4.7 通用安全过程
数据安全本身不可能脱离安全体系而存在,因而在进行数据安全建设的同时,也会需要大量通用安全技术进行辅助。DSMM官方定义的通用安全过程阶段包括11个过程域,分别为:数据安全策略规划、组织和人员管理、合规管理、数据资产管理、数据供应链安全、元数据管理、终端数据安全、监控与审计、鉴别与访问控制、需求分析和安全事件应急。
4.7.1 数据安全策略规划
DSMM官方将数据安全策略规划定义为建立适用于组织整体的数据安全风险状况的数据安全策略规划,内容应覆盖数据全生命周期各阶段。
DSMM标准在充分定义级对数据安全策略规划的要求具体如下。
(1)组织建设
组织应设立负责数据安全策略规划管理的岗位,由相关工作人员负责组织数据安全制度流程和战略规划的建设。
(2)制度流程
-
应明确符合组织数据战略规划的数据安全总体策略,明确安全方针、安全目标和安全原则。
-
应基于组织的数据安全总体策略,在组织层面明确以数据为核心的数据安全制度和规程,使其覆盖数据生命周期各阶段的相关业务、系统和应用,内容包含目的、范围、岗位、责任、管理层承诺、内外部协调机制及合规目标等。
-
应明确并实施大数据系统和数据应用安全实施细则。
-
应明确数据安全制度规程分发机制,将数据安全策略、制度和规程分发至组织内的相关部门、岗位和人员。
-
应明确数据安全制度及规程的评审和发布流程,并确定适当的频率和时机对制度和规程进行审核和更新。
-
应明确组织层面的数据安全战略规划,包括各阶段的目标、任务和工作重点,并保障其与业务规划相适应。
(3)技术工具
应建立数据安全策略规划系统,通过该系统向组织内全体员工发布策略规划的解读材料,以便于策略规划的落实和推进。
(4)人员能力
-
负责制定数据安全总体策略和战略规划的人员应了解组织的业务发展目标,能够将数据安全工作的目标和业务发展的目标进行有机结合。
-
负责制定数据安全制度和规程的人员应具备信息安全管理体系建设的知识,并具备良好的规范撰写能力。
-
负责推广数据安全策略规划的人员应能够以员工和相关方易理解的方式,通过培训等指导形式对数据安全管理的方针、策略和制度进行有效传达。
基于上述定义,以及对应充分定义级的要求,11.1节将对数据安全策略规划的相关内容进一步展开讲解,并给出实践指南。
4.7.2 组织和人员管理
DSMM官方将组织和人员管理定义为通过建立组织内部负责数据安全工作的职能部门及岗位,对人力资源管理过程中的各环节进行安全管理,以防范组织和人员管理过程中存在的数据安全风险。
DSMM标准在充分定义级对组织和人员管理的要求具体如下。
(1)组织建设
-
人力资源部门与数据安全部门的人员应能够进行有效配合。
-
组织应建立组织层面专职的数据安全职能部门和岗位,并在设计职能岗位时遵循职责分离的原则。
-
应建立组织层面的数据安全领导小组,指定机构最高管理者或授权代表担任小组组长,并明确组长的责任与权力。
-
应建立组织内部的监督管理职能部门,负责对组织内部的数据操作行为进行安全监督。
-
应指定大数据系统的安全规划、安全建设、安全运营和系统维护工作的责任部门。
-
应明确在组织层面根据数据安全要求制定和执行人力资源管理的人员和岗位,并与数据安全人员进行有效配合。
-
应明确组织层面承担人员数据安全培训管理职责的岗位和人员,负责制定和推进数据安全培训需求的分析及落实方案。
(2)制度流程
-
应明确数据安全部门或岗位的要求,明确相关人员的工作职责,以及职能部门之间的协作关系和配合机制。
-
应明确数据安全追责机制,定期对责任部门和安全岗位进行安全检查,并生成检查报告。
-
应明确数据服务人力资源安全策略,明确不同岗位人员在数据生命周期各阶段的相关工作范畴和安全管控措施。
