制度概述
数据安全制度体系
一级文件
编写者一般是数据安全的决策层
主要包括面向组织层面数据安全管理的顶层方针、策略、基本原则和总的管理要求等,内容包括但不限于:
- 数据安全管理的目标、愿景、方针等
- 数据及数据资产定义: 比如定义组织内数据包含哪些内容和类别,信息系统载体等
- 数据安全管理基本原则: 比如数据分类分级原则、数据安全和业务发展匹配原则、数据安全管理方针和政策等
- 数据生命周期阶段划分和整体策略,比如数据产生、数据存储、数据传输、数据交换、数据使用、数据销毁等
- 数据安全违规处理: 比如违规事件及其等级定义,相应处罚规定等
二级文件
编写者一般是数据安全的管理层
依据一级文件,编写的数据安全管理制度和办法,是指数据安全通用要求和各生命周期阶段中某个安全域或多个安全域的规章制度要求,比如:
- 通用安全域: 数据资产管理、数据质量管理、数据安全合规管理、系统资产管理等等
- 数据生命周期各阶段: 数据采集安全管理、数据存储安全管理、数据传输安全管理、数据交换安全管理、数据使用安全管理、数据销毁安全管理,以及某个安全域的安全管理要求等等
三级文件
编写者一般是数据安全的管理层 部分执行层
依据二级文件,编写的数据安全各生命周期及具体某个安全域的操作流程、规范,及相应的作业指导书或指南,配套模板文件等
在保证生命周期和安全域覆盖完整的前提下,可以根据实际情况整合流程和规范的文档数量,不一定每个安全域或者每个生命周期阶段都单独建立流程和规范。
数据安全操作指导书或指南,是对数据安全管理流程和规范的解释和补充,以及案例说明等的文档,以方便执行者深入理解和执行;并非强制执行的制度规范,仅供参考。
数据安全模板文件是与管理流程、规范和指南相配套的固定格式文档,以确保执行一致性,以及数据或信息的汇总统计等。比如权限申请和审批表模板,日志存储格式模板等等,有条件的情况下,一般都通过技术工具实现。
四级文件
指执行数据安全制度产生的相应计划、表格、报告、各种运行/检查记录、日志文件等,如果实现自动化,大部分可通过技术工具收集到,形成相应的量化分析结果,也是数据的一部分。
数据安全制度架构
对应到数据安全制度建设,4级文件都应该包括哪些?
数据安全制度介绍
(一级文件)数据安全管理总则
主要内容
- 数据安全管理的目标、愿景、方针等;
- 数据及数据资产定义:比如定义组织内数据包含哪些内容和类别,信息系统载体等;
- 数据安全管理基本原则:比如数据分类分级原则、数据安全和业务发展匹配原则、数据安全管理方针和政策等;
- 数据生命周期阶段划分和整体策略,比如:数据产生、数据存储、数据传输、数据交换、数据使用、数据销毁等。
- 数据安全违规处理:比如违规事件及其等级定义,相应处罚规定等
- 方针政策:是对组织级数据安全管理的基本原则和办法,可以结合数据安全总纲从目标原则、监管合规、数据生命周期、数据资产和分类分级定义,及相关违规处罚等方面进行描述
目录
- 数据安全管理总则
目标和依据、范围、术语、(原则) - 数据安全组织和职责
公司中负责数据安全相关的部门和每个部门具体的工作职责 - 数据安全资产管理
数据安全资产的定义管理方法等 - 数据分类分级管理规范
数据的具体类别和每类下的具体级别 - 数据生命周期安全管理
数据整个生命周期过程中的安全管理要求 - 数据安全奖惩管理规范
对于违规和举报人员的的奖惩规定 - 附则
制度样例
数据安全管理总纲
(二级文件)数据资产管理制度
数据资产管理制度是所有数据相关制度的基础,其他制度都以这个制度为前提。
数据资产(定义)是组织拥有和控制的、能够给企业管理、应用服务和商业拓展带来价值的数据信息。
数据资产管理制度(目标)只有洞悉数据资产重要程度与分布、使用对象与场景、授权与责任等,才能有效的实施数据资产风险管理和
安全防护。
数据资产管理(主要工作):一般而言,数据资产安全管理工作包含资产识别、资产重要度定级、资产变更管理与监测、
资产风险管理等
目录
- 数据资产管理总则
目标和依据、范围、术语、(原则) - 数据资产组织和职责
组织:各团队应配置具体人员负责本团队范围内的数据资产管理工作,职责:对数据进行全生命周期管理,了解数据的分布、管控措施等 - 数据资产管理规范
全生命周期管理: 登记、更新、维护
