數(shù)據(jù)安全策略的實(shí)施和管理主要由安全管理員負(fù)責(zé),與數(shù)據(jù)管理專員和技術(shù)團(tuán)隊(duì)協(xié)作。從成熟度來(lái)講,對(duì)應(yīng)的是五個(gè)成熟度。
在《DAMA 數(shù)據(jù)管理知識(shí)體系》有這么一句話“任何事情皆可外包,但責(zé)任除外?!?
數(shù)據(jù)安全策略規(guī)劃在《數(shù)據(jù)安全能力成熟度模型》是第一個(gè)過(guò)程域,其描述是:建立適用于組織數(shù)據(jù)安全風(fēng)險(xiǎn)狀況的組織整體的數(shù)據(jù)安全策略規(guī)劃,數(shù)據(jù)安全策略規(guī)劃的內(nèi)容應(yīng)覆蓋數(shù)據(jù)全生存周期的安全風(fēng)險(xiǎn)。
從安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力,包括組織建設(shè)、制度流程、技術(shù)工具和人員能力。五個(gè)成熟度,自然也遵循這個(gè)安全能力維度,只是不同的成熟度強(qiáng)調(diào)的內(nèi)容不同。我們通過(guò)看標(biāo)準(zhǔn),來(lái)簡(jiǎn)單看看這個(gè)過(guò)程域的五個(gè)級(jí)別。
《DAMA數(shù)據(jù)管理知識(shí)體系》提到:組織在制定數(shù)據(jù)安全制度時(shí)應(yīng)基于自己的業(yè)務(wù)和法規(guī)要求。制度是所選行動(dòng)過(guò)程的陳述以及為達(dá)成目標(biāo)所期望行為的頂層描述。數(shù)據(jù)安全策略描述了所決定的行為,這些行為符合保護(hù)其數(shù)據(jù)的組織的最佳利益。要使這些制度產(chǎn)生可衡量的影響,它們必須是可審計(jì)且經(jīng)審計(jì)過(guò)的。
數(shù)據(jù)安全策略的實(shí)施和管理主要由安全管理員負(fù)責(zé),與數(shù)據(jù)管理專員和技術(shù)團(tuán)隊(duì)協(xié)作。例如,數(shù)據(jù)庫(kù)安全性通常是DBA的職責(zé)。
從成熟度來(lái)講,對(duì)應(yīng)的是五個(gè)成熟度。
等級(jí)1:非正式執(zhí)行
該等級(jí)的數(shù)據(jù)安全能力描述如下:
組織建設(shè):未在任何業(yè)務(wù)中建立成熟穩(wěn)定的數(shù)據(jù)安全制度規(guī)程,僅根據(jù)臨時(shí)需求或基于個(gè)人經(jīng)驗(yàn),考慮了數(shù)據(jù)安全策略和規(guī)劃。
等級(jí)2:計(jì)劃跟蹤
該等級(jí)的數(shù)據(jù)安全能力要求描述如下:
-
組織建設(shè):應(yīng)由業(yè)務(wù)團(tuán)隊(duì)具有人員負(fù)責(zé)制定業(yè)務(wù)的數(shù)據(jù)安全策略。
-
制度流程:核心業(yè)務(wù)應(yīng)基于主要的數(shù)據(jù)安全風(fēng)險(xiǎn),建立以數(shù)據(jù)安全生存周期為核心思想的數(shù)據(jù)安全制度體系。
-
人員能力:核心業(yè)務(wù)應(yīng)負(fù)責(zé)該項(xiàng)工作的人員具備對(duì)組織執(zhí)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,以及將數(shù)據(jù)安全要求提煉形成制度的能力。
等級(jí)3:充分定義
該等級(jí)的數(shù)據(jù)安全能力要求描述如下:
(1) 組織建設(shè):組織應(yīng)設(shè)立專職的崗位和人員,負(fù)責(zé)組織數(shù)據(jù)安全制度流程和戰(zhàn)略規(guī)劃的建設(shè)。
(2) 制度流程:
-
應(yīng)明確符合組織數(shù)據(jù)戰(zhàn)略規(guī)劃的數(shù)據(jù)安全總體策略,明確安全方針、安全目標(biāo)和安全原則;
-
應(yīng)基于組織的數(shù)據(jù)安全總體策略,在組織層面明確以數(shù)據(jù)為核心的數(shù)據(jù)安全制度和規(guī)程,覆蓋數(shù)據(jù)生存周期相關(guān)的業(yè)務(wù)、系統(tǒng)和應(yīng)用,內(nèi)容包含目的、范圍、崗位、責(zé)任、管理層承諾、內(nèi)外部協(xié)調(diào)機(jī)制及合規(guī)目標(biāo)等;
-
應(yīng)明確并實(shí)施大數(shù)據(jù)系統(tǒng)和數(shù)據(jù)應(yīng)用安全實(shí)施細(xì)則;
-
應(yīng)明確數(shù)據(jù)安全制度規(guī)程分發(fā)機(jī)制,將數(shù)據(jù)安全策略、制度和規(guī)程分發(fā)至組織相關(guān)部門、崗位和人員;
