安全動态

數據安全知(zhī)識:數據安全策略規劃
來源:聚銘網絡    發布時間:2024-01-15    浏覽次數:
 
數據安全策略的實施和管理主要由安全管理員(yuán)負責,與數據管理專員(yuán)和技術團隊協作。從成熟度來講,對應的是五個成熟度。

在《DAMA 數據管理知(zhī)識體(tǐ)系》有這麽一(yī)句話(huà)“任何事情皆可外(wài)包,但責任除外(wài)。”

數據安全策略規劃在《數據安全能力成熟度模型》是第一(yī)個過程域,其描述是:建立适用于組織數據安全風險狀況的組織整體(tǐ)的數據安全策略規劃,數據安全策略規劃的内容應覆蓋數據全生(shēng)存周期的安全風險。

從安全能力維度明确了組織在數據安全領域應具備的能力,包括組織建設、制度流程、技術工(gōng)具和人員(yuán)能力。五個成熟度,自然也遵循這個安全能力維度,隻是不同的成熟度強調的内容不同。我(wǒ)(wǒ)們通過看标準,來簡單看看這個過程域的五個級别。

《DAMA數據管理知(zhī)識體(tǐ)系》提到:組織在制定數據安全制度時應基于自己的業務和法規要求。制度是所選行動過程的陳述以及爲達成目标所期望行爲的頂層描述。數據安全策略描述了所決定的行爲,這些行爲符合保護其數據的組織的最佳利益。要使這些制度産生(shēng)可衡量的影響,它們必須是可審計且經審計過的。

數據安全策略的實施和管理主要由安全管理員(yuán)負責,與數據管理專員(yuán)和技術團隊協作。例如,數據庫安全性通常是DBA的職責。

從成熟度來講,對應的是五個成熟度。

等級1:非正式執行

該等級的數據安全能力描述如下(xià):

組織建設:未在任何業務中(zhōng)建立成熟穩定的數據安全制度規程,僅根據臨時需求或基于個人經驗,考慮了數據安全策略和規劃。

等級2:計劃跟蹤

該等級的數據安全能力要求描述如下(xià):

  • 組織建設:應由業務團隊具有人員(yuán)負責制定業務的數據安全策略。
  • 制度流程:核心業務應基于主要的數據安全風險,建立以數據安全生(shēng)存周期爲核心思想的數據安全制度體(tǐ)系。
  • 人員(yuán)能力:核心業務應負責該項工(gōng)作的人員(yuán)具備對組織執行數據安全風險評估,以及将數據安全要求提煉形成制度的能力。

等級3:充分(fēn)定義

該等級的數據安全能力要求描述如下(xià):

(1) 組織建設:組織應設立專職的崗位和人員(yuán),負責組織數據安全制度流程和戰略規劃的建設。

(2) 制度流程:

  • 應明确符合組織數據戰略規劃的數據安全總體(tǐ)策略,明确安全方針、安全目标和安全原則;
  • 應基于組織的數據安全總體(tǐ)策略,在組織層面明确以數據爲核心的數據安全制度和規程,覆蓋數據生(shēng)存周期相關的業務、系統和應用,内容包含目的、範圍、崗位、責任、管理層承諾、内外(wài)部協調機制及合規目标等;
  • 應明确并實施大(dà)數據系統和數據應用安全實施細則;
  • 應明确數據安全制度規程分(fēn)發機制,将數據安全策略、制度和規程分(fēn)發至組織相關部門、崗位和人員(yuán);
  • 應明确數據安全制度及規程的評審、發布流程,并确定适當的頻(pín)率和時機對制度和規程進行審核和更新;
  • 應明确組織層面的數據安全戰略規劃,包括各階段目标、任務、工(gōng)作重點,并保障其與業務規劃相适應。

(3) 技術工(gōng)具:應建立數據安全策略規劃的系統,通過該系統向組織全體(tǐ)員(yuán)工(gōng)發布策略規劃的解讀材料,以便于策略規劃的落地推進。

(4) 人員(yuán)能力:

  • 負責制定數據安全總體(tǐ)策略和戰略規劃的人員(yuán)應了解組織的業務發展目标,能夠将數據安全工(gōng)作的目标和業務發展的目标進行有機結合;
  • 負責制定數據安全制度和規程的人員(yuán)應具備信息安全管理體(tǐ)系建設的知(zhī)識,并具備良好的規範撰寫能力;
  • 負責推廣數據安全策略規劃的人員(yuán)應能夠以員(yuán)工(gōng)和相關方易理解的方式,通過培訓等宣導形式對數據安全管理的方針、策略和制度進行有效傳達。

等級4:量化控制

該等級的數據安全能力要求描述如下(xià):

(1) 制度流程:

  • 在組織架構發生(shēng)重大(dà)調整或數據服務業務發生(shēng)重大(dà)變化時,應及時評估數據安全制度與規程的實施效果,并将效果反映到安全制度和規程文件的修訂過程中(zhōng);
  • 應對數據安全制度和規程進行體(tǐ)系化的評估,制定數據安全能力提升計劃;
  • 應對數據安全戰略規劃進行評估,确保數據安全總體(tǐ)策略、安全目标和戰略規劃内容的合規性。

(2) 人員(yuán)能力:負責該工(gōng)作的人員(yuán)能夠應及時評估策略規劃的實施效果,并根據實施效果修訂數據安全策略規劃文件。

等級5:持續優化

該等級的數據安全能力要求描述如下(xià):

(1) 制度流程:應持續跟進國内外(wài)在數據安全領域的管理标準和技術發展,并關注組織所在行業的發展動态及組織自身的業務發展方向,及時對數據安全策略規劃進行調整和改進。

(2) 技術工(gōng)具:

  • 應建立數據安全規劃動态調整機制,通過信息化系統執行對數據安全規劃的動态管理;
  • 應參與國際、國家或行業相關标準制定。在業界分(fēn)享最佳實踐,成爲行業标杆。

(3) 人員(yuán)能力:負責該工(gōng)作的人員(yuán)應能夠持續跟蹤國内外(wài)數據安全政策、标準、産業趨勢、新技術,并能夠對組織的數據安全策略規劃實現持續優化。

數據安全包括安全策略和過程的規劃、建立與執行,爲數據和信息資(zī)産提供正确的身份驗證、授權、訪問和審計。在制定數據安全策略中(zhōng),DAMA國際則讓我(wǒ)(wǒ)們考慮利益相關方、政府法規、特定業務關注點、合法訪問需求、合同義務等幾個方面。

 
 

上一(yī)篇:工(gōng)信部發布《雲計算綜合标準化體(tǐ)系建設指南(nán)》(征求意見稿)

下(xià)一(yī)篇:2024年1月15日聚銘安全速遞