数据资产目录: 提供检索、数据表责任到人
变更管理审批: 监控数据资产的上线、变更、转移、销毁及管控措施
主数据管理
元数据管理
数据模型管理
资产流通管理
数据开发管理 - 数据资产奖惩管理规范
对于不管理数据资产导致泄露进行处罚 - 附则
制度样例
数据资产管理制度
(二级文件)数据分类分级管理办法
分类分级目的是为了对数据采取更合理安全管理和保护,需要对分类分级的数据进一步 制订具体的保护细则,包括对不同级别的数据进行标记区分、明确不同数据的访问人员和访 问方式、采取的安全保护措施(如加密、脱敏等);
目录
- 数据分类分级总则
目标和依据、范围、术语、(原则) - 数据分类分级组织和职责
- 数据分类分级方法
用户数据(个人信息 手机号、身份证号、信用卡号)、业务数据(订单)、企业数据(财报、人员) 实用角度 三级:秘密->相关人公开,内部公开,对外公开 - 数据定级流程
- 分类分级规范
- 数据分类分级清单
什么数据属于什么类别和等级 - 每级数据安全保护措施
每级数据 传输、存储、使用上的保护措施 - 监督检查
参考样例
数据分类分级管理办法
(二级文件)数据生命周期安全管理办法
目录
- 数据采集安全要求
- 数据传输安全要求
- 数据存储安全要求
- 数据使用安全要求
- 数据开放共享安全要求
- 数据销毁安全要求
参考样例
数据生命周期安全管理办法
(二级文件)数据供应链管理办法
数据供应链是数据生产及流通过程中,涉及将数据产品或服务提供给最终用户所形成的网链结构。 数据供应链安全管理的核心是厘清各方权力责任边界,对各方数据交互行为进行合规管理,防范组织上 下游的数据供应过程中的安全风险。
- 合作伙伴台账
- 合作伙伴职责和义务
- 详细要求
建立数据供应链安全管理规范和安全方针,明确数据供应链安全目标、原则和范围。 确保数据供应链上下游对数据交换、使用和利用符合法律法规,并有技术保障措施。 明确数据供应链上下游责任和义务,确保数据供应链相关数据服务真实可用。 通过合作协议方式明确大数据服务数据供应链中数据的使用目的、供应方式、保密约定等。 建立数据供应链目录和相关数据源数据字典,明确数据供应链的责任部门和人员。 对数据供应链上下游的大数据服务提供者和大数据使用者的行为进行合规性审核和分析。
目录
- 数据供应链总则
目标、适用范围、基本原则、术语 - 组织与职责
- 供应商管理
- 监督检查
- 附则
参考样例
数据供应链管理制度
(二级文件)数据出境安全管理办法
主要参考数据出境安全评估申报指南,重点关注数据出境的审批流程
目录
- 数据出境总则
目标、适用范围、基本原则、术语 - 组织与职责
- 数据出境申报流程
- 监督检查
- 附则
参考样例
数据出境管理制度
(二级文件)数据安全事件管理办法
目录
- 数据安全事件总则
- 数据安全事件组织与职责
- 数据安全事件的分类规定
- 数据安全事件的分级规定
- 数据安全事件管理规定
- 数据安全事件应急预案
- 监督检查
- 附则
- 附件
参考样例
数据安全事件管理制度
(二级文件)数据安全评估管理办法
目录
- 数据安全评估总则
- 数据安全评估组织与职责
- 数据安全评估规范
- 数据安全评估流程
- 监督检查
- 附则
参考样例
数据安全评估管理制度
(二级文件)数据安全审计管理办法
目录
- 数据安全审计目标
- 数据安全审计组织与职责
- 数据安全审计规范
- 监督检查
- 附则
参考样例
数据安全审计制度
参考文档
数据安全能力建设工作并非从零开始,大部分组织在此前或多或少已有一些安全体系,基本上是围绕信息系统和网络环境开展安全保护工作,主要聚焦在信息安全和网络安全;而数据安全是以数据为核心,围绕数据安全生命周期进行建设以提高数据安全保障能力,所以需要与当前安全体系进行融合。在决策层
确定数据安全目标和愿景之后,再由数据安全管理层根据组织的业务发展实际情况讨论具体的融合方式。
GB-T 35274-2017 信息安全技术 大数据服务安全能力要求
信通院 数据安全治理实践指南-1.0
广东省公共数据安全管理办法(二次征求意见稿)
DB 52-T 1123-2016 贵州省 政府数据 数据分类分级指南
JR-T 0197-2020 金融数据安全 数据安全分级指南
数据安全怎么做:数据分类分级