-
应明确组织层面上数据服务人员招聘、录用、上岗、调岗、离岗、考核、选拔等人员安全管理制度,将数据安全相关要求固化到人力资源管理流程中。
-
在录用重要岗位人员之前,应对其进行背景调查,确保其符合相关的法律、法规、合同要求,在对数据安全员工候选者的背景调查中也应包含对候选者的安全专业能力的调查。
-
应明确数据服务重要岗位的兼职和轮岗、权限分离、多人共管等安全管理要求。
-
应明确针对合作方的安全管理制度,对会接触到个人信息、重要数据等的相关人员进行审批和登记,并要求其签署保密协议,并定期对这些人员的行为进行安全审查。
-
在重要岗位的人员调离或终止劳动合同之前,应与其签订保密协议或竞业协议。
-
应明确组织内部员工的数据安全培训计划,按计划定期对员工开展数据安全培训。
-
应明确重要岗位人员的数据安全培训计划,并在重要岗位转岗、岗位升级等环节对相关人员开展培训。
(3)技术工具
-
应通过技术工具实现数据安全相关的人力资源自动化管理流程。
-
应及时终止或变更离岗和转岗员工的数据操作权限,并及时将人员的变更通知到相关方。
-
员工入职时应按最小够用原则分配初始权限。
-
应以公开信息可查询的形式,面向组织全员公布数据安全职能部门的组织架构。
(4)人员能力
-
负责组织和员工管理的人员应充分理解人力资源管理流程中可对安全风险进行把控的环节。
-
应开展员工入职过程中的数据安全教育,通过培训、考试等手段提升其整体的数据安全意识。
-
负责设置数据安全职能的人员应能够明确组织的数据安全工作目标。
基于上述定义,以及对应充分定义级的要求,11.2节将对组织和人员管理的相关内容进一步展开讲解,并给出实践指南。
4.7.3 合规管理
DSMM官方将合规管理定义为根据相关法律法规,组织需要保证业务的发展不会面临个人信息保护、重要数据保护、跨境数据传输等方面的合规风险。
DSMM标准在充分定义级对合规管理的要求具体如下。
(1)组织建设
应在组织层面设立负责个人信息保护、重要数据保护、跨境数据传输等方面的安全合规管理的专职岗位,由相关工作人员负责明确组织在个人信息保护、重要数据保护、跨境数据传输等方面的安全合规需求,制定数据安全合规的规范要求和解决方案,并推进其在组织整体范围内执行。
(2)制度流程
-
应明确组织所有的外部合规要求并形成清单,定期跟进监管机构合规要求的动态,以对该清单进行更新,同时将其拆分发送给相关方以进行宣传。
-
应依据个人信息保护相关法律法规和标准等,制定组织统一的个人信息保护制度,使组织具备符合国家法律法规和相关标准的个人信息保护能力。
-
应依据相关法律法规及相关标准对重要数据进行保护,建立组织统一的重要数据全生命周期保护制度和管控措施。
-
应依据相关法律法规和相关标准中针对数据跨境传输的安全要求,来明确组织统一的数据跨境安全制度和管控措施。
-
应针对组织内部因业务架构、组织职能变更而引发的重要数据流向变化,建立有效的变更管控机制,以控制重要数据流向发生变化时可能引发的合规风险。
-
应定期对重要数据安全策略、规范、制度和管控措施进行风险评估,并及时响应。
(3)技术工具
-
应建立数据安全合规资料库,相关人员可以通过该资料库查询合规要求。
-
应采取必要的技术手段和控制措施实现个人信息安全保护,例如,在个人信息处理过程中进行匿名化和去标识化操作。
-
应建立重要数据监控机制,防范重要数据安全风险。
(4)人员能力
负责该过程的人员应具备对个人信息保护、重要数据保护、跨境数据传输等方面的安全合规要求的解读和分析能力。
基于上述定义,以及对应充分定义级的要求,11.3节将对合规管理的相关内容进一步展开讲解,并给出实践指南。
