在《DAMA 数据管理知识体系》有这么一句话“任何事情皆可外包,但责任除外。”
数据安全策略规划在《数据安全能力成熟度模型》是第一个过程域,其描述是:建立适用于组织数据安全风险状况的组织整体的数据安全策略规划,数据安全策略规划的内容应覆盖数据全生存周期的安全风险。
从安全能力维度明确了组织在数据安全领域应具备的能力,包括组织建设、制度流程、技术工具和人员能力。五个成熟度,自然也遵循这个安全能力维度,只是不同的成熟度强调的内容不同。我们通过看标准,来简单看看这个过程域的五个级别。
《DAMA数据管理知识体系》提到:组织在制定数据安全制度时应基于自己的业务和法规要求。制度是所选行动过程的陈述以及为达成目标所期望行为的顶层描述。数据安全策略描述了所决定的行为,这些行为符合保护其数据的组织的最佳利益。要使这些制度产生可衡量的影响,它们必须是可审计且经审计过的。
数据安全策略的实施和管理主要由安全管理员负责,与数据管理专员和技术团队协作。例如,数据库安全性通常是DBA的职责。
从成熟度来讲,对应的是五个成熟度。
等级1:非正式执行
该等级的数据安全能力描述如下:
组织建设:未在任何业务中建立成熟稳定的数据安全制度规程,仅根据临时需求或基于个人经验,考虑了数据安全策略和规划。
等级2:计划跟踪
该等级的数据安全能力要求描述如下:
- 组织建设:应由业务团队具有人员负责制定业务的数据安全策略。
- 制度流程:核心业务应基于主要的数据安全风险,建立以数据安全生存周期为核心思想的数据安全制度体系。
- 人员能力:核心业务应负责该项工作的人员具备对组织执行数据安全风险评估,以及将数据安全要求提炼形成制度的能力。
等级3:充分定义
该等级的数据安全能力要求描述如下:
(1) 组织建设:组织应设立专职的岗位和人员,负责组织数据安全制度流程和战略规划的建设。
(2) 制度流程:
- 应明确符合组织数据战略规划的数据安全总体策略,明确安全方针、安全目标和安全原则;
- 应基于组织的数据安全总体策略,在组织层面明确以数据为核心的数据安全制度和规程,覆盖数据生存周期相关的业务、系统和应用,内容包含目的、范围、岗位、责任、管理层承诺、内外部协调机制及合规目标等;
- 应明确并实施大数据系统和数据应用安全实施细则;
- 应明确数据安全制度规程分发机制,将数据安全策略、制度和规程分发至组织相关部门、岗位和人员;
- 应明确数据安全制度及规程的评审、发布流程,并确定适当的频率和时机对制度和规程进行审核和更新;
- 应明确组织层面的数据安全战略规划,包括各阶段目标、任务、工作重点,并保障其与业务规划相适应。
(3) 技术工具:应建立数据安全策略规划的系统,通过该系统向组织全体员工发布策略规划的解读材料,以便于策略规划的落地推进。
(4) 人员能力:
- 负责制定数据安全总体策略和战略规划的人员应了解组织的业务发展目标,能够将数据安全工作的目标和业务发展的目标进行有机结合;
- 负责制定数据安全制度和规程的人员应具备信息安全管理体系建设的知识,并具备良好的规范撰写能力;
- 负责推广数据安全策略规划的人员应能够以员工和相关方易理解的方式,通过培训等宣导形式对数据安全管理的方针、策略和制度进行有效传达。
等级4:量化控制
该等级的数据安全能力要求描述如下:
(1) 制度流程:
- 在组织架构发生重大调整或数据服务业务发生重大变化时,应及时评估数据安全制度与规程的实施效果,并将效果反映到安全制度和规程文件的修订过程中;
- 应对数据安全制度和规程进行体系化的评估,制定数据安全能力提升计划;
- 应对数据安全战略规划进行评估,确保数据安全总体策略、安全目标和战略规划内容的合规性。
(2) 人员能力:负责该工作的人员能够应及时评估策略规划的实施效果,并根据实施效果修订数据安全策略规划文件。
等级5:持续优化
该等级的数据安全能力要求描述如下:
(1) 制度流程:应持续跟进国内外在数据安全领域的管理标准和技术发展,并关注组织所在行业的发展动态及组织自身的业务发展方向,及时对数据安全策略规划进行调整和改进。
(2) 技术工具:
- 应建立数据安全规划动态调整机制,通过信息化系统执行对数据安全规划的动态管理;
- 应参与国际、国家或行业相关标准制定。在业界分享最佳实践,成为行业标杆。
(3) 人员能力:负责该工作的人员应能够持续跟踪国内外数据安全政策、标准、产业趋势、新技术,并能够对组织的数据安全策略规划实现持续优化。
数据安全包括安全策略和过程的规划、建立与执行,为数据和信息资产提供正确的身份验证、授权、访问和审计。在制定数据安全策略中,DAMA国际则让我们考虑利益相关方、政府法规、特定业务关注点、合法访问需求、合同义务等几个方面。