数据安全能力建设框架
数据安全能力建设框架
数据安全与现有安全体系融合
数据安全能力建设工作并非从零开始,大部分组织在此前或多或少已有一些安全体系,基本上是围绕 信息系统和网络环境开展安全保护工作,主要聚焦在信息安全和网络安全;而数据安全是以数据为核心, 围绕数据安全生命周期进行建设以提高数据安全保障能力,所以需要与当前安全体系进行融合。在决策层 确定数据安全目标和愿景之后,再由数据安全管理层根据组织的业务发展实际情况讨论具体的融合方式。
数据安全能力建设框架
基于《信息安全技术 数据安全能力成熟度模型》标准能力成熟度等级3级要求,数据安全能力建设 可参考以下实施框架:
图1:数据安全能力建设框架
能力建设框架图说明
整体来看,数据安全能力建设是以法律法规监管要求和业务发展需要为输入,结合数据安全在组织建 设、制度流程和技术工具的执行要求,匹配相应人员的具体能力,组织的数据安全能力建设结果最终以数 据生命周期各个过程域来综合体现。下面对合规和业务需求及四个能力维度的框架设计进行概要说明:
合规和业务需求: 数据安全最终是为组织的业务发展服务的,不能游离于业务之外或独立存在。在 满足法律法规要求的前提下,数据安全能力建设须切合业务发展需要来开展。
组织建设 :指数据安全组织的架构建立、职责分配和沟通协作。组织可分为决策层、管理层和执行 层等三层结构。其中,决策层由参与业务发展决策的高管和数据安全官组成,制定数据安全的目标和愿景, 在业务发展和数据安全之间做出良好的平衡;管理层是数据安全核心实体部门及业务部门管理层组成,负 责制定数据安全策略和规划,及具体管理规范;执行层由数据安全相关运营、技术和各业务部门接口人组 成,负责保证数据安全工作推进落地。
制度流程: 指数据安全具体管理制度体系的建设和执行,包括数据安全方针和总纲、数据安全管理 规范、数据安全操作指南和作业指导,以及相关模板和表单等。
技术工具: 指与制度流程相配套并保证有效执行的技术和工具,可以是独立的系统平台、工具、功 能或算法技术等。需要综合所有安全域进行整体规划和实现,且要和组织的业务系统和信息系统等进行衔 接。包括适用于所有安全域的通用技术工具,和部分阶段或安全域试用的技术工具。
人员能力 :指为实现以上组织、制度和技术工具的建设和执行其人员应具备的能力。核心能力包括 数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力。根据不同数据安全能力 建设维度匹配不同人员能力要求。
数据安全组织建设
数据安全能力建设是一个复合型、需多方联动型的工作,在开展组织架构建设时,需要考虑组织层面 实体的管理团队及执行团队,同时也要考虑虚拟的联动小组,其中业务部门、研发部门、HR、IT、法务等 部门均需要参与数据安全建设当中。成立数据安全组织其目的是明确数据安全的政策、落实和监督等工作, 以确保数据安全能力建设的有效执行。
组织架构设计
设计数据安全的组织架构时,可按照决策层、管理层、执行层、员工和合作伙伴、监督层的组织架构 设计。在具体执行过程中,组织也可赋予已有安全团队与其它相关部门数据安全的工作职能,或寻求第三 方专业团队等形式开展工作,组织架构图如下:
图2:数据安全组织架构图
决策层
决策层是数据安全管理工作的决策机构,建议由数据安全官及其它高层管理人员组成,数据安全官是 组织内数据安全的最终负责人。数据安全官应能参与到组织的业务发展决策,因为业务的发展和数据安全 是密不可分。除数据安全官外,其它高层管理人员对于数据安全的重视和决策是非常重要的,决策层也需 要其它业务、法务、研发等高管共同组成,形成定期的沟通运作机制,其主要工作职责包括:
- 制定组织的数据安全目标和愿景;
- 对数据安全策略和规划,制度与规范等进行发布;
- 为组织的数据安全建设的提供必要的资源;
- 对公司的重大数据安全事件进行协调和决策;
管理层
管理层是数据安全组织机构的第二层,基于组织决策层给出的策略,对数据安全实际工作制定详细方 案,做好业务发展与数据安全之间的平衡。在组织中承上启下,做好数据安全全面落地工作,是组织内开 展数据安全工作最核心的部门或岗位,部分工作可能需要组织外部专业资源共同来履行。其主要工作职责 包括:
- 结合合规监管要求和业务发展需求,制订数据安全整体解决方案并组织实施;
- 制定数据安全管理策略和规划,统一数据安全管理规范体系等;
- 建立监控审计机制:数据安全工作和监督审计机制,推动并协助执行组织的建立,监督工作 有效开展;
- 对组织内人员能力开展数据安全技术培训和意识宣导,逐步提升数据安全工作人员的能力水 平和组织内人员安全意识;
- 制定数据安全决策层、管理层、执行层、监督层等的运作机制,保障数据安全工作在内部保 持信息通畅、运作顺利;
- 保持外部组织的沟通,包括国家及行业监管、第三方咨询服务商(安全咨询、安全厂商)以 认证、测评机构(认证及认可、安全测评机构)等。
执行层
执行层与管理层是紧密配合的关系,其职责主要聚焦每一个数据安全场景,对设定的流程进行逐 个实现。执行层主要包括数据安全专职人员和各业务部门的数据安全接口人员、风险管理人员、数据 owner 等,其主要工作职责主要包括:
- 负责数据安全风险的评估和改进;
- 负责数据安全运营工作,如:数据权限授权、数据共享、数据下载等审批;
- 负责数据安全事件的跟进和处理;
