DSMM-002 岗位职责说明书V1.0
第一章 总则
第一条 为保证数据安全方针的有效贯彻,保证数据安全管理活动的有序进行,特制定本规范。
第二条 本规定适用于数据安全管理体系涉及的所有部门和人员。
第二章 数据安全组织
图略
第三章 各组织职责描述
第三条 数据安全领导小组作为数据安全管理决策层,由区信息办主任担任组长,公司负责人担任副组长,负责参与到组织的业务发展与决策以及重大事项的研究与审议工作,职责如下:
(一)制定组织的数据安全总体方针、目标和愿景;
(二)对数据安全策略和规划、制度与规范等进行签批发布;
(三)为组织的数据安全建设提供必要的资源;
(四)对组织的重大数据安全事件进行协调和决策;
(五)牵头成立数据安全领导小组办公室,负责管理数据安全工作。
第四条 数据安全管理小组作为数据安全工作的监督层,独立于其他管理执行组,组长为区信息办数据安全负责人,副组长为公司数据安全负责人,各数据提供方和数据使用方的数据安全负责人为本小组成员。主要负责定期监督审核数据安全政策和管理要求的执行情况,并向决策层汇报,主要职责如下:
(一)建立数据安全工作监督机制,保证安全监督工作有效开展;
(二)对数据安全策略落地情况监督;
(三)对数据安全工具执行有效性进行监督;
(四)对数据安全风险监控与审计进行监督。
第五条 数据安全领导小组办公室是由技术中心、数据与网络安全部、保障服务中心主要负责人组成的作为数据安全管理与执行的组织,其职责是基于数据安全领导小组给出的决策及方针,对数据安全实际工作制定详细方案,执行数据安全领导小组下达的各项任务,保证业务发展与数据安全之间的平衡。并向数据安全领导小组汇报数据安全执行情况。其主要工作职责包括:
(一)结合组织业务发展目标和内外部的合规要求,将数据安全工作的目标与业务发展目标进行有机结合,并进行数据安全总体策略和战略规划的制定;
(二)依据组织数据安全战略规划目标,制定数据安全规划各阶段目标、任务和工作重点,并对战略规划目标和安全规划实施过程进行监督与控制;
(三)制定数据安全决策层、管理层、执行层、监督层的运作机制并提交领导小组批准执行,保证数据安全工作在内部保持信息通畅、运作顺利;
(四)履行组织对数据安全的要求,部署数据安全管理工具并且按照管理策略,保证数据安全工具的正常运行。
第四章 岗位职责描述
第六条 数据安全管理岗
(一)负责统筹管理数据安全工作;
(二)负责数据安全相关制度规范的制定、修订和发布和版本管理;
(三)组织数据安全相关制度规范的宣贯;
(四)协助建立整体的技术防护能力和安全保障能力,督促技术人员关于数据安全技术的应用、数据安全产品的开发和部署工作;
(五)保持同外部组织的沟通,包括国家及行业监管、第三方咨询服务商(安全咨询、安全厂商)及认证、测评机构(认证及认可、安全测评机构)等。
第七条 数据安全审计岗
(一)负责统筹数据安全审计工作;
(二)负责数据安全审计及风险管理相关制度规范的制定、修订和发布和版本管理;
(三)负责实时监控和分析审计日志、告警日志及运维日志、终端敏感数据扫描日志等信息;
(四)负责对生命周期各阶段的数据访问和操作开展安全风险评估;
(五)负责对识别的风险开展应急处置工作;
(六)负责组织定期对员工数据操作的行为进行人工审计。
第八条 数据资产管理岗
(一)协助制定数据资产的安全管理制度,明确资产安全管理目标和安全原则、资产的全生命周期管理要求、资产登记要求和分类标记要求;
(二)定期协助审核和更新数据资产安全管理相关的安全规范和操作细则;
(三)建立公司的数据资产登记机制,形成数据资产清单(数据资源目录),以此明确数据资产管理范围和属性、明确资产安全责任主体及相关方;
(四)及时更新数据资产相关信息,组织数据资产级别变更的评估。
第九条 数据质量管理岗
(一)基于目前已发布的数据质量国家/行业标准,建立数据管理规范,定期结合最新发布的标准规范对数据质量管理规范进行补充和修改;
(二)推动数据质量管理规范的有效落地;
(三)对数据质量进行管理,从完整性、唯一性、规范性、准确性、关联性以及一致性等方面对数据质量进行判断,可将数据划分为正确数据、可修正数据以及问题数据;
(四)对数据进行核验并形成数据质量报告,对问题数据以及可修正数据进行数据的清洗工作;
(五)设置数据质量异常上报流程和操作规范,并对每个已报告异常的解决状态保持跟踪。
第十条 数据分析安全岗
(一)参与制定数据分析安全管理规范;
(二)对数据挖掘分析任务进行评估,依据任务类型选择合适的数据分析方法、确定所需具体数据,开展数据挖掘分析工作;
(三)参与制定数据共享相关的管理规范、设立共享工作流程;
(四)负责共享相关原则和技术能力的提供;
(五)参与对外部软件开发包/组件/源码进行安全评估;
(六)对组织的数据共享业务执行安全风险评估,并为已识别的风险提供解决方案。
第十一条 数据接口安全岗
(一)协助制定和验证应用系统的数据接口安全标准;
