數(shù)據(jù)安全成熟度標(biāo)準(zhǔn)

1、信息安全技術(shù)數(shù)據(jù)安全能力成熟度模型1范圍本標(biāo)準(zhǔn)基于大數(shù)據(jù)環(huán)境下電子化數(shù)據(jù)在組織機(jī)構(gòu)業(yè)務(wù)場景中的數(shù)據(jù)生命周期，從組織建設(shè)、制度流程、技術(shù)工具以及人員能力四個(gè)方面構(gòu)建了數(shù)據(jù)安全過程的規(guī)范性數(shù)據(jù)安全能力成熟度分級(jí)模型及其評(píng)估方法。本標(biāo)準(zhǔn)適用于組織機(jī)構(gòu)數(shù)據(jù)安全能力的自身評(píng)估，也適用于第三方機(jī)構(gòu)對(duì)組織機(jī)構(gòu)的數(shù)據(jù)安全保障能力進(jìn)行評(píng)估。2規(guī)范性引用文件下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅所注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T250692010信息安全技術(shù)術(shù)語GB/T20261-2006信息安全技術(shù)系統(tǒng)安全工程-能力成

2、熟度模型GB/TAAAAAlAAAA信息技術(shù)大數(shù)據(jù)術(shù)語GB/TBBBBB-BBBB信息技術(shù)大數(shù)據(jù)參考框架GB/TCCCCC-CCCC信息安全技術(shù)個(gè)人信息安全規(guī)范GB/TDDDDADDDDf言息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求GB/TEEEEIEEEE信息技術(shù)數(shù)據(jù)管理能力成熟度模型3術(shù)語、定義和縮略語GB/T250692010中界定的以及下列術(shù)語和定義適用于本文件。3.1 術(shù)語和定義3.1.1數(shù)據(jù)安全datasecurity以數(shù)據(jù)為中心的安全，保護(hù)數(shù)據(jù)的可用性、完整性和機(jī)密性。注：本標(biāo)準(zhǔn)是從組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對(duì)組織機(jī)構(gòu)的數(shù)據(jù)進(jìn)行安全保護(hù)。3.1.2數(shù)據(jù)安全能力datas

3、ecuritycapability組織機(jī)構(gòu)在組織建設(shè)、制度流程、技術(shù)工具以及人員能力等方面對(duì)數(shù)據(jù)的安全保障能力。3.1.3成熟度maturity對(duì)一個(gè)組織的有條理的持續(xù)改進(jìn)能力的度量，對(duì)實(shí)現(xiàn)特定過程的連續(xù)性、可持續(xù)性、有效性和可信度的度量。3.1.4成熟度模型maturitymodel對(duì)一個(gè)組織機(jī)構(gòu)的成熟度進(jìn)行度量的模型，包括一系列的代表能力和進(jìn)展的特征、屬性、指示或是模式。模型的內(nèi)容通常是最佳實(shí)踐的舉例說明。成熟度模型提供一個(gè)組織機(jī)構(gòu)衡量其當(dāng)前的實(shí)踐、流程、方法的能力水平的基準(zhǔn)，并設(shè)置提升的目標(biāo)和優(yōu)先級(jí)。當(dāng)一個(gè)模型被廣泛應(yīng)用于某個(gè)特定的行業(yè)，這個(gè)行業(yè)可以基于模型，來評(píng)估本行業(yè)的組織機(jī)構(gòu)的成熟

4、度等級(jí)。3.1.5組織機(jī)構(gòu)organization安排了責(zé)任、權(quán)利和關(guān)系的一組人員和設(shè)施。3.1.6安全過程域securityprocessarea實(shí)現(xiàn)同一安全目標(biāo)的一系列數(shù)據(jù)安全相關(guān)活動(dòng)、過程的集合。3.1.7數(shù)據(jù)脫敏datadesensitization通過模糊化等方法對(duì)原始數(shù)據(jù)的處理，達(dá)到屏蔽敏感信息的一種數(shù)據(jù)保護(hù)方法。3.1.8數(shù)據(jù)產(chǎn)品dataproduct直接或間接使用數(shù)據(jù)的產(chǎn)品，包括但不限于能訪問原始數(shù)據(jù)，提供數(shù)據(jù)計(jì)算、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)交換、數(shù)據(jù)分析、數(shù)據(jù)挖掘、數(shù)據(jù)展示等應(yīng)用的軟件產(chǎn)品。3.1.9數(shù)據(jù)力工dataprocessing對(duì)原始數(shù)據(jù)進(jìn)行抽取、轉(zhuǎn)換、加載的過程；包括開發(fā)數(shù)據(jù)產(chǎn)

