数据安全制度

关于制度

制度标准的重要性

标准和制度是统一思想、解决纷争的行动指南，是数据安全真正可以落地实施的基础/保障。

制度内容

公司的管理制度因需求的不同而编写时有所侧重，比如ISO27001体系的管理制度，分类比较全，制度之间交叉的比较多，这样将制度都统一放到公司的制度管理平台使用是没有问题的，但当需要将相关制度提供给合作机构审查时，就发现比较繁琐。本文没有特别说明均表示在公司内部使用的场景

制度格式

形式
一般的法律法规通常采用第一条、第二条的形式，优点比较清晰，引用比较方便，比如最著名的网安第21条，但在公司内部部门编写的制度，很多时候不建议采用，因为稍微大点的公司，都有内审部，上市公司还有外审，每年都会审计制度，多少都会让编写者有所改动，如果你在第二条后面加了一条，那么所有的第N条都要变动，将会导致头很大，活很累(会点开发写个脚本还好) 结论是改动不大的制度，格式任意，经常改动的制度建议采用第1章，然后1.1的形式，第2章然后2.2的形式，改动相对比较小
格式
字体和字号
分为标题和正文，字体和字号可统一规定，如正文字体宋体，字号小四，表格小五，要求所有文档使用统一格式，否则不太美观
行文结构

标题
修订记录
基本信息包括序号、日期、版本、修订内容/描述、修订人/作者、审批人/审核
目录
第1章总则
目的、依据、适用范围/对象、术语定义、编写原则等
组织职责
管理制度核心是组织结构和对应的职责分工，所以大部分制度都会有这一条
具体制度内容
奖罚细则/监督检查
附则
附件
可有可无

编写方法

从头编写一个制度其实比较耗时,有时也很难考虑全面，因此做为编写者要知道自己写制度的重点，哪几行是自己重点强调的，比如写一个密码管理制度，强调的是一人一账号、密码强度要求、违规处罚措施，其它内容基本上是通用的，把公司或者部门替换一下即可。
这里可以找相关的国家标准或相关报告，里面基本上都写的比较好，很有参考意义。

制度的生命周期

制度在企业中遵循完整的生命周期，主要包括:

创建
评审/签发
一般制度编写完都需要有评审和正式签发，因制度的适用范围不同签发人也不同，面向全司的制度，一般由CEO进行正式签发(还需要留痕、比如邮件回复或系统确认等)
发布
一般有统一的制度管理平台或OA中的一个模块
签收
制度相关人需要确认已经收到制度，了解细则，这样违反制度时，即可按制度进行处罚，可以在制度管理系统中，给相关人设置任务，在规定时间内，必须查看相关制度，最后点确认/已阅按钮
执行
制度依靠闭环落地执行，否则就是一纸空文
具体依赖人、技术、流程
比如密码管理复杂度要求，在设置密码功能处，校验密码是否满足要求
比如数据外发需要审计并留痕，则数据外发统一使用外发平台，填写外发的数据、对方邮箱、对方手机号，审批后，系统直接导出数据，加密后发给对方邮箱(解密密码以短信方式发给对方)
比如内鬼数据泄露，靠有严格的惩罚措施和有诱惑力的举报奖励，让内鬼成为极危工作，抓到一起树立一次典型，全员通报、开除、追究法律责任，用威慑来实现制度"闭环"
修订
制度编写人因业务变化等可能需要对制度进行修订，或者每年需要检查是否需要修订制度，如果公司分工比较细，有专人管理制度，每年都会检查修订
废弃
如果制度不在适用，则可以废弃，比如idc机房管理制度，当业务都迁移到云上，则不需要企业管理生产环境物理机房，则制度可以废弃

制度体系架构

制度流程需要从组织层面整体考虑和设计，并形成体系框架。制度体系需要分层，层与层之间需要有关联逻辑，在内容上不能重复或矛盾。一般是分为四级

四级制度体系是对一个目标的逐层分解
简单解释
一级文件是目标，二级文件是做什么，三级文件是怎么做，四级文件是做没做

比如发现风险的安全处置
二级文件: 能够及时发现安全风险并进行处置
三级文件: 当使用态势感知设备发现风险，应该在某个管理平台填写IP，下发封禁策略
四级文件: 下发封禁产生的日志(谁、什么时间、在哪个节点、封禁的哪个IP地址)

比如制定密码规范
二级文件: 公司要制定密码规范，密码长度大于8位，包括大小写字母、数字、特殊字符
三级文件: 公司系统生成的密码，统一使用运维部开发的API生成，并且通过安全校验
四级文件: 密码值进行具体的校验，确认是否符合要求

