数据安全制度流程
制度体系架构设计
制度流程需要从组织层面整体考虑和设计,并形成体系框架。制度体系需要分层,层与层之间, 同一层不同模块之间需要有关联逻辑,在内容上不能重复或矛盾。一般按照分为四级:
图 3 数据安全制度体系层级
可以形成一份单独的文档,以图或表形式描述数据安全制度体系结构,对每一份制度文件给予编 号和层级标识,具体编号和层级定义方式根据实际情况自定义,以便于索引和维护。
常见格式如下:
表 2:数据安全制度体系列表示意
| 编号 | 名称 | 层级 | 相关文件 | 版本 | 最新修订日期 | |
|---|---|---|---|---|---|---|
| DS-01-001 | 数据安全总纲 | 1 | ||||
| DS-02-001 | 数据资产管理 | 2 | ||||
| DS-02-002 | 系统资产管理 | 2 | ||||
| DS-02-003 | 数据质量管理 | 2 | ||||
| DS-02-004 | 数据安全人才管理 | 2 | ||||
| DS-02-005 | …… |
2 | ||||
| DS-02-006 | …… |
2 | ||||
| DS-03-001 | 数据采集管理规范 | 3 | ||||
| DS-03-002 | 数据传输管理规范 | 3 | ||||
| DS-04-001 | 数据脱敏规范 | 3 | ||||
| DS-04-002 | 日志管理规范 | 3 | ||||
| …… | …… | |||||
| 硬盘销毁操作指南 | 3 | |||||
| XXX作业指导书 | 3 | |||||
| 公共硬盘借用记录表 | 4 | |||||
| XXXX模板 | 4 | |||||
| …… | …… |
制度体系架构说明
一级文件
方针和总纲是面向组织层面数据安全管理的顶层方针、策略、基本原则和总的管理要求等,主要内容 包括但不限于:
- 数据安全管理的目标、愿景、方针等;
- 数据及数据资产定义:比如定义组织内数据包含哪些内容和类别,信息系统载体等;
- 数据安全管理基本原则:比如数据分类分级原则、数据安全和业务发展匹配原则、数据安全管理 方针和政策等;
- 数据生命周期阶段划分和整体策略,比如:数据产生、数据存储、数据传输、数据交换、数据使 用、数据销毁等。
- 数据安全违规处理:比如违规事件及其等级定义,相应处罚规定等;
二级文件
数据安全管理制度和办法,是指数据安全通用和各生命周期阶段中某个安全域或多个安全域的规章制 度要求,比如:
通用安全域:数据资产管理、数据质量管理、数据安全合规管理、系统资产管理,等等。
数据生命周期各阶段:数据采集安全管理、数据存安全管理、数据传输安全管理、数据交换安全管理、 数据使用安全管理、数据销毁安全管理,以及某个安全域的安全管理要求,等等。
三级文件
数据安全各生命周期及具体某个安全域的操作流程、规范,及相应的作业指导书或指南,配套模板文件等。
在保证生命周期和安全域覆盖完整的前提下,可以根据实际情况整合流程和规范的文档数量,不一定 每个安全域或者每个生命周期阶段都单独建立流程和规范。数据安全操作指导书或指南,是对数据安全管 理流程和规范的解释和补充,以及案例说明等文档,以方便执行者深入理解和执行;并非强制执行的制度 规范,仅供参考。
数据安全模板文件是与管理流程、规范和指南相配套的固定格式文档,以确保执行一致性,以及数据 或信息的汇总统计等。比如,权限申请和审批表模板,日志存储格式模板,等等。有条件的情况下,一般 都通过技术工具实现。
四级文件
指执行数据安全管理制度产生的相应计划、表格、报告、各种运行/检查记录、日志文件等,如果实 现自动化,大部分可通过技术工具收集到,形成相应的量化分析结果,也是数据的一部分。