-
應(yīng)明確數(shù)據(jù)安全制度及規(guī)程的評(píng)審、發(fā)布流程,并確定適當(dāng)?shù)念l率和時(shí)機(jī)對(duì)制度和規(guī)程進(jìn)行審核和更新;
-
應(yīng)明確組織層面的數(shù)據(jù)安全戰(zhàn)略規(guī)劃,包括各階段目標(biāo)、任務(wù)、工作重點(diǎn),并保障其與業(yè)務(wù)規(guī)劃相適應(yīng)。
(3) 技術(shù)工具:應(yīng)建立數(shù)據(jù)安全策略規(guī)劃的系統(tǒng),通過(guò)該系統(tǒng)向組織全體員工發(fā)布策略規(guī)劃的解讀材料,以便于策略規(guī)劃的落地推進(jìn)。
(4) 人員能力:
-
負(fù)責(zé)制定數(shù)據(jù)安全總體策略和戰(zhàn)略規(guī)劃的人員應(yīng)了解組織的業(yè)務(wù)發(fā)展目標(biāo),能夠?qū)?shù)據(jù)安全工作的目標(biāo)和業(yè)務(wù)發(fā)展的目標(biāo)進(jìn)行有機(jī)結(jié)合;
-
負(fù)責(zé)制定數(shù)據(jù)安全制度和規(guī)程的人員應(yīng)具備信息安全管理體系建設(shè)的知識(shí),并具備良好的規(guī)范撰寫能力;
-
負(fù)責(zé)推廣數(shù)據(jù)安全策略規(guī)劃的人員應(yīng)能夠以員工和相關(guān)方易理解的方式,通過(guò)培訓(xùn)等宣導(dǎo)形式對(duì)數(shù)據(jù)安全管理的方針、策略和制度進(jìn)行有效傳達(dá)。
等級(jí)4:量化控制
該等級(jí)的數(shù)據(jù)安全能力要求描述如下:
(1) 制度流程:
-
在組織架構(gòu)發(fā)生重大調(diào)整或數(shù)據(jù)服務(wù)業(yè)務(wù)發(fā)生重大變化時(shí),應(yīng)及時(shí)評(píng)估數(shù)據(jù)安全制度與規(guī)程的實(shí)施效果,并將效果反映到安全制度和規(guī)程文件的修訂過(guò)程中;
-
應(yīng)對(duì)數(shù)據(jù)安全制度和規(guī)程進(jìn)行體系化的評(píng)估,制定數(shù)據(jù)安全能力提升計(jì)劃;
-
應(yīng)對(duì)數(shù)據(jù)安全戰(zhàn)略規(guī)劃進(jìn)行評(píng)估,確保數(shù)據(jù)安全總體策略、安全目標(biāo)和戰(zhàn)略規(guī)劃內(nèi)容的合規(guī)性。
(2) 人員能力:負(fù)責(zé)該工作的人員能夠應(yīng)及時(shí)評(píng)估策略規(guī)劃的實(shí)施效果,并根據(jù)實(shí)施效果修訂數(shù)據(jù)安全策略規(guī)劃文件。
等級(jí)5:持續(xù)優(yōu)化
該等級(jí)的數(shù)據(jù)安全能力要求描述如下:
(1) 制度流程:應(yīng)持續(xù)跟進(jìn)國(guó)內(nèi)外在數(shù)據(jù)安全領(lǐng)域的管理標(biāo)準(zhǔn)和技術(shù)發(fā)展,并關(guān)注組織所在行業(yè)的發(fā)展動(dòng)態(tài)及組織自身的業(yè)務(wù)發(fā)展方向,及時(shí)對(duì)數(shù)據(jù)安全策略規(guī)劃進(jìn)行調(diào)整和改進(jìn)。
(2) 技術(shù)工具:
-
應(yīng)建立數(shù)據(jù)安全規(guī)劃動(dòng)態(tài)調(diào)整機(jī)制,通過(guò)信息化系統(tǒng)執(zhí)行對(duì)數(shù)據(jù)安全規(guī)劃的動(dòng)態(tài)管理;
-
應(yīng)參與國(guó)際、國(guó)家或行業(yè)相關(guān)標(biāo)準(zhǔn)制定。在業(yè)界分享最佳實(shí)踐,成為行業(yè)標(biāo)桿。
(3) 人員能力:負(fù)責(zé)該工作的人員應(yīng)能夠持續(xù)跟蹤國(guó)內(nèi)外數(shù)據(jù)安全政策、標(biāo)準(zhǔn)、產(chǎn)業(yè)趨勢(shì)、新技術(shù),并能夠?qū)M織的數(shù)據(jù)安全策略規(guī)劃實(shí)現(xiàn)持續(xù)優(yōu)化。
數(shù)據(jù)安全包括安全策略和過(guò)程的規(guī)劃、建立與執(zhí)行,為數(shù)據(jù)和信息資產(chǎn)提供正確的身份驗(yàn)證、授權(quán)、訪問(wèn)和審計(jì)。在制定數(shù)據(jù)安全策略中,DAMA國(guó)際則讓我們考慮利益相關(guān)方、政府法規(guī)、特定業(yè)務(wù)關(guān)注點(diǎn)、合法訪問(wèn)需求、合同義務(wù)等幾個(gè)方面。