4.7.4 数据资产管理
DSMM官方将数据资产管理定义为通过针对组织数据资产建立有效的管理手段,来让资产的类型、管理模式等方面实现统一的管理要求。
DSMM标准在充分定义级对数据资产管理的要求具体如下。
(1)组织建设
组织应设立数据资产管理的岗位,由相关工作人员对组织的数据资产进行统一管理,并负责数据资产管理规范的制定和落实。
(2)制度流程
-
应在组织层面建立数据资产安全管理制度,定义数据资产的相关角色定位和职责。
-
应明确数据资产登记机制,明确数据资产管理的范围和属性,确保组织内部重要的数据资产已有明确的管理者或责任部门。
-
应明确数据资产变更管理的要求和变更审批机制,例如,数据资产内容、分类、分级、标识、管理者等变更事项。
(3)技术工具
-
应通过技术工具执行数据资产的登记,实现对数据资产属性的自动标识。
-
应建立便于索引和查询的数据资产清单,并能够及时更新数据资产的相关信息。
-
应具有密钥管理系统,实现对密钥的全生命周期(生成、存储、使用、分发、更新、销毁等)的安全管理。
(4)人员能力
负责统一管理组织数据资产的人员应了解组织内部数据资产的管理需求,以及数据资产所涉及的业务范围,能够建立适用于组织业务实际情况的管理制度。
基于上述定义,以及对应充分定义级的要求,11.4节将对数据资产管理的相关内容进一步展开讲解,并给出实践指南。
4.7.5 数据供应链安全
DSMM官方将数据供应链安全定义为通过建立组织的数据供应链管理机制,防范组织上下游的数据在供应过程中存在安全风险。
DSMM标准在充分定义级对数据供应链安全的要求具体如下。
(1)组织建设
组织应设立负责数据供应链安全管理的岗位,由相关工作人员负责制定组织整体的数据供应链管理要求和解决方案。
(2)制度流程
-
应明确数据供应链安全管理规范,定义数据供应链安全目标、原则和范围,明确数据供应链的责任部门和人员、数据供应链上下游的责任和义务,以及组织内部的审核原则。
-
组织应通过合作协议的方式,明确数据链中数据的使用目的、供应方式、保密约定、安全责任与义务等。
-
应明确针对数据供应商的数据安全能力评估规范,根据该规范对数据供应商的数据安全能力进行评估,并将评估结果应用于供应商选择、供应商审核等管理过程中。
(3)技术工具
应建立组织整体的数据供应链库,用于管理数据供应链目录和相关数据源数据字典,便于及时查看并更新组织上下游数据链路的整体情况,并用于事后追踪和分析数据供应链上下游的合规情况。
(4)人员能力
负责该项过程的人员应了解组织上下游数据供应链的整体情况,熟悉供应链安全方面的法规和标准,并具备推进供应链管理方案执行的能力。
基于上述定义,以及对应充分定义级的要求,11.5节将对数据供应链安全的相关内容进一步展开讲解,并给出实践指南。
4.7.6 元数据管理
DSMM官方将元数据管理定义为建立组织的元数据管理体系,实现对组织内元数据的集中管理。
DSMM标准在充分定义级对元数据管理的要求具体如下。
(1)组织建设
组织应设立负责元数据管理的岗位,由相关工作人员统一负责建立组织内部与元数据相关的语义规则、管理要求和技术工具。
(2)制度流程
-
应明确数据服务中元数据语义的统一格式和管理规则,如数据格式、数据域、字段类型、表结构、逻辑存储和物理存储结构及管理方式。
-
应明确数据安全元数据管理要求,如采用口令策略、权限列表、授权策略等。
(3)技术工具
-
元数据管理工具应支持数据表的导航和搜索,提供表血缘关系、字段信息、使用说明、其他关联信息等,以方便用户使用数据表。
-
应建立元数据访问控制策略和审计机制,以确保元数据操作的追溯。
(4)人员能力
负责该项工作的人员应了解元数据管理的理论基础,理解组织元数据管理的业务需求。