5、品或數(shù)據(jù)分析。3.1.10合規(guī)compliance對(duì)數(shù)據(jù)所適用的法律法規(guī)的遵循。3.2縮略語下列縮略語適用于本標(biāo)準(zhǔn)：ACL訪問控制列表(AccessControlList)CMM能力成熟度模型(CapabilityMaturityModel)DDOS分布式拒絕服務(wù)(DistributedDenialofService)DLP數(shù)據(jù)防?漏(DataLossPrevetion)TLS傳輸層安全(TransportLayerSecurity)SSL安全套接層(SecureSocketsLayer)4數(shù)據(jù)安全能力成熟度模型架構(gòu)4.1 模型架構(gòu)本標(biāo)準(zhǔn)借鑒能力成熟度模型(CMM的思想，以CMMt通用實(shí)踐來衡

6、量能力成熟度等級(jí)，以信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求中的安全要求為基礎(chǔ)，指導(dǎo)組織機(jī)構(gòu)如何持續(xù)達(dá)到所對(duì)應(yīng)的安全要求。數(shù)據(jù)安全能力成熟度模型的模型架構(gòu)由以下三方面構(gòu)成(如圖1所示)： 數(shù)據(jù)生命周期安全：圍繞數(shù)據(jù)生命周期，提煉出大數(shù)據(jù)環(huán)境下，以數(shù)據(jù)為中心，針對(duì)數(shù)據(jù)生命周期各階段建立的相關(guān)數(shù)據(jù)安全過程域體系。 安全能力維度：明確組織機(jī)構(gòu)在各數(shù)據(jù)安全領(lǐng)域所需要具備的能力維度，明確為制度流程、人員能力、組織建設(shè)和技術(shù)工具四個(gè)關(guān)鍵能力的維度。 能力成熟度等級(jí)：基于統(tǒng)一的分級(jí)標(biāo)準(zhǔn)，細(xì)化組織機(jī)構(gòu)在各數(shù)據(jù)安全過程域的5個(gè)級(jí)別的能力成熟度分級(jí)要求。安全能力維度5級(jí):持續(xù)優(yōu)化4級(jí):量化控制充分定義計(jì)戈麗1級(jí):非正式

7、執(zhí)行能力成熟度等級(jí)圖1數(shù)據(jù)安全能力成熟度模型架構(gòu)對(duì)于圖1的模型架構(gòu)的說明如下：1 ）基于電子數(shù)據(jù)在組織機(jī)構(gòu)內(nèi)的數(shù)據(jù)生命周期，明確定義各階段特定的數(shù)據(jù)安全過程域和數(shù)據(jù)生命周期通用的安全過程域。各階段特定的數(shù)據(jù)安全過程域，包括數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)傳輸、數(shù)據(jù)處理、數(shù)據(jù)交換和數(shù)據(jù)銷毀這六個(gè)階段中，各階段特定的數(shù)據(jù)安全過程域。數(shù)據(jù)生命周期通用的安全過程域，是與各個(gè)生命周期都相關(guān)的，通用的數(shù)據(jù)安全過程域，比如策略與規(guī)程、合規(guī)性管理等方面。2 ）本標(biāo)準(zhǔn)對(duì)組織機(jī)構(gòu)的數(shù)據(jù)安全保障能力的成熟度的分級(jí)評(píng)估，是基于各成熟度等級(jí)下的數(shù)據(jù)安全能力通用實(shí)踐所定義的分級(jí)評(píng)估方法，對(duì)各階段特定的數(shù)據(jù)安全基本實(shí)踐和數(shù)據(jù)生命周

