logo资料库

数据安全能力建设实施指南 V1.0.pdf

发布时间:2022-06-26 发布人:admin 分类:说明书 资料大小:1.34M 资料格式:pdf 举报 版权申诉
第1页 / 共70页
第2页 / 共70页
第3页 / 共70页
第4页 / 共70页
第5页 / 共70页
第6页 / 共70页
第7页 / 共70页
第8页 / 共70页
资料共70页,剩余部分请下载后查看
    数据安全能力建设实施指南 V1.0 (征求意见稿) 《数据安全能力成熟度模型(DSMM)》配套文档 2018-9-29
    目 录 前 言 ................................................................................ 3 1 范围 ................................................................................ 4 2 规范性引用文件 ...................................................................... 4 3 术语和定义 .......................................................................... 4 4 缩略语 .............................................................................. 5 5 数据安全能力建设框架 ................................................................ 5 5.1 数据安全与现有安全体系融合 ...................................................... 5 5.2 数据安全能力建设框架 ............................................................ 5 5.3 能力建设框架图说明 .............................................................. 6 6 数据安全组织建设 .................................................................... 7 6.1 组织架构设计 .................................................................... 7 6.2 协同部门数据安全职能 ............................................................ 9 7 数据安全人员能力 ................................................................... 11 7.1 数据安全管理能力 ............................................................... 11 7.2 数据安全运营能力 ............................................................... 12 7.3 数据安全技术能力 ............................................................... 12 7.4 数据安全合规能力 ............................................................... 13 7.5 人员能力与组织架构的映射 ....................................................... 13 8 数据安全制度流程 ................................................................... 14 8.1 制度体系架构设计 ............................................................... 14 8.2 制度体系架构说明 ............................................................... 16 9 数据安全技术工具 ................................................................... 17 9.1 技术工具架构设计 ............................................................... 17 9.2 技术工具架构说明 ............................................................... 20 10 数据安全域实施指南 ................................................................ 20 10.1 数据采集安全 .................................................................. 20 10.2 数据传输安全 .................................................................. 29 10.3 数据存储安全 .................................................................. 33 10.4 数据处理安全 .................................................................. 38 10.5 数据交换安全 .................................................................. 45 10.6 数据销毁安全 .................................................................. 52 10.7 通用安全 ...................................................................... 56 11 参考文献 .......................................................................... 70 2
