数据安全人员能力
数据安全治理不是简单技术形的工种,在现在大数据背景下,是一个复合型的工作,所需要配备的人 员也需要具有多方面的能力。数据安全领域较新,在国内这方面培养的人员较少,也是当前逐步需要提升 的关键任务。
数据安全的人员能力主要包括几个维度,数据安全管理能力、数据安全运营能力、数据安全技术能力 和数据安全合规能力。通用能力在本章节中不再具体描述。
数据安全管理能力
目前大部分组织尚未正式开展数据安全体系建设,也较少有数据安全的专职职能岗位,对人员能力的 培养也在起步阶段。但是随着组织对数据安全的重视度逐步提高,体系建设的诉求也越来越强,所以如何 建设完整的数据安全体系,做好数据安全管理是企业面临的第一大问题。
数据安全管理包含以下能力:
M1 熟悉国家网络安全法律法规及组织所属行业的政策和监管要求,了解行业内数据安全建设的最佳实践路线;
M2 具备良好的业务发展战略判断能力,能够通过平衡业务需求和法律风险进行战略思考并提供实用建议;
M3 熟悉组织的业务特性,能根据业务的发展变化,制定或调整组织的数据安全策略;
M4 能够基于组织的数据安全策略,编制相关的制度体系文件,对业务过程进行规范指导;
M5 在隐私保护、数据安全、风险管理、审计合规等相关领域至少 3 年以上的管理经验;
M6 具备组织内跨部门的管理协调能力,能够调动其他部门资源配合落地相关的数据安全控制机制。 M7 具备数据安全管理团队的组建及人才梯队建设的能力;
M8 具备数据安全应急指挥能力,对业务过程中发生的数据安全问题,能够准确判断快速组织相关人员进行应急处置;
M9 了解组织业务及数据特性,在各业务部门有针对性的落实数据安全策略和控制措施;
M10 具备与国家单位、行业监管机构及合作伙伴之间的沟通协调能力,能利用外部资源协助组织数据安全体系的建设;
M11 具备良好的数据安全风险意识。
数据安全运营能力
数据安全建设是一个长期持续的过程,需要在组织内持续性的落实数据安全的相关制度和流程,并基 于组织的业务变化和技术发展不断的调整和优化,安全也是一个不断螺旋上升的过程,因此需要做好数据 安全运营工作。数据安全运营包含以下能力:
O1 具备数据安全策略、制度规程及技术工具在组织内部的推广落地能力;
O2 具备利用相关技术工具,对组织业务运营过程中的数据安全风险进行监测、识别、预警和处置的
能力;
O3 具备对组织现有数据安全控制措施的有效性进行识别和判断的能力;
O4 具备对员工进行数据安全培训和安全意识教育的能力。
数据安全技术能力
数据安全的实现,需要技术和工具平台的支撑,来完成安全管控措施的构建,从而实现数据安全能力 的建设。数据安全技术目前正在逐步更新和迭代,在大数据环境下,要求组织内从事数据安全领域的技术 人员具备以下能力:
T1 熟悉国内外主流的数据安全产品和工具,如数据防泄漏(DLP)、脱敏工具、数据溯源、加密平台
等,能准确判断当前组织所需的最佳实践,并深入和落地应用;
T2 在数据安全全生命周期中,能评估潜在数据安全风险,如数据业务风险、数据风控风险、隐私保
护风险等,并能制定有效、合理降低数据风险的解决方案或者措施;
T3 在数据安全架构设计时,能够贴合业务和合规场景,覆盖数据在全生命周期中的保护;
T4 能对敏感数据流动做好审计工作,具备风险排查能力,快速处置数据的篡改和泄露等风险;
T5 能对当前数据安全体系进行技术验证,如白盒、灰盒和黑盒等安全测试和对抗,从而让数据安全
防御形成一个持续迭代更新的良性循环系统;
T6 需要自研或平台型的组织,应熟悉数据安全技术发展,了解国内外前沿的数据安全和隐私保护技
术,如加密技术、差分隐私和 UEBA等,能在恰当时期引入组织需要的技术,从而降低数据安全 和隐私保护的风险。
数据安全合规能力
在数据安全领域,国内外越来越多的法律法规、标准逐步出台,如《网络安全法》、《个人信息保护法 (草案)》、欧盟《一般数据保护条例(GDPR)》等,合规工作成了数据安全领域建设的底线。如何保障合 规要求准确识别,并形成内部规章指导合规落地工作,主要具备的能力包括:
C1 熟悉国内外数据安全和隐私保护的法律、政策和行业标准,并精通适用于本组织业务开展所必须遵守的法律、政策和标准内容;
C2 能够依据外部合规要求,建立覆盖组织的数据安全和隐私保护的管理体系和机制,并推动多方参与,落地执行;
C3 能够与组织内采购、供应商管理以及法律等部门合作,确保合作伙伴执行统一的标准,使得合同和操作层面的协议、数据安全和隐私保护管理计划,符合国内外数据安全政策与法规要求;
C4 能够与业务、法务和风险等部门协作,发现的隐私合规问题,并制定纠正措施和计划,定期进行评审。
人员能力与组织架构的映射
考虑到数据安全组织架构中各个层级能力要求会有侧重和交叉,用下图来表示他们之间映射关系:
表1:人员能力与组织架构映射关系
| 组织架构 | 管理能力 | 运营能力 | 技术能力 | 合规能力 |
|---|---|---|---|---|
| 策略层 | M1、 M2、 M3、 M6、 M7、 M10 | O1 | T2、T3 | C1、C2、 |
| 管理层 | M1、 M2、 M3、 M4、 M5、 M6、 M7、 M8、 M9、 M11 |
O1、 O4 | T1、T3 | C1、C2、C3、C4 |
| 执行层 (运营) | M1、 M6、 M8、 M9、 M11 | O1、O2、O3、 O4 | T1、T2、T3、T4 | C1、C4 |
| 执行层 (技术) | M1、 M6、 M8、 M9、 M11 | O2、 O3 | T1、T2、T3、T4、T5、 T6 |
C1、C4 |
| 监督层 | M1、 M2、 M3、 M4、 M5、 M6、 M7、 M8、 M9、 M11 |
O3、 O4 | T1、T4、T5 | C1、C4 |
| 员工、 合作伙伴 | M11 | / | / | / |