8、期通用的安全基本實(shí)踐的實(shí)現(xiàn)的成熟度等級(jí)進(jìn)行評(píng)估。4.2 數(shù)據(jù)生命周期安全4.2.1 數(shù)據(jù)生命周期基于大數(shù)據(jù)環(huán)境下數(shù)據(jù)在組織機(jī)構(gòu)業(yè)務(wù)中的流轉(zhuǎn)情況，定義了數(shù)據(jù)生命周期的6個(gè)階段，具體各階段的定義如下： 數(shù)據(jù)采集：指新的數(shù)據(jù)產(chǎn)生或現(xiàn)有數(shù)據(jù)內(nèi)容發(fā)生顯著改變或更新的階段。對(duì)于組織機(jī)構(gòu)而言，數(shù)據(jù)的采集既包含在組織機(jī)構(gòu)內(nèi)部系統(tǒng)中生成的數(shù)據(jù)也包含組織機(jī)構(gòu)從外部采集的數(shù)據(jù)。 數(shù)據(jù)存儲(chǔ)：指非動(dòng)態(tài)數(shù)據(jù)以任何數(shù)字格式進(jìn)行物理存儲(chǔ)的階段。 數(shù)據(jù)處理：指組織機(jī)構(gòu)在內(nèi)部針對(duì)動(dòng)態(tài)數(shù)據(jù)進(jìn)行的一系列活動(dòng)的組合。 數(shù)據(jù)傳輸：指數(shù)據(jù)在組織機(jī)構(gòu)內(nèi)部從一個(gè)實(shí)體通過網(wǎng)絡(luò)流動(dòng)到另一個(gè)實(shí)體的過程。 數(shù)據(jù)交換：指數(shù)據(jù)經(jīng)由組織機(jī)構(gòu)內(nèi)部與外部組織機(jī)

9、構(gòu)及個(gè)人交互過程中提供數(shù)據(jù)的階段。 數(shù)據(jù)銷毀：指通過對(duì)數(shù)據(jù)及數(shù)據(jù)的存儲(chǔ)介質(zhì)通過相應(yīng)的操作手段，使數(shù)據(jù)徹底丟失且無法通過任何手段恢復(fù)的過程。特定的數(shù)據(jù)所經(jīng)歷的生命周期由實(shí)際的業(yè)務(wù)場景所決定，并非所有的數(shù)據(jù)都會(huì)完整的經(jīng)歷六個(gè)階段。4.2.2 數(shù)據(jù)安全過程域體系安全過程域體系覆蓋數(shù)據(jù)生命周期的六個(gè)階段，包含各生命周期階段通用的安全過程域和各生命周期階段下的安全過程域，如圖2所示。數(shù)據(jù)生命周期各階段安全銷般安全數(shù)據(jù)存儲(chǔ)安全數(shù)犀分類分級(jí)數(shù)據(jù)聚集*口獲默數(shù)據(jù)清法轉(zhuǎn)換與加載質(zhì)量監(jiān)捽，微據(jù)傳輸安全管理,今儲(chǔ)架枸般與行愜,訪國控制數(shù)據(jù)副本哉第三欄,效赤時(shí)效性，身化工三姓會(huì)安?,數(shù)據(jù)分析安全,數(shù)括正當(dāng)使用數(shù)席膽觸

10、處理，數(shù)據(jù)尊人導(dǎo)出安全數(shù)據(jù)共享安全,數(shù)謂發(fā)布安全,數(shù)據(jù)交接監(jiān)拴介質(zhì)使用笆湃”數(shù)據(jù)第理處首,介質(zhì)耨毀處置數(shù)據(jù)生命周期通用安全圖2數(shù)據(jù)安全過程域體系4.3 安全能力維度4.3.1 能力構(gòu)成通過對(duì)各項(xiàng)安全過程所需具備安全能力的量化，可供組織機(jī)構(gòu)評(píng)估每項(xiàng)安全過程的實(shí)現(xiàn)能力。安全能力從組織建設(shè)、制度流程、技術(shù)工具及人員能力四個(gè)維度展開。 組織建設(shè)：數(shù)據(jù)安全組織機(jī)構(gòu)的架構(gòu)建立、職責(zé)分配和溝通協(xié)作。 制度流程：組織機(jī)構(gòu)關(guān)鍵數(shù)據(jù)安全領(lǐng)域的制度規(guī)范和流程落地建設(shè)。 技術(shù)工具：通過技術(shù)手段和產(chǎn)品工具固化安全要求或自動(dòng)化實(shí)現(xiàn)安全工作。 人員能力：執(zhí)行數(shù)據(jù)安全工作的人員的意識(shí)及專業(yè)能力。4.3.2 組織建設(shè)從承擔(dān)數(shù)據(jù)