比如数据备份
二级文件: 公司数据要进行定期的备份和恢复严重，数据存在多副本，出现极端情况，确保数据万无一失
三级文件: 公司的线上生产数据库要进行每天增量备份，每周差分备份，每年完全备份。每份数据有线上双活主从备份，线下离线全量备份，确保三份数据，由2个运维小组进行分别进行授权管理，操作过程全程使用堡垒机进行监控。
四级文件: 备份的操作记录等表单

一级文件

编写者一般是数据安全的决策层，主要包括方针和总纲面向组织层面数据安全管理的顶层方针、策略、基本原则和总的管理要求等，主要内容包括但不限于:

数据安全管理的目标、愿景、方针等
数据及数据资产定义: 比如定义组织内数据包含哪些内容和类别，信息系统载体等
数据安全管理基本原则: 比如数据分类分级原则、数据安全和业务发展匹配原则、数据安全管理方针和政策等
数据生命周期阶段划分和整体策略，比如数据产生、数据存储、数据传输、数据交换、数据使用、数据销毁等
数据安全违规处理: 比如违规事件及其等级定义，相应处罚规定等

二级文件

编写者一般是数据安全的管理层，依据一级文件，编写的数据安全管理制度和办法，是指数据安全通用和各生命周期阶段中某个安全域或多个安全域的规章制度要求，比如:
通用安全域: 数据资产管理、数据质量管理、数据安全合规管理、系统资产管理等等
数据生命周期各阶段: 数据采集安全管理、数据存储安全管理、数据传输安全管理、数据交换安全管理、数据使用安全管理、数据销毁安全管理，以及某个安全域的安全管理要求等等

三级文件

编写者一般是数据安全的管理层、执行层 ，依据二级文件，编写的数据安全各生命周期及具体某个安全域的操作流程、规范，及相应的作业指导书或指南，配套模板文件等

在保证生命周期和安全域覆盖完整的前提下，可以根据实际情况整合流程和规范的文档数量，不一定每个安全域或者每个生命周期阶段都单独建立流程和规范。
数据安全操作指导书或指南，是对数据安全管理流程和规范的解释和补充，以及案例说明等的文档，以方便执行者深入理解和执行；并非强制执行的制度规范，仅供参考。
数据安全模板文件是与管理流程、规范和指南相配套的固定格式文档，以确保执行一致性，以及数据或信息的汇总统计等。比如权限申请和审批表模板，日志存储格式模板等等，有条件的情况下，一般都通过技术工具实现。

四级文件

指执行数据安全制度产生的相应计划、表格、报告、各种运行/检查记录、日志文件等，如果实现自动化，大部分可通过技术工具收集到，形成相应的量化分析结果，也是数据的一部分。

数据安全制度架构

对应到数据安全制度建设，4级文件都应该包括哪些?

数据安全制度介绍

(一级文件)数据安全管理总则

主要内容

数据安全管理的目标、愿景、方针等；
数据及数据资产定义：比如定义组织内数据包含哪些内容和类别，信息系统载体等；
数据安全管理基本原则：比如数据分类分级原则、数据安全和业务发展匹配原则、数据安全管理方针和政策等；
数据生命周期阶段划分和整体策略，比如：数据产生、数据存储、数据传输、数据交换、数据使用、数据销毁等。
数据安全违规处理：比如违规事件及其等级定义，相应处罚规定等
方针政策：是对组织级数据安全管理的基本原则和办法，可以结合数据安全总纲从目标原则、监管合规、数据生命周期、数据资产和分类分级定义，及相关违规处罚等方面进行描述

数据安全管理总则
目标和依据、范围、术语、(原则)
数据安全组织和职责
公司中负责数据安全相关的部门和每个部门具体的工作职责
数据安全资产管理数据安全资产的定义管理方法等
数据分类分级管理规范
数据的具体类别和每类下的具体级别
数据生命周期安全管理
数据整个生命周期过程中的安全管理要求
数据安全奖惩管理规范
对于违规和举报人员的的奖惩规定
附则

制度样例
数据安全管理总纲

(二级文件)数据资产管理制度

数据资产管理制度是所有数据相关制度的基础，其他制度都以这个制度为前提。
数据资产(定义)是组织拥有和控制的、能够给企业管理、应用服务和商业拓展带来价值的数据信息。
数据资产管理制度(目标)只有洞悉数据资产重要程度与分布、使用对象与场景、授权与责任等，才能有效的实施数据资产风险管理和安全防护。
数据资产管理(主要工作):一般而言，数据资产安全管理工作包含资产识别、资产重要度定级、资产变更管理与监测、资产风险管理等

