數據安全知識:數據安全策略規劃
在《DAMA 數據管理知識體系》有這么一句話“任何事情皆可外包,但責任除外。”
數據安全策略規劃在《數據安全能力成熟度模型》是第一個過程域,其描述是:建立適用于組織數據安全風險狀況的組織整體的數據安全策略規劃,數據安全策略規劃的內容應覆蓋數據全生存周期的安全風險。
從安全能力維度明確了組織在數據安全領域應具備的能力,包括組織建設、制度流程、技術工具和人員能力。五個成熟度,自然也遵循這個安全能力維度,只是不同的成熟度強調的內容不同。我們通過看標準,來簡單看看這個過程域的五個級別。
《DAMA數據管理知識體系》提到:組織在制定數據安全制度時應基于自己的業務和法規要求。制度是所選行動過程的陳述以及為達成目標所期望行為的頂層描述。數據安全策略描述了所決定的行為,這些行為符合保護其數據的組織的最佳利益。要使這些制度產生可衡量的影響,它們必須是可審計且經審計過的。
數據安全策略的實施和管理主要由安全管理員負責,與數據管理專員和技術團隊協作。例如,數據庫安全性通常是DBA的職責。
從成熟度來講,對應的是五個成熟度。
等級1:非正式執行
該等級的數據安全能力描述如下:
組織建設:未在任何業務中建立成熟穩定的數據安全制度規程,僅根據臨時需求或基于個人經驗,考慮了數據安全策略和規劃。
等級2:計劃跟蹤
該等級的數據安全能力要求描述如下:
- 組織建設:應由業務團隊具有人員負責制定業務的數據安全策略。
- 制度流程:核心業務應基于主要的數據安全風險,建立以數據安全生存周期為核心思想的數據安全制度體系。
- 人員能力:核心業務應負責該項工作的人員具備對組織執行數據安全風險評估,以及將數據安全要求提煉形成制度的能力。
等級3:充分定義
該等級的數據安全能力要求描述如下:
(1) 組織建設:組織應設立專職的崗位和人員,負責組織數據安全制度流程和戰略規劃的建設。
(2) 制度流程:
- 應明確符合組織數據戰略規劃的數據安全總體策略,明確安全方針、安全目標和安全原則;
- 應基于組織的數據安全總體策略,在組織層面明確以數據為核心的數據安全制度和規程,覆蓋數據生存周期相關的業務、系統和應用,內容包含目的、范圍、崗位、責任、管理層承諾、內外部協調機制及合規目標等;
- 應明確并實施大數據系統和數據應用安全實施細則;
- 應明確數據安全制度規程分發機制,將數據安全策略、制度和規程分發至組織相關部門、崗位和人員;
- 應明確數據安全制度及規程的評審、發布流程,并確定適當的頻率和時機對制度和規程進行審核和更新;
- 應明確組織層面的數據安全戰略規劃,包括各階段目標、任務、工作重點,并保障其與業務規劃相適應。
(3) 技術工具:應建立數據安全策略規劃的系統,通過該系統向組織全體員工發布策略規劃的解讀材料,以便于策略規劃的落地推進。
(4) 人員能力:
- 負責制定數據安全總體策略和戰略規劃的人員應了解組織的業務發展目標,能夠將數據安全工作的目標和業務發展的目標進行有機結合;
- 負責制定數據安全制度和規程的人員應具備信息安全管理體系建設的知識,并具備良好的規范撰寫能力;
- 負責推廣數據安全策略規劃的人員應能夠以員工和相關方易理解的方式,通過培訓等宣導形式對數據安全管理的方針、策略和制度進行有效傳達。
等級4:量化控制
該等級的數據安全能力要求描述如下:
(1) 制度流程:
- 在組織架構發生重大調整或數據服務業務發生重大變化時,應及時評估數據安全制度與規程的實施效果,并將效果反映到安全制度和規程文件的修訂過程中;
- 應對數據安全制度和規程進行體系化的評估,制定數據安全能力提升計劃;
- 應對數據安全戰略規劃進行評估,確保數據安全總體策略、安全目標和戰略規劃內容的合規性。
(2) 人員能力:負責該工作的人員能夠應及時評估策略規劃的實施效果,并根據實施效果修訂數據安全策略規劃文件。
等級5:持續優化
該等級的數據安全能力要求描述如下:
(1) 制度流程:應持續跟進國內外在數據安全領域的管理標準和技術發展,并關注組織所在行業的發展動態及組織自身的業務發展方向,及時對數據安全策略規劃進行調整和改進。
(2) 技術工具:
- 應建立數據安全規劃動態調整機制,通過信息化系統執行對數據安全規劃的動態管理;
- 應參與國際、國家或行業相關標準制定。在業界分享最佳實踐,成為行業標桿。
(3) 人員能力:負責該工作的人員應能夠持續跟蹤國內外數據安全政策、標準、產業趨勢、新技術,并能夠對組織的數據安全策略規劃實現持續優化。
數據安全包括安全策略和過程的規劃、建立與執行,為數據和信息資產提供正確的身份驗證、授權、訪問和審計。在制定數據安全策略中,DAMA國際則讓我們考慮利益相關方、政府法規、特定業務關注點、合法訪問需求、合同義務等幾個方面。
