据安全设计;
2)根据外部或监管的需要进行审计。
b)第2级:受管理级
1)检查数据安全管理标准与策略是否能满足各业务部门数据安全管理的需要;
2)评估数据安全管理的措施是否能按照数据安全管理标准与策略的要求进行;
3)规范数据安全审计的流程和相关文档模板。
c)第3级:稳健级
1)在组织层面统一了数据安全审计的流程、相关文档模板和规范,并征求了利益相关者的意见;
2)制定了数据安全审计计划,可定期开展数据安全审计工作;
3)评审数据安全标准与策略对业务、外部监管的需求;
4)评审数据安全管理岗位、职责、流程的设置和执行情况;
5)评审组织数据安全等级的划分情况;
6)评审新项目开展过程中的数据安全管理工作情况;
7)定期发布数据安全审计报告。
d)第4级:量化管理级
1)内部审计和外部审计相结合,协同推动数据安全工作的开展;
2)数据安全审计报告包括数据安全对业务、经济的影响并分析影响数据安全的根本原因,提出数据安全管理工作的改进建议;
3)数据安全的管理流程、制度能根据数据安全审计来进行优化提升,实现数据安全管理的闭环。
e)第5级:优化级
1)数据安全审计是组织审计工作的重要组成,数据安全审计能推动数据安全标准和策略的优化及实施;
2)在业界分享最佳实践,成为行业标杆。