    前 言 本指南由阿里巴巴数据安全研究院发起,统筹规划和发布,最终解释归口。某些内容可能涉及专利, 本指南的发布机构不承担识别这些专利的责任。 本指南参与起草单位:阿里巴巴(中国)有限公司(下文简称“阿里巴巴”),杭州数梦工场科技有限 公司(下文简称“数梦工场”)、杭州安恒信息技术股份有限公司(下文简称“安恒信息”)、浙江蚂蚁小微 金融服务集团(下文简称“蚂蚁金服”)、阿里云计算有限公司(下文简称“阿里云”)。 各章节参与单位及人员: 主要章节 起草单位 起草人员 第5章 数据安全能力建设框架 阿里巴巴数据安全研究院 张迅迪、薛勇 第6章 数据安全组织建设 阿里巴巴数据安全研究院 陈彩芳 第7章 数据安全人员能力 阿里巴巴数据安全研究院 陈彩芳 数梦工场 何维群 蚂蚁金服 安恒信息 第8章 数据安全制度流程 阿里巴巴数据安全研究院 第9章 数据安全技术工具 阿里巴巴数据安全研究院 第10章 PA01、PA02、PA03 数梦工场 第10章 PA14、PA15、PA16、PA17 数梦工场 第10章 PA04、PA07、PA08、PA09、 阿里巴巴数据安全研究院 PA18、PA19、PA20、PA21、PA25 第10章 PA05、PA06 安恒信息 第10章 PA10、PA11、PA12、PA13 安恒信息 第10章 PA22、PA26、PA27 蚂蚁金服 第10章 PA23、PA24 阿里云 第2章和第10章所有PA涉及的国家 阿里巴巴标准化部 和行业标准,以及全文排版校对 陈树鹏 周俊 薛勇 薛勇 何维群 毛昱 薛勇 周俊、徐胜兵 周俊、徐胜兵 陈树鹏 张敏翀 白晓媛 本指南还得到以下单位相关领导和专家们的大力支持,参与了指南的评审并提出宝贵建议: 阿里巴巴(杜跃进、张玉东、朱红儒、张世长、潘亮、贾雪飞),电子四院(胡影、张宇光),数梦工 场(孙晖),安恒信息(林明峰),蚂蚁金服(王心刚、王道奎),阿里云(岑欣伟、张大江)。 3
    数据安全能力建设实施指南 1 范围 本指南依据《信息安全技术 数据安全能力成熟度模型》(简称DSMM)制定,以数据为核心,重点围 绕数据生命周期,从组织建设、制度流程、技术工具和人员能力等四个方面,提供数据安全能力建设的具 体实施指南,为组织数据安全能力建设提供参考。 规划输出系列版本,这次版本以数据安全能力成熟度三级为目标,即如何达到DSMM规定的充分定义级 (三级),后续升级版再陆续补充其他级别的指南内容。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅所注日期的版本适用于本文件。 凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。 GB/T 25069—2010 信息安全技术 术语 GB/T XXXX—XXXX 信息安全技术 数据安全能力成熟度模型(待发布) GB/T 35273—2017 信息安全技术 个人信息安全规范 GB/T 35274—2017 信息安全技术 大数据服务安全能力要求 3 术语和定义 GB/T 25069—2010中界定的以及下列术语和定义适用于本文件。 数 据 安 全 data security: 保护数据的机密性、完整性和可用性。 数 据 安 全 能 力 data security capability: 组织机构在组织建设、制度流程、技术工具以及 人员能力等方面对数据的安全保障能力。 成 熟 度 maturity: 对一个组织的有条理的持续改进能力以及实现特定过程的连续性、可持续性、 有效性和可信度的度量。 成 熟 度 模 型 maturity model: 对一个组织机构的成熟度进行度量的模型,包括一系列的代表能 力和进展的特征、属性、指示或是模式。成熟度模型提供一个组织机构衡量其当前的实践、流程、方法的 能力水平的基准,并设置提升的目标。 数 据 脱 敏 data desensitization: 通过模糊化等方法对原始数据进行处理以屏蔽敏感信息的一 数 据 产 品 data product: 直接或间接使用数据的产品,包括但不限于能访问原始数据,提供数据 种数据保护方法。 4
    计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的软件产品。 数 据 处 理 data processing:对原始数据进行抽取、转换、加载的过程,包括开发数据产品或数 据分析等。 合 规 compliance: 对数据安全所适用的法律法规的遵循。 4 缩略语 下列缩略语适用于本标准: PA 过程域(Process Area) BP 基本实践(Base Practice) DSMM 数据安全能力成熟度模型(Data Security Capability Maturity Model) IAM 身份识别与访问管理(Identity and Access Management) BYOD 自带设备办公(Bring Your Own Device) MDM 移动设备管理(Mobile Device Management) MAM 移动应用管理(Mobile Application Management) MCM 移动内容管理(Mobile Content Management) 5 数据安全能力建设框架 5.1 数据安全与现有安全体系融合 数据安全能力建设工作并非从零开始,大部分组织在此前或多或少已有一些安全体系,基本上是围绕 信息系统和网络环境开展安全保护工作,主要聚焦在信息安全和网络安全;而数据安全是以数据为核心, 围绕数据安全生命周期进行建设以提高数据安全保障能力,所以需要与当前安全体系进行融合。在决策层 确定数据安全目标和愿景之后,再由数据安全管理层根据组织的业务发展实际情况讨论具体的融合方式。 5.2 数据安全能力建设框架 基于《信息安全技术 数据安全能力成熟度模型》标准能力成熟度等级3级要求,数据安全能力建设 可参考以下实施框架: 5