基于上述定义,以及对应充分定义级的要求,11.6节将对元数据管理的相关内容进一步展开讲解,并给出实践指南。
4.7.7 终端数据安全
DSMM官方将终端数据安全定义为基于组织对终端设备层面数据的保护要求,针对组织内部的工作终端采取相应的技术和管理方案。
DSMM标准在充分定义级对终端数据安全的要求具体如下。
(1)组织建设
组织应设立负责终端设备或办公数据安全管理的岗位。
(2)制度流程
组织应明确面向终端设备的数据安全管理规范,明确终端设备的安全配置管理、使用终端数据的注意事项和数据防泄露管理要求等。
(3)技术工具
-
打印输出设备应采用身份鉴别、访问控制等手段进行安全管控,并对用户账户在此终端设备上的数据操作进行日志记录。
-
组织内入网的终端设备均应按统一的要求部署防护工具,如防病毒、硬盘加密、终端入侵检测等软件,并定期对软件进行更新,将终端设备纳入组织整体的访问控制体系中。
-
组织应部署终端数据防泄露方案,通过技术工具对终端设备上的数据,以及数据的操作进行风险监控。
-
应提供整体的终端数据安全解决方案,实现终端设备与组织内部员工的有效绑定,按统一的部署标准在终端设备系统上安装各类防控软件(如防病毒、硬盘加密、终端入侵检测等软件)。
(4)人员能力
负责该项工作的人员应充分了解终端设备的数据出入口,以及相应的数据安全风险,能够利用相应的工具实现整体的安全控制方案。
基于上述定义,以及对应充分定义级的要求,11.7节将对终端数据安全的相关内容进一步展开讲解,并给出实践指南。
4.7.8 监控与审计
DSMM官方将监控与审计定义为针对数据生命周期各阶段开展安全监控和审计,以保证对数据的访问和操作均能得到有效的监控和审计,实现对数据生命周期各阶段中可能存在的未授权访问、数据滥用、数据泄露等安全风险的防控。
DSMM标准在充分定义级对监控与审计的要求具体如下。
(1)组织建设
组织应设立负责监控和审计管理的岗位,该岗位的工作人员属于组织风险管理架构的一部分,遵循风险管理整体的职能设置,对数据生命周期各阶段的数据访问和操作的安全风险进行监控和审计。
(2)制度流程
-
应明确对组织内部各类数据访问和操作的日志记录要求、安全监控要求和审计要求。
-
应记录数据操作事件,并制定数据安全风险行为识别和评估规则。
-
应定期对组织内部员工数据操作行为进行人工审计。
(3)技术工具
-
应采用自动和人工审计相结合的方法或手段对数据的高风险操作进行监控。
-
应建立针对数据访问和操作的日志监控技术工具,实现对数据异常访问和操作的告警,高敏感数据和特权账户对数据的访问和操作都将纳入重点监控范围。
-
应部署必要的数据防泄露实时监控技术手段,监控及报告个人信息、重要数据等外发行为。
-
应采用技术工具对数据交换服务流量数据进行安全监控和分析。
(4)人员能力
负责该项工作的人员应了解数据访问和操作所涉及的数据范围,且具备对安全风险的判断能力。
基于上述定义,以及对应充分定义级的要求,11.8节将对监控与审计的相关内容进一步展开讲解,并给出实践指南。
4.7.9 鉴别与访问控制
DSMM官方将鉴别与访问控制定义为基于组织的数据安全需求和合规性要求,建立身份鉴别和数据访问控制机制,防范对数据的未授权访问风险。
DSMM标准在充分定义级对鉴别与访问控制的要求具体如下。
(1)组织建设
组织应设立负责鉴别与访问控制管理的岗位,由相关工作人员负责制定组织内用户身份鉴别、访问控制和权限管理的策略,提供相关的技术能力或进行统一管理。
(2)制度流程
-
应明确组织的身份鉴别、访问控制与权限管理要求,明确对身份标识与鉴别、访问控制及权限的分配、变更、撤销等权限管理的要求。
