DSMM-005 数据安全需求分析管理规范V1.0

第一章 总则

第一条 为明确数据安全需求分析的流程和评审机制，提高安全需求编制及系统建设的质量与效率，制定本规范。

第二条 本规范适用于指导北京思度咨询科技有限公司在进行数据安全需求分析时针对合规性要求、业务安全需求及安全风险等方面内容的编写及评审工作。

第二章 职责权限

第三条 数据安全管理岗主要履行的职责包括但不限于：

（一）负责组织制定北京思度咨询科技有限公司数据安全需求分析的相关制度、规范以及流程；

（二）负责组织制定需求评审流程及需求类型分类；

（三）负责组织业务部门或专家进行数据安全需求评审；

第四条 数据安全管理小组，负责监督数据安全相关工作的执行情况，主要履行的职责包括但不限于：

（一）负责监督数据安全需求分析的执行情况，及时发现存在的问题，并上报数据安全领导小组；

（二）组织开展安全检查工作，确保需求评审符合流程规定。

第五条 数据安全需求分析岗主要履行的职责包括但不限于：

（一）参与数据安全需求分析管理规范的制定；

（二）负责对接数据安全专项项目管理和实施；

（三）参与应用开发需求分析，提供数据方面的安全意见；

（四）负责记录、汇总、筛选、初步分析人员或用户提出的数据安全需求分析是否合理；

（五）根据国家法律、法规、标准与主管机构的政策规范要求，结合组织战略规划、大数据服务业务目标和业务特点，根据大数据服务面临的威胁和自身脆弱性安全现状，进行数据安全需求分析并且明确安全规划实施的优先级。

第三章 需求分析内容

第六条 应从数据安全合规性需求、业务数据安全需求及现阶段面临的主要数据安全风险和应对措施等方面开展数据安全需求分析。

（一）数据安全合规性需求：根据国家下发的最新的数据安全法律、法规、标准及地方政策要求，识别和挖掘最新的数据安全合规性需求；

（二）业务数据安全需求：根据现有的业务数据特点，如数据采集、传输、存储、共享、销毁等流程，分析业务数据在全生命周期过程中存在的业务数据安全需求；

（三）安全风险需求：根据数据安全建设现状，从物理环境安全、网络安全、应用安全及数据安全等方面，识别数据服务平台、应用及存储系统中存在的威胁和安全隐患，分析目前存在的安全风险及需要开展的应对措施。

第七条 需求分析文档的内容主要包括现状描述（网络现状、业务现状、安全现状）、需求分析（政策性要求合规分析、业务目标分析、业务分析、系统分析、安全差距分析）、安全建设实施方案等。

第八条 需求的来源包括主动和被动的安全需求。

（一）主动分析需求：数据安全需求分析岗根据业务发展目标、国家下发的安全规范及现有的安全隐患定期进行安全需求分析；

（二）被动接收需求：各业务相关方定期评估涉及自身业务的数据安全策略和系统运维策略，当发现存在的数据安全威胁、隐患时，向数据安全需求分析岗提出安全需求。

第四章 需求分析流程

第九条 数据安全需求分析岗组织需求相关方进行业务现状、安全现状调研。

第十条 数据安全需求分析岗组织需求相关方编写安全需求分析报告，并组织进行内部评审，形成安全需求分析报告内部终稿。

第十一条 由数据安全需求分析岗上报数据安全管理员，组织召开专家评审会，专家依据《数据安全需求分析报告》进行评审，评审内容包括需求合理性、可行性、可落地性，对于合理的需求进行采纳，不合理的需求给出反馈意见，并保留需求评审相关记录。

第十二条 专家评审通过后，数据安全需求分析岗需组织相关人员根据需求分析报告编写可行性方案及建设方案等内容。

需求分析流程如图1所示：

图1 需求分析流程

第五章 需求评审机制

第十三条 数据安全管理岗组织需求相关方以及安全专家进行数据分析报告的评审。

第十四条 利用相互评审、轮流评审等方式，从难度和实现效果出发，讨论需求实现的可能性、风险性，从而给出相关意见，形成数据安全需求评审表。

第十五条 如果评审结束时专家依然没有结论，则对评审进展进行记录，会后再组织协调二次评审，每次评审需保留评审相关记录，便于后续审计。

第十六条 对于需求评审中有争议点或待确认问题，由数据安全管理员与数据安全需求分析岗会后共同与相关人员进行确认，直到获得最终结论。

第六章 附则

第十七条 本规范由数据安全领导小组办公室负责制定、解释和修改。

第十八条 对违反本规定的人员，将按照北京思度咨询科技有限公司有关规定进行处罚。

第十九条 本规范自发布之日起执行。