1 概述

数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控 数据的访问等进行数据安全的管理工作,满足数据安全的业务需要和监管需求,实现组织内部对数据生存周期的数据安全管理。

2 过程描述

过程描述如下:

a) 数据安全等级的划分,根据组织数据安全标准,充分了解组织数据安全管理需求,对组织内部

的数据进行等级划分并形成相关文档;

b) 数据访问权限控制,制定数据安全管理的利益相关者清单,围绕利益相关者需求,对其数据访

问、控制权限进行授权;

c) 用户身份认证和访问行为监控,在数据访问过程中对用户的身份进行认证识别,对其行为进行

记录和监控;

d) 数据安全的保护,提供数据安全保护控制相关的措施,保证数据在应用过程中的隐私性;

e) 数据安全风险管理,对组织已知或潜在的数据安全进行分析,制定防范措施并监督落实。

3 过程目标

过程目标如下:

a) 对组织内部的数据进行分级管理,重点关注数据的管理需求;

b) 对数据在组织内部流通的各个环节进行监控,保证数据安全;

c) 分析潜在的数据安全风险,预防风险的发生。

4不同能力等级数据安全标准如下:

a) 第1级:初始级

1) 在项目中进行了数据访问授权和数据安全监控;

2) 对出现的数据安全问题进行分析和管理。

b) 第2级:受管理级

1) 依据数据安全标准在业务部门内部对数据进行安全等级的划分;

2) 业务部门内部进行了数据利益相关者需求的识别,并进行数据访问授权以及数据安全

保护;

3) 业务部门内部进行了数据访问、使用等方面的监控;

4) 业务部门内部对潜在数据安全风险进行了分析,制定了预防措施。

c) 第3级:稳健级

1) 组织对数据进行了全面的安全等级划分,每级数据的安全需求能清晰定义,安全需求的责

任部门明确;

2) 根据外部监管定义数据范围,能清楚的定义外部监管对数据的安全需求;

3) 围绕数据生存周期,了解组织内利益相关者的数据安全需求,并对数据进行了安全授权和

安全保护;

4) 能对数据生存周期进行安全监控,及时了解可能存在的安全隐患;

5) 对于不同的数据使用对象,通过数据脱敏、加密、过滤等技术保证数据的隐私性;

6) 定期开展数据安全风险分析活动,明确分析要点,制定风险预防方案并监督实施;

7) 定期汇总、分析组织内部的数据安全问题,并形成数据安全知识库;

8) 新的项目建设中能按照数据安全要求进行数据安全等级划分、数据安全控制等;

9) 定期开展数据安全相关培训和宣贯,提升组织人员数据安全意识。

d) 第4级:量化管理级

1) 定义了数据安全管理的考核指标和考核办法,并定期进行相关的考核;

2) 定期总结数据安全管理工作,在组织层面发布数据安全管理工作报告;

3) 重点数据的安全控制可落实到字段级,明确核心字段的安全等级和管控措施。

e) 第5级:优化级

1) 能主动预防数据安全风险,并对已发生的数据安全问题进行溯源和分析;

2) 在业界分享最佳实践,成为行业标杆。