    图1:数据安全能力建设框架 5.3 能力建设框架图说明 整体来看,数据安全能力建设是以法律法规监管要求和业务发展需要为输入,结合数据安全在组织建 设、制度流程和技术工具的执行要求,匹配相应人员的具体能力,组织的数据安全能力建设结果最终以数 据生命周期各个过程域来综合体现。下面对合规和业务需求及四个能力维度的框架设计进行概要说明: 合 规 和 业 务 需 求 : 数据安全最终是为组织的业务发展服务的,不能游离于业务之外或独立存在。在 满足法律法规要求的前提下,数据安全能力建设须切合业务发展需要来开展。 组 织 建 设 :指数据安全组织的架构建立、职责分配和沟通协作。组织可分为决策层、管理层和执行 层等三层结构。其中,决策层由参与业务发展决策的高管和数据安全官组成,制定数据安全的目标和愿景, 在业务发展和数据安全之间做出良好的平衡;管理层是数据安全核心实体部门及业务部门管理层组成,负 责制定数据安全策略和规划,及具体管理规范;执行层由数据安全相关运营、技术和各业务部门接口人组 成,负责保证数据安全工作推进落地。 制 度 流 程 : 指数据安全具体管理制度体系的建设和执行,包括数据安全方针和总纲、数据安全管理 规范、数据安全操作指南和作业指导,以及相关模板和表单等。 6
    技 术 工 具 : 指与制度流程相配套并保证有效执行的技术和工具,可以是独立的系统平台、工具、功 能或算法技术等。需要综合所有安全域进行整体规划和实现,且要和组织的业务系统和信息系统等进行衔 接。包括适用于所有安全域的通用技术工具,和部分阶段或安全域试用的技术工具。 人 员 能 力 :指为实现以上组织、制度和技术工具的建设和执行其人员应具备的能力。核心能力包括 数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力。根据不同数据安全能力 建设维度匹配不同人员能力要求。 6 数据安全组织建设 数据安全能力建设是一个复合型、需多方联动型的工作,在开展组织架构建设时,需要考虑组织层面 实体的管理团队及执行团队,同时也要考虑虚拟的联动小组,其中业务部门、研发部门、HR、IT、法务等 部门均需要参与数据安全建设当中。成立数据安全组织其目的是明确数据安全的政策、落实和监督等工作, 以确保数据安全能力建设的有效执行。 6.1 组织架构设计 设计数据安全的组织架构时,可按照决策层、管理层、执行层、员工和合作伙伴、监督层的组织架构 设计。在具体执行过程中,组织也可赋予已有安全团队与其它相关部门数据安全的工作职能,或寻求第三 方专业团队等形式开展工作,组织架构图如下: 6.1.1 决策层 图2:数据安全组织架构图 决策层是数据安全管理工作的决策机构,建议由数据安全官及其它高层管理人员组成,数据安全官是 组织内数据安全的最终负责人。数据安全官应能参与到组织的业务发展决策,因为业务的发展和数据安全 是密不可分。除数据安全官外,其它高层管理人员对于数据安全的重视和决策是非常重要的,决策层也需 要其它业务、法务、研发等高管共同组成,形成定期的沟通运作机制,其主要工作职责包括: 7
    1) 制定组织的数据安全目标和愿景; 2) 对数据安全策略和规划,制度与规范等进行发布; 3) 为组织的数据安全建设的提供必要的资源; 4) 对公司的重大数据安全事件进行协调和决策; 6.1.2 管理层 管理层是数据安全组织机构的第二层,基于组织决策层给出的策略,对数据安全实际工作制定详细方 案,做好业务发展与数据安全之间的平衡。在组织中承上启下,做好数据安全全面落地工作,是组织内开 展数据安全工作最核心的部门或岗位,部分工作可能需要组织外部专业资源共同来履行。其主要工作职责 包括: 1) 结合合规监管要求和业务发展需求,制订数据安全整体解决方案并组织实施; 2) 制定数据安全管理策略和规划,统一数据安全管理规范体系等; 3) 建立监控审计机制:数据安全工作和监督审计机制,推动并协助执行组织的建立,监督工作 有效开展; 4) 对组织内人员能力开展数据安全技术培训和意识宣导,逐步提升数据安全工作人员的能力水 平和组织内人员安全意识; 5) 制定数据安全决策层、管理层、执行层、监督层等的运作机制,保障数据安全工作在内部保 持信息通畅、运作顺利; 6) 保持外部组织的沟通,包括国家及行业监管、第三方咨询服务商(安全咨询、安全厂商)以 认证、测评机构(认证及认可、安全测评机构)等。 6.1.3 执行层 执行层与管理层是紧密配合的关系,其职责主要聚焦每一个数据安全场景,对设定的流程进行逐 个实现。执行层主要包括数据安全专职人员和各业务部门的数据安全接口人员、风险管理人员、数据 owner 等,其主要工作职责主要包括: 1) 负责数据安全风险的评估和改进; 2) 负责数据安全运营工作,如:数据权限授权、数据共享、数据下载等审批; 3) 负责数据安全事件的跟进和处理; 4) 协助数据安全管理团队展开数据治理工作,如数据分类分级工作; 5) 负责数据安全专案项目管理和实施。 6.1.4 员工和合作伙伴 8
    分享到:
    收藏

    相关推荐

    资料库

    安全技术

    共收录1285份资料,累计4个分类,关注成员有19位,主要包括:网络攻防,系统安全,其它,网络安全

    热门标签

    网络攻防 系统安全 其它 网络安全

    最新资料