在《DAMA 數據管理知識體系》有這么一句話“任何事情皆可外包�,但責任除外?��!?
數據安全策略規(guī)劃在《數據安全能力成熟度模型》是第一個過程域��,其描述是:建立適用于組織數據安全風險狀況的組織整體的數據安全策略規(guī)劃,數據安全策略規(guī)劃的內容應覆蓋數據全生存周期的安全風險。
從安全能力維度明確了組織在數據安全領域應具備的能力,包括組織建設���、制度流程�、技術工具和人員能力���。五個成熟度����,自然也遵循這個安全能力維度,只是不同的成熟度強調的內容不同����。我們通過看標準,來簡單看看這個過程域的五個級別����。
《DAMA數據管理知識體系》提到:組織在制定數據安全制度時應基于自己的業(yè)務和法規(guī)要求。制度是所選行動過程的陳述以及為達成目標所期望行為的頂層描述��。數據安全策略描述了所決定的行為�,這些行為符合保護其數據的組織的最佳利益。要使這些制度產生可衡量的影響�,它們必須是可審計且經審計過的。
數據安全策略的實施和管理主要由安全管理員負責��,與數據管理專員和技術團隊協(xié)作����。例如,數據庫安全性通常是DBA的職責��。
從成熟度來講��,對應的是五個成熟度。
等級1:非正式執(zhí)行
該等級的數據安全能力描述如下:
組織建設:未在任何業(yè)務中建立成熟穩(wěn)定的數據安全制度規(guī)程,僅根據臨時需求或基于個人經驗,考慮了數據安全策略和規(guī)劃���。
等級2:計劃跟蹤
該等級的數據安全能力要求描述如下:
-
組織建設:應由業(yè)務團隊具有人員負責制定業(yè)務的數據安全策略��。
-
制度流程:核心業(yè)務應基于主要的數據安全風險,建立以數據安全生存周期為核心思想的數據安全制度體系����。
-
人員能力:核心業(yè)務應負責該項工作的人員具備對組織執(zhí)行數據安全風險評估,以及將數據安全要求提煉形成制度的能力��。
等級3:充分定義
該等級的數據安全能力要求描述如下:
(1) 組織建設:組織應設立專職的崗位和人員,負責組織數據安全制度流程和戰(zhàn)略規(guī)劃的建設�。
(2) 制度流程:
-
應明確符合組織數據戰(zhàn)略規(guī)劃的數據安全總體策略,明確安全方針、安全目標和安全原則;
-
應基于組織的數據安全總體策略,在組織層面明確以數據為核心的數據安全制度和規(guī)程,覆蓋數據生存周期相關的業(yè)務��、系統(tǒng)和應用,內容包含目的�、范圍、崗位�、責任、管理層承諾��、內外部協(xié)調機制及合規(guī)目標等�;
-
應明確并實施大數據系統(tǒng)和數據應用安全實施細則����;
-
應明確數據安全制度規(guī)程分發(fā)機制,將數據安全策略����、制度和規(guī)程分發(fā)至組織相關部門����、崗位和人員;
-
應明確數據安全制度及規(guī)程的評審���、發(fā)布流程,并確定適當的頻率和時機對制度和規(guī)程進行審核和更新����;
-
應明確組織層面的數據安全戰(zhàn)略規(guī)劃,包括各階段目標�、任務、工作重點,并保障其與業(yè)務規(guī)劃相適應�。
(3) 技術工具:應建立數據安全策略規(guī)劃的系統(tǒng),通過該系統(tǒng)向組織全體員工發(fā)布策略規(guī)劃的解讀材料,以便于策略規(guī)劃的落地推進。
(4) 人員能力:
-
負責制定數據安全總體策略和戰(zhàn)略規(guī)劃的人員應了解組織的業(yè)務發(fā)展目標,能夠將數據安全工作的目標和業(yè)務發(fā)展的目標進行有機結合;
-
負責制定數據安全制度和規(guī)程的人員應具備信息安全管理體系建設的知識,并具備良好的規(guī)范撰寫能力;
-
負責推廣數據安全策略規(guī)劃的人員應能夠以員工和相關方易理解的方式,通過培訓等宣導形式對數據安全管理的方針�、策略和制度進行有效傳達。
等級4:量化控制
該等級的數據安全能力要求描述如下:
(1) 制度流程:
-
在組織架構發(fā)生重大調整或數據服務業(yè)務發(fā)生重大變化時,應及時評估數據安全制度與規(guī)程的實施效果,并將效果反映到安全制度和規(guī)程文件的修訂過程中;
-
應對數據安全制度和規(guī)程進行體系化的評估,制定數據安全能力提升計劃;
-
應對數據安全戰(zhàn)略規(guī)劃進行評估,確保數據安全總體策略���、安全目標和戰(zhàn)略規(guī)劃內容的合規(guī)性��。
(2) 人員能力:負責該工作的人員能夠應及時評估策略規(guī)劃的實施效果,并根據實施效果修訂數據安全策略規(guī)劃文件��。
等級5:持續(xù)優(yōu)化
該等級的數據安全能力要求描述如下:
(1) 制度流程:應持續(xù)跟進國內外在數據安全領域的管理標準和技術發(fā)展,并關注組織所在行業(yè)的發(fā)展動態(tài)及組織自身的業(yè)務發(fā)展方向,及時對數據安全策略規(guī)劃進行調整和改進���。
(2) 技術工具:
-
應建立數據安全規(guī)劃動態(tài)調整機制,通過信息化系統(tǒng)執(zhí)行對數據安全規(guī)劃的動態(tài)管理;
-
應參與國際�、國家或行業(yè)相關標準制定����。在業(yè)界分享最佳實踐,成為行業(yè)標桿。
(3) 人員能力:負責該工作的人員應能夠持續(xù)跟蹤國內外數據安全政策�、標準、產業(yè)趨勢�、新技術,并能夠對組織的數據安全策略規(guī)劃實現持續(xù)優(yōu)化。
數據安全包括安全策略和過程的規(guī)劃����、建立與執(zhí)行,為數據和信息資產提供正確的身份驗證��、授權����、訪問和審計。在制定數據安全策略中��,DAMA國際則讓我們考慮利益相關方����、政府法規(guī)、特定業(yè)務關注點�、合法訪問需求、合同義務等幾個方面��。