数据资产管理总则
目标和依据、范围、术语、(原则)
数据资产组织和职责
组织:各团队应配置具体人员负责本团队范围内的数据资产管理工作，职责:对数据进行全生命周期管理，了解数据的分布、管控措施等
数据资产管理规范
全生命周期管理: 登记、更新、维护
数据资产目录: 提供检索、数据表责任到人
变更管理审批: 监控数据资产的上线、变更、转移、销毁及管控措施
主数据管理
元数据管理
数据模型管理
资产流通管理
数据开发管理
数据资产奖惩管理规范
对于不管理数据资产导致泄露进行处罚
附则

制度样例
数据资产管理制度

(二级文件)数据分类分级管理办法

分类分级目的是为了对数据采取更合理安全管理和保护，需要对分类分级的数据进一步制订具体的保护细则，包括对不同级别的数据进行标记区分、明确不同数据的访问人员和访问方式、采取的安全保护措施（如加密、脱敏等）；

数据分类分级总则
目标和依据、范围、术语、(原则)
数据分类分级组织和职责
数据分类分级方法
用户数据(个人信息手机号、身份证号、信用卡号)、业务数据(订单)、企业数据(财报、人员) 实用角度三级:秘密->相关人公开，内部公开，对外公开
数据定级流程
分类分级规范
数据分类分级清单
什么数据属于什么类别和等级
每级数据安全保护措施
每级数据传输、存储、使用上的保护措施
监督检查

参考样例
数据分类分级管理办法

(二级文件)数据生命周期安全管理办法

目录
- 数据采集安全要求 - 数据传输安全要求 - 数据存储安全要求 - 数据使用安全要求 - 数据开放共享安全要求 - 数据销毁安全要求

参考样例
数据生命周期安全管理办法

(二级文件)数据供应链管理办法

数据供应链是数据生产及流通过程中，涉及将数据产品或服务提供给最终用户所形成的网链结构。数据供应链安全管理的核心是厘清各方权力责任边界，对各方数据交互行为进行合规管理，防范组织上下游的数据供应过程中的安全风险。

合作伙伴台账
合作伙伴职责和义务
详细要求

建立数据供应链安全管理规范和安全方针，明确数据供应链安全目标、原则和范围。确保数据供应链上下游对数据交换、使用和利用符合法律法规，并有技术保障措施。明确数据供应链上下游责任和义务，确保数据供应链相关数据服务真实可用。通过合作协议方式明确大数据服务数据供应链中数据的使用目的、供应方式、保密约定等。建立数据供应链目录和相关数据源数据字典，明确数据供应链的责任部门和人员。对数据供应链上下游的大数据服务提供者和大数据使用者的行为进行合规性审核和分析。

数据供应链总则目标、适用范围、基本原则、术语
组织与职责
供应商管理
监督检查
附则

参考样例
数据供应链管理制度

(二级文件)数据出境安全管理办法

主要参考数据出境安全评估申报指南，重点关注数据出境的审批流程

数据出境总则
目标、适用范围、基本原则、术语
组织与职责
数据出境申报流程
监督检查
附则

参考样例
数据出境管理制度

(二级文件)数据安全事件管理办法

数据安全事件总则
数据安全事件组织与职责
数据安全事件的分类规定
数据安全事件的分级规定
数据安全事件管理规定
数据安全事件应急预案
监督检查
附则
附件

参考样例
数据安全事件管理制度

(二级文件)数据安全评估管理办法

数据安全评估总则
数据安全评估组织与职责
数据安全评估规范
数据安全评估流程
监督检查
附则

参考样例
数据安全评估管理制度

(二级文件)数据安全审计管理办法

数据安全审计目标
数据安全审计组织与职责
数据安全审计规范
监督检查
附则

参考样例
数据安全审计制度

参考文档

数据安全能力建设实施指南 V1.0(征求意见稿)

数据安全能力建设工作并非从零开始，大部分组织在此前或多或少已有一些安全体系，基本上是围绕信息系统和网络环境开展安全保护工作，主要聚焦在信息安全和网络安全；而数据安全是以数据为核心，围绕数据安全生命周期进行建设以提高数据安全保障能力，所以需要与当前安全体系进行融合。在决策层
确定数据安全目标和愿景之后，再由数据安全管理层根据组织的业务发展实际情况讨论具体的融合方式。

GB-T 35274-2017 信息安全技术大数据服务安全能力要求
 信通院数据安全治理实践指南-1.0
广东省公共数据安全管理办法（二次征求意见稿）
DB 52-T 1123-2016 贵州省政府数据数据分类分级指南
 JR-T 0197-2020 金融数据安全数据安全分级指南
 数据安全怎么做：数据分类分级