11、安全工作的組織機(jī)構(gòu)建設(shè)應(yīng)具備的能力出發(fā)，從以下方面進(jìn)行能力的級(jí)別區(qū)分： 數(shù)據(jù)安全組織架構(gòu)對(duì)組織業(yè)務(wù)的適用性； 數(shù)據(jù)安全組織機(jī)構(gòu)承擔(dān)的工作職責(zé)的明確性； 數(shù)據(jù)安全組織機(jī)構(gòu)運(yùn)作、溝通協(xié)調(diào)的有效性。4.3.3 制度流程從組織機(jī)構(gòu)在數(shù)據(jù)安全層面的制度流程建設(shè)，以及制度流程的執(zhí)行情況出發(fā)，從以下維度進(jìn)行能力的級(jí)別區(qū)分： 數(shù)據(jù)生命周期關(guān)鍵控制節(jié)點(diǎn)授權(quán)審批流程的明確性； 相關(guān)流程制度的制定、發(fā)布、修訂的規(guī)范性； 安全要求及流程落地執(zhí)行的一致性和有效性。4.3.4 技術(shù)工具應(yīng)用系統(tǒng)和自動(dòng)化工具出發(fā)，從以下維度進(jìn)行能力從組織機(jī)構(gòu)用于開展數(shù)據(jù)安全工作的安全技術(shù)、的級(jí)別區(qū)分：數(shù)據(jù)安全技術(shù)在數(shù)據(jù)全生命周期過程中的利用

12、情況，針對(duì)數(shù)據(jù)全生命周期安全風(fēng)險(xiǎn)的檢測及響應(yīng)能力；利用技術(shù)工具對(duì)數(shù)據(jù)安全工作的自動(dòng)化支持能力，對(duì)數(shù)據(jù)安全制度流程的固化執(zhí)行能力。4.3.5 人員能力從組織機(jī)構(gòu)內(nèi)部承擔(dān)數(shù)據(jù)安全工作的人員應(yīng)具備的能力出發(fā)，從以下維度進(jìn)行能力的級(jí)別區(qū)分：數(shù)據(jù)安全人員所具備的數(shù)據(jù)安全能力是否能夠滿足復(fù)合型能力要求（對(duì)數(shù)據(jù)相關(guān)業(yè)務(wù)的理解力以及專業(yè)安全能力）；數(shù)據(jù)安全人員的數(shù)據(jù)安全意識(shí)以及關(guān)鍵數(shù)據(jù)安全崗位員工的數(shù)據(jù)安全能力的培養(yǎng)。4.4 成熟度等級(jí)定義組織機(jī)構(gòu)的數(shù)據(jù)安全能力成熟度模型具有5個(gè)成熟度等級(jí)，成熟度等級(jí)的定義如下： 等級(jí)1（非正式執(zhí)行），是指具備隨機(jī)、無序、被動(dòng)的安全過程； 等級(jí)2（計(jì)劃跟蹤），是指具備主動(dòng)、非

13、體系化的安全過程； 等級(jí)3（充分定義），是指具備正式的規(guī)范的安全過程； 等級(jí)4（量化控制），是指安全過程可量化； 等級(jí)5（持續(xù)優(yōu)化），是指安全過程可持續(xù)優(yōu)化。5數(shù)據(jù)安全能力通用實(shí)踐5.1 能力級(jí)別1非正式執(zhí)行5.1.1 能力等級(jí)描述在這一級(jí)別，數(shù)據(jù)安全過程域的基本實(shí)踐通常被執(zhí)行。但基本實(shí)踐的執(zhí)行可能未經(jīng)嚴(yán)格的計(jì)劃和跟蹤，而是基于個(gè)人的知識(shí)和努力。組織機(jī)構(gòu)內(nèi)的個(gè)人可標(biāo)識(shí)出一個(gè)數(shù)據(jù)安全過程應(yīng)被執(zhí)行，并同意這個(gè)數(shù)據(jù)安全過程會(huì)在需要時(shí)執(zhí)行。該能力級(jí)別包含如下公共特征：公共特征1.1執(zhí)行基本實(shí)踐。5.1.2 公共特征1.1執(zhí)行基本實(shí)踐5.1.2.1 公共特征描述此公共特征的通用實(shí)踐只是保證過程域的基本實(shí)