(二)定期审计数据接口的安全能力。
第十二条 数据脱敏安全岗
(一)参与制定数据加密相关的管理规定、流程;
(二)负责对传输和存储的数据进行加密、管理数据密钥(如有);
(三)参与制定数据脱敏的原则和方法,设计脱敏工作流程;
(四)对部分共享数据借助数据脱敏工具或其他方式进行脱敏,结合数据本身的特性选择合适的数据脱敏方法,确保脱敏后数据不存在泄密的可能性。
第十三条 数据分类分级管理岗
(一)协助制定数据分类分级的标准、指南、数据分类分级变更审批流程和机制,定义组织整体的数据分类分级的安全原则;
(二)指导业务数据分类分级的执行。
第十四条 数据采集安全岗
(一)参与制定数据采集相关的安全管理制度;
(二)推动数据采集相关要求、流程的落地;
(三)对具体业务或项目的数据采集风险评估提供咨询和支持。
第十五条 数据供应链安全岗
(一)参与制定整体的数据供应链管理要求;
(二)推动公司通过合作协议方式明确数据供应链中数据的使用目的、供应方式、保密约定、安全责任义务等;
(三)建立供应链安全审查规程,定期开展数据供应链安全的核查。
第十六条 数据安全需求分析岗
(一)参与数据安全需求分析管理规范的制定;
(二)负责对接数据安全专项项目需求管理和实施;
(三)参与应用开发需求分析,提供数据方面的安全意见;
(四)根据国家法律、法规、标准与主管机构的政策规范要求,结合组织战略规划、大数据服务业务目标和业务特点,根据大数据服务面临的威胁和自身脆弱性安全现状,进行数据安全需求分析并且明确安全规划实施的优先级;
(五)组织业务部门或专家进行数据安全需求评审。
第十七条 数据安全合规岗
(一)负责组织整体数据安全合规管理;
(二)建立和发布公司的数据安全合规清单,并根据内外部合规要求的动态调整和变更;
(三)协助数据安全管理员组织数据安全相关规范制度和详细标准的制定,为公司数据安全相关工作的开展提供依据和要求;
(四)负责对数据的使用进行管理、正当性评估及风险控制。
第十八条 数据安全培训岗
(一)负责制定数据安全内外部培训计划,包含公司建立的数据安全管理体现的宣贯与培训,其他政策、法律、法规、标准等的培训;
(二)收集员工的培训需求,并合理申请及安排;
(三)对组织内人员能力开展数据安全技术培训和意识宣导,逐步提升数据安全工作人员的能力水平和组织内人员安全意识;
(四)通过多种形式向全体人员普及数据安全相关知识,通过多种形式推广数据安全的风险防范思路和方法,提高组织内全体人员的数据安全意识,促进数据安全工作的具体落地;
(五)可能的外部培训安排;
(六)对培训结果进行评价、记录和归档。
第十九条 数据安全事件管理岗
(一)参与制定数据安全事件的管理规定;
(二)开展数据安全事件分析、响应、应急处置等工作;
(三)负责对安全事件的跟进和处理等工作;
(四)组织应急演练等工作。
第二十条 数据库运维岗
(一)负责对数据库进行日常运维,包括但不限于数据库补丁安装、数据库账号管理、数据库调优、数据库运行状况监控等;
(二)完成数据库升级、故障恢复等;
(三)提供必要的技术支持;
(四)负责组织数据库的安装和升级以及后期运维工作;
(五)协助制定存储媒体访问和使用相关的安全管理规范,并组织定期对使用的存储媒体进行安全检查;
(六)当数据及存储媒体涉及到销毁时,负责组织业务团队人员进行销毁事项;
(七)负责建立组织内部元数据的语义规则、管理要求和技术工具;
(八)负责为元数据建立访问控制策略和审计机制,对元数据的操作行为进行审计。
第二十一条 权限管控岗
(一)参与制定权限管理相关规定;
(二)按照权限管理要求,完成权限的配置、调整、撤销等;
(三)定期查看分配账号的操作日志,确保其不存在越权操作;
(四)定期核查特权账户的情况。
第二十二条 数据备份与恢复岗
(一)协助制定数据备份和恢复管理规范、制定备份和恢复策略;
(二)负责对数据库日志以及数据进行定期备份和恢复;
(三)对备份数据进行妥善保管(分类、打标签、加密等);
(四)利用备份数据对数据库进行还原以及数据库的迁移。
第二十三条 终端安全管理岗
(一)参与终端安全管理制度的制定;
(二)负责为相关人员安装或指导安装终端防泄露工具、防病毒等软件;
(三)负责终端数据管控、员工终端行为管理、防数据泄露平台管理以及终端数据的日常维护与应急工作;
(四)负责组织定期对员工终端进行安全检查,并对检查结果进行记录、归档。
(五)参与制定网络可用性管理指标及网络服务配置方案、宕机替代方案等;
(六)组织学习网络安全中可用性的安全需求。
第二十四条 数据导入导出安全岗
(一)协助制定数据导入导出的规则、流程及审核机制;
(二)完成数据的导入导出工作,对导入导出日志进行管理。
第二十五条 数据发布安全岗
(一)协助制定数据发布流程,并针对发布流程建立审核机制;
(二)对公开数据进行登记,完成数据发布工作;
(三)负责组织对数据发布的人员进行安全培训;
(四)组织定期审查公开发布数据,确保其中不含有非公开信息。