数据安全咨询与规划服务.pdf

该【数据安全咨询与规划服务 】是由【青山代下】上传分享，文档一共【5】页，该文档可以免费在线阅读，需要了解更多关于【数据安全咨询与规划服务 】的内容，可以使用淘豆网的站内搜索功能，选择自己适合的文档，以下文字是截取该文章内的部分文字，如需要获得完整电子版，请下载此文档到您的设备，方便您编辑和打印。数据安全咨询与规划服务数据安全管理体系建设主要包括安全组织建设和制度规范建设。1数据安全组织建设设计数据安全的组织架构时,按照决策层、管理层、执行层、供应商/服务商、监督层的组织架构设计。在具体执行过程中,组织也可赋予已有安全团队与其它相关部门数据安全的工作职能,或寻求第三方专业团队等形式开展工作。本项目主要集中在执行层的数据安全组织建设。,拟由领导担任,能参与到组织的业务发展决策,因为业务的发展和数据安全是密不可分。其主要工作职责包括:①决策层制定组织的数据安全目标和愿景;②对数据安全策略、规划及发布。③建设方负责制度与规范的咨询、编写等工作;④决策层为组织的数据安全建设的供必要的资源;⑤决策层对本单位的重大数据安全事件进行协调和决策;⑥决策层通过项目过程中咨询服务细化、落地。,数据安全体系项目管理层是数据安全组织机构的第二层,基于组织决策层给出的策略,对数据安全实际工作制定详细方案,做好业务发展与数据安全之间的平衡。在组织中承上启下,做好数据安全全面落地工作,是组织内开展数据安全工作最核心的部门或岗位,部分工作可能需要组织外部专业资源共同来履行。其主要工作职责包括:1)结合合规要求和业务发展需求,制订数据安全整体解决方案并组织实施。职责配合数据完成相关方案的编写并完成实施;2)制定数据安全管理策略和规划,统一数据安全管理规范体系等。负责通过咨询等方式落地策略、规划及规范;3)对组织内人员能力开展数据安全技术培训和意识宣导,逐步升数据安全工作人员的能力水平和组织内人员安全意识;负责培训;4)制定数据安全决策层、管理层、执行层、监督层等的运作机制,保障数据安全工作在内部保持信息通畅、运作顺利;负责通过咨询方式落地相关运作机制;5)保持外部组织的沟通,包括及行业监管、第三方咨询服务商(安全咨询、安全厂商)以认证、测评机构(认证及认可、安全测评机构)等。负责配合相关工作;管理层通过项目过程中咨询服务细化、落地。,数据安全体系项目数据安全监督层负责定期监督审核管理小组、执行小组,员工和合作伙伴对数据安全政策和管理要求的执行情况,并且向决策层进行汇报,监督层人员必须具备独立性,不能与其它管理小组、执行小组等人员共同兼任,建议由组织内部的审计部门担任。其主要职责包括:1)对数据安全制度落地执行情况监督;2)对数据安全工具执行有效性监督;3)对数据安全风险开展监控与审计。监督层通过项目过程中咨询服务细化、落地。,其职责主要聚焦每一个数据安全场景,对设定的流程进行逐个实现。执行层主要包括数据安全专职人员和各业务部门的数据安全接口人员、风险管理人员、数据owner等,其主要工作职责主要为执行层通过项目过程中咨询服务细化、落地。,在组织架构的顶层设计层面,业务部、安全管理部、运维等部门需要参与到策略方向及重大事件的决策中;在实际数据安全业务开展层面,从平台底层设计到流程制定实施、安全工具部署、人员安全管控、数据安全合规、对外披露等方面均需要深度介入和协作。同时,需要数据安全管理层制定与各部门之间的数据安全工作机制,目的是为了保障数据安全工作顺利开展,过程中的争议得到解决,如与采购人、法务以及合作伙伴之间的日常工作交流、争议与问题解决等事项。协同部门数据安全职能通过项目过程中咨询服务细化、落地。,保障业务持续发展,但是同时需要兼顾数据安全风险问题。在业务开展过程中,主要会涉及以下几方面的数据安全联动工作,对于较为复杂大型的组织,考虑业务内部有一名数据安全接口人经过培训、赋能等工作开展以下相关工作:1)业务新增:大部分场景主要涉及数据采集合规,需要由数据安全组织及法务合规部门,联合开展新增业务的数据安全风险评估;2)业务运营:可能涉及数据批量查询、下载、分析和处理,过程中做好岗位权限管理,保障数据最小化使用的原则;3)业务外部合作:当与外部产生合作,可能涉及数据共享、交换等场景,需要数据安全组织或数据安全接口人开展数据共享、数据披露的风险评估,避免敏感数据外泄等风险;同时接收外部合作的数据时,与合规部门联合做好数据来源合法的控制等措施;4)数据安全事件:当业务部门内部发生数据安全事件时,业务负责人需要联合数据安全组织及时调查和处理,降低事件影响面及影响程度。并举一反三,改进业务流程机制,降低数据安全风险;业务部门数据安全职能通过项目过程中咨询服务细化、落地。2制度流程规范建设在进行数据安全管理制度和规范的设计时,范围应覆盖数据的全生命周期,参考区域内业务数据安全保障的地方性法规、顶层设计以及标准规范等,从而建立单位内部制度规范去约束和规范相关人员开展日常工作,并赋予管理人员监督管理职责。,并形成体系框架。制度体系需要分层,层与层之间,同一层不同模块之间需要有关联逻辑,在内容上不能重复或矛盾。一般按照分为四级:一级文件:包含方针、策略、基本原则和总的管理要求;二级文件:包含安全管理制度和办法;三级文件:包含操作流程、规范、作业指导书或指南及配套模板文件等;四级文件:包含表格、报告、各种运行/检查记录、日志文件等。、策略、基本原则和总的管理要求等,主要内容包括但不限于:1)数据安全管理的目标、愿景、方针等;2)数据及数据资产定义:比如定义组织内数据包含哪些内容和类别,信息系统载体等;3)数据安全管理基本原则:比如数据分类分级原则、数据安全和业务发展匹配原则、数据安全管理方针和政策等;4)数据生命周期阶段划分和整体策略,比如:数据产生、数据存储、数据传输、数据交换、数据使用、数据销毁等。5)数据安全违规处理:比如违规事件及其等级定义,相应处罚规定等;,是指数据安全通用和各生命周期阶段中某个安全域或多个安全域的规章制度要求,比如:通用安全域:数据资产管理、数据质量管理、数据安全合规管理、系统资产管理等。数据生命周期各阶段:数据采集安全管理、数据存安全管理、数据传输安全管理、数据交换安全管理、数据使用安全管理、数据销毁安全管理,以及某个安全域的安全管理要求等。、规范,及相应的作业指导书或指南,配套模板文件等。在保证生命周期和安全域覆盖完整的前下,可以根据实际情况整合流程和规范的文档数量,不一定每个安全域或者每个生命周期阶段都单独建立流程和规范。数据安全操作指导书或指南,是对数据安全管理流程和规范的解释和补充,以及案例说明等文档,以方便执行者深入理解和执行;并非强制执行的制度规范仅供参考。数据安全模板文件是与管理流程、规范和指南相配套的固定格式文档,以确保执行一致性,以及数据或信息的汇总统计等。、表格、报告、各种运行/记录、日志文件等,如果实现自动化,大部分可通过技术工具收集到,形成相应的量化分析结果,也是数据的一部分。