14、踐以某種方式執(zhí)行。但是，數(shù)據(jù)安全管理的一致性、性能和質(zhì)量會(huì)因缺乏適當(dāng)控制而存在極大的差異。組織機(jī)構(gòu)在數(shù)據(jù)安全過程域未有效的執(zhí)行相關(guān)工作，僅在部分業(yè)務(wù)場景中/項(xiàng)目執(zhí)行過程中根據(jù)臨時(shí)的需求執(zhí)行了相關(guān)工作，卻未形成成熟的機(jī)制保證相關(guān)工作的持續(xù)有效進(jìn)行，執(zhí)行相關(guān)工作的人員能力也未得到有效的保障。所執(zhí)行的過程可稱為“非正式過程”。5.1.2.2 組織建設(shè)未針對(duì)數(shù)據(jù)安全過程域的工作開展建立數(shù)據(jù)安全相關(guān)的團(tuán)隊(duì)/崗位和職責(zé)。5.1.2.3 制度流程未建立與數(shù)據(jù)安全過程域相關(guān)的數(shù)據(jù)安全工作相關(guān)的制度流程，數(shù)據(jù)安全工作的開展多為對(duì)特定業(yè)務(wù)需求的響應(yīng)而觸發(fā)。5.1.2.4 技術(shù)工具未部署技術(shù)工具以固化數(shù)據(jù)安全制度流

15、程和提升數(shù)據(jù)安全能力。5.1.2.5 人員能力未安排具備數(shù)據(jù)安全過程域相關(guān)知識(shí)背景的人參與到數(shù)據(jù)安全保障工作中。5.2 能力級(jí)別2一計(jì)劃跟蹤在這一級(jí)別上，過程域基本實(shí)踐的執(zhí)行是經(jīng)計(jì)劃并被跟蹤的，并對(duì)實(shí)踐情況進(jìn)行驗(yàn)證。數(shù)據(jù)安全管理應(yīng)符合指定的標(biāo)準(zhǔn)和需求。通過測量來跟蹤過程域的執(zhí)行情況，因此，使組織機(jī)構(gòu)能夠基于實(shí)際實(shí)踐活動(dòng)進(jìn)行管理。與非正式實(shí)踐級(jí)別間的主要區(qū)別是過程實(shí)踐被計(jì)劃和管理。該能力級(jí)別包含如下公共特征：公共特征2.1規(guī)劃執(zhí)行；公共特征2.2規(guī)范化執(zhí)行；公共特征2.3驗(yàn)證執(zhí)行；公共特征2.4一跟蹤執(zhí)行。5.2.1 公共特征2.1規(guī)劃執(zhí)行5.2.1.1 公共特征描述該公共特征的基本實(shí)踐集中在過

16、程域以及相關(guān)的基本實(shí)踐執(zhí)行的規(guī)劃方面，因而涉及到過程文檔的編制，過程工具的提供，過程實(shí)踐的計(jì)劃，規(guī)劃執(zhí)行的培訓(xùn)，過程資源的分配以及過程執(zhí)行的責(zé)任分配。這些通用實(shí)踐為規(guī)范化的過程執(zhí)行提供了最根本的基礎(chǔ)。5.2.1.2 組織建設(shè)基于數(shù)據(jù)安全過程域的內(nèi)容，規(guī)劃關(guān)鍵數(shù)據(jù)安全管理的團(tuán)隊(duì)/崗位所需要的任務(wù)和責(zé)任，該團(tuán)隊(duì)/崗位主要負(fù)責(zé)對(duì)數(shù)據(jù)安全過程域中的關(guān)鍵安全管理規(guī)則的制定。任務(wù)和責(zé)任應(yīng)規(guī)定到，包括內(nèi)部、外部的和過程實(shí)踐相關(guān)的所有相關(guān)方。5.2.1.3 制度流程以數(shù)據(jù)為中心建立數(shù)據(jù)安全制度流程，并將數(shù)據(jù)安全制度流程形成標(biāo)準(zhǔn)化文檔，并通過技術(shù)工具進(jìn)行固化，使制度流程按照設(shè)計(jì)的方式執(zhí)行。在此模型中，一個(gè)組織機(jī)