- 协助数据安全管理团队展开数据治理工作,如数据分类分级工作;
- 负责数据安全专案项目管理和实施。
员工和合作伙伴
范围包括组织内部人员和有合作的第三方的人员,须遵守并执行组织内对数据安全的要求,特别 是共享敏感数据的第三方,从协议、办公环境、技术工具方面等做好约束和管理。员工和合作伙伴主 要职责是:
- 履行组织对数据安全的要求,部署数据安全工具;
- 通过培训、考试、案例学习等提升数据安全意识;
- 提升数据安全风险识别的能力,能结合业务判断数据安全风险,并降低风险发生;
- 对组织内风险及时申报,不断协助管理团队提升数据安全防护能力。
监督层
数据安全监督层负责定期监督审核管理小组、执行小组,员工和合作伙伴对数据安全政策和管理 要求的执行情况,并且向决策层进行汇报,监督层人员必须具备独立性,不能与其它管理小组、执行 小组等人员共同兼任,建议由组织内部的审计部门担任。其主要职责包括:
- 对数据安全制度落地执行情况监督;
- 对数据安全工具执行有效性监督;
- 对数据安全风险开展监控与审计;
协同部门数据安全职能
数据安全组织和组织内多个部门之间有非常紧密的关系,在组织架构的顶层设计层面,业务部、IT部、 法务部、HR、研发部、风控部、公关部等部门需要参与到策略方向及重大事件的决策中;在实际数据安全 业务开展层面,从平台底层设计到流程制定实施、安全工具部署、人员安全管控、数据安全合规、对外披 露等方面均需要深度介入和协作。
同时,需要数据安全管理层制定与各部门之间的数据安全工作机制,目的是为了保障数据安全工作顺 利开展,过程中的争议得到解决,如数据安全安全团队与业务方、法务以及合作伙伴之间的日常工作交流、 争议与问题解决等事项。
这些职能部门所涉及的数据安全工作在第十章节会有更详细的描述,这里主要列举了一部分组织部门 在数据安全能力建设上可能会涉及的协同工作,具体部门名称在不同组织内可能会有差异,具体以实际情 况为主。
业务部门数据安全职能
业务部门在组织内主要职能是拓展业务,保障业务持续发展,但是同时需要兼顾数据安全风险问题。 在业务开展过程中,主要会涉及以下几方面的数据安全联动工作,对于较为复杂大型的组织,考虑业务 内部有一名数据安全接口人经过培训、赋能等工作(兼职)开展以下相关工作:
- 业务新增:大部分场景主要涉及数据采集合规,需要由数据安全组织及法务合规部门,联合开展 新增业务的数据安全风险评估。
- 业务运营:可能涉及数据批量查询、下载、分析和处理,过程中做好岗位权限管理,保障数据最 小化使用的原则。
- 业务外部合作:当与外部产生合作,可能涉及数据共享、交换等场景,需要数据安全组织或数据 安全接口人开展数据共享、数据披露的风险评估,避免敏感数据外泄等风险;同时接收外部合作 的数据时,与合规部门联合做好数据来源合法的控制等措施。
- 数据安全事件:当业务部门内部发生数据安全事件时,业务负责人需要联合数据安全组织及时调 查和处理,降低事件影响面及影响程度。并举一反三,改进业务流程机制,降低数据安全风险。
- 其他数据安全执行工作,风险上报等职能。
人力资源部门数据安全职能
人员资源部门主要负责企业内部人员招聘、管理等工作,在人员入职、调岗、离职等过程中,做 好人员完整链路的数据安全协同工作,同时需要对数据安全违规人员进行处罚设置及处理。具体数据 安全工作职能详见10.x的PA21的详细解读。
IT 部门数据安全职能
IT部门主要实现组织内信息化的工作,过程中涉及到多个数据安全相关的管理工作,一般由数据 安全组织制定策略制度,由IT部门开展执行落地。主要数据安全职能包括:
- 服务器、硬盘、PC等介质的安全管理;
- 终端安全的防护措施部署;
- 高风险软件、云盘、通信工具等软件的管理策略执行。
法务部门数据安全职能
法务部门主要负责政策法律、合作协议等相关事项,其中数据安全/个人隐私的政策法规逐步出台和 完善,结合实际业务组织开展内部的数据安全合规工作至关重要。具体开展时,可利用外部专业机构,作 为职能补充。主要会涉及到联动的数据安全工作职能包括:
- 组织内部开展数据安全/个人隐私保护合规专项,并联合多部门完成合规。
- 对数据供应链的合作伙伴,在合作协议中拟定数据安全相关管理要求。
- 对组织内部开展数据安全合规政策的解读和培训。
风险管理部门数据安全职能
风险管理部门主要统筹负责组织内所有风险的安全管控,数据安全应是其中的一个模块,一定意义上, 可以与数据安全组织架构中的数据安全管理部门开展分工协作。其主要职能包括:
- 设置内部数据安全风险举报机制,收集风险并及时开展处理;
- 设置数据安全风险应急相应机制,联动数据安全组织、业务部门等开展风险评估和及时处理;
- 对数据安全风险定期分析和总结,反馈给数据安全部门,促进数据安全在流程上、机制上、产品 上做优化和更新;
公共关系部门数据安全职能
公关部门即公共关系部门,通过良好的公共关系活动的策划来实施和实现组织内外有良好的科学关系, 涉及和管理组织内部较多信息对外发声以及外部声音的内部回应,在过程中其主要职能包括:
- 当对媒体发布信息时,在数据披露流程中,可以考虑结合内容敏感程度,增加公关的审批节点, 将数据披露的风险控制到最低。
- 当涉及较大数据安全风险事件时,对外及时的响应应考虑由公关统筹发声,保障回应内容和方式 被公众所接受 。
参考资料
数据安全能力建设实施指南 V1.0(征求意见稿)