-
应按最小够用、职权分离等原则,授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系。
-
应明确数据权限授权审批流程,以对数据权限的申请和变更进行审核。
-
应定期审核数据访问权限,及时删除或停用多余的、过期的账户和角色,避免出现共享账户和角色权限冲突的问题。
-
应对外包人员和实习生的数据访问权限进行严格控制。
(3)技术工具
-
应建立组织统一的身份鉴别管理系统,支持组织主要应用接入,实现对人员访问数据资源的统一身份鉴别。
-
应建立组织统一的权限管理系统,支持组织主要应用接入,对人员访问数据资源进行访问控制和权限管理。
-
应采用技术手段实现身份鉴别和权限管理的联动控制。
-
应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。
-
访问控制的粒度应达到主体为用户级,客体为系统、文件、数据库表级或字段。
(4)人员能力
负责该项工作的人员应熟悉相关的数据访问控制的技术知识,并能够根据组织数据安全管理制度,对数据权限进行审批管理。
基于上述定义,以及对应充分定义级的要求,11.9节将对鉴别与访问控制的相关内容进一步展开讲解,并给出实践指南。
4.7.10 需求分析
DSMM官方将需求分析定义为建立针对组织业务的数据安全需求分析体系,以分析组织内数据业务的安全需求。
DSMM标准在充分定义级对需求分析的要求具体如下。
(1)组织建设
组织应设立负责数据安全需求分析的岗位,由相关工作人员负责在数据业务设计开发等阶段开展数据安全需求分析工作,以确保安全需求的有效制定和规范化表达。
(2)制度流程
-
应明确数据安全需求分析的制定流程和评审机制,明确安全需求文档的内容要求。
-
应依据国家法律法规和相关标准等要求,分析数据安全合规性需求。
-
应结合机构战略规划、数据服务业务目标和业务特点,明确数据服务安全需求和安全规划实施的优先级。
-
应识别数据服务面临的威胁和自身的脆弱性,分析数据安全风险和应对措施需求。
(3)技术工具
应建立承载数据业务的安全需求分析系统,该系统需要记录所有数据业务的需求分析申请,以及相关的安全方案,以保证能够有效追溯所有的数据业务的安全需求分析过程。
(4)人员能力
负责该项工作的人员应具备需求分析挖掘能力,对组织的数据安全管理业务有充分的理解。而且通过培训后,各业务的需求分析人员应对数据安全需求分析标准的理解是一致的。
基于上述定义,以及对应充分定义级的要求,11.10节将对需求分析的相关内容进一步展开讲解,并给出实践指南。
4.7.11 安全事件应急
DSMM官方将安全事件应急定义为建立针对数据的安全事件应急响应体系,以便及时响应和处置各类安全事件。
DSMM标准在充分定义级对安全事件应急的要求具体如下。
(1)组织建设
组织应设立负责数据安全事件管理和应急响应的岗位。
(2)制度流程
-
应明确数据安全事件管理和应急响应工作指南,定义数据安全事件类型,明确不同类别事件的处置流程和方法。
-
应明确数据安全事件应急预案,定期开展应急演练活动。
-
组织内的数据安全事件应急响应机制,应符合国家有关主管部门的政策文件要求。
(3)技术工具
应建立统一的安全事件管理系统,以对日志、流量等内容进行关联分析。
(4)人员能力
负责该项工作的人员应具备安全事件的判断能力,熟悉安全事件应急响应措施。
基于上述定义,以及对应充分定义级的要求,11.11节将对安全事件应急的相关内容进一步展开讲解,并给出实践指南。
9oMbKAmlNul2uCEQw/Ihcmd5EfG6grWZo8OGNYnSqiLvnq6Dg+k+q29mpAD6PaKI