17、構(gòu)或一個(gè)項(xiàng)目中的過程無需與過程域一一對(duì)應(yīng)。因此，覆蓋一個(gè)過程域的過程可能可以以不止一種方式進(jìn)行描述（例如以政策、標(biāo)準(zhǔn)等方式），一個(gè)過程描述可能包含不止一個(gè)過程域。對(duì)數(shù)據(jù)安全制度流程的實(shí)踐進(jìn)行規(guī)劃，和對(duì)數(shù)據(jù)安全工程和項(xiàng)目類的過程域規(guī)劃可以按照項(xiàng)目計(jì)劃的形式存在，而組織類的計(jì)劃可以在組織機(jī)構(gòu)層面上進(jìn)行。5.2.1.4 技術(shù)工具規(guī)劃為執(zhí)行數(shù)據(jù)安全過程域基本實(shí)踐所需要的技術(shù)工具，來確保數(shù)據(jù)安全過程的執(zhí)行。為支持?jǐn)?shù)據(jù)安全過程域的規(guī)劃執(zhí)行提供適當(dāng)?shù)墓ぞ摺?.2.1.5 人員能力為執(zhí)行數(shù)據(jù)安全過程域基本實(shí)踐規(guī)劃充分的人力資源，分配其所需要的任務(wù)和責(zé)任，規(guī)劃適當(dāng)?shù)呐嘤?xùn)，來確保過程的執(zhí)行。5.2.2 公共特征2

18、.2規(guī)范化執(zhí)行5.2.2.1公共特征描述該公共特征的通用實(shí)踐注重于對(duì)過程實(shí)踐的控制程度，需要使用過程執(zhí)行計(jì)劃、執(zhí)行基于標(biāo)準(zhǔn)和程序的過程、對(duì)數(shù)據(jù)安全過程實(shí)施配置管理等。這些通用實(shí)踐構(gòu)成了驗(yàn)證數(shù)據(jù)安全過程執(zhí)行的重要基礎(chǔ)。5.2.2.1 組織建設(shè)基于數(shù)據(jù)安全過程域的內(nèi)容，分配在數(shù)據(jù)安全過程域中所涉及的承擔(dān)關(guān)鍵數(shù)據(jù)安全管理職責(zé)的團(tuán)隊(duì)/崗位，該團(tuán)隊(duì)/崗位主要負(fù)責(zé)對(duì)數(shù)據(jù)安全過程域中的關(guān)鍵安全管理規(guī)則的落實(shí)。5.2.2.2 制度流程針對(duì)該數(shù)據(jù)安全過程域中的關(guān)鍵的風(fēng)險(xiǎn)點(diǎn)提出了相應(yīng)的安全要求，并將相應(yīng)的要求以制度流程的形式進(jìn)行了文檔化。對(duì)數(shù)據(jù)安全制度流程進(jìn)行規(guī)范化執(zhí)行，在執(zhí)行過程域中，使用文檔化的計(jì)劃、標(biāo)準(zhǔn)指導(dǎo)

19、實(shí)踐?；谶^程描述執(zhí)行的過程稱為“描述的過程”。將數(shù)據(jù)安全制度流程實(shí)施配置管理，進(jìn)行版本控制和/或變更控制。配置管理可視項(xiàng)目具體情況，組織機(jī)構(gòu)可采用工具和/或人工方式。配置管理應(yīng)提前做好規(guī)劃。5.2.2.3 技術(shù)工具根據(jù)行業(yè)內(nèi)對(duì)相關(guān)數(shù)據(jù)安全過程域的技術(shù)產(chǎn)品的普及度，以及組織機(jī)構(gòu)內(nèi)實(shí)現(xiàn)自動(dòng)化安全控制的可行性，組織機(jī)構(gòu)已經(jīng)優(yōu)先采用了普及度較高的技術(shù)工具或執(zhí)行了可行度較高的自動(dòng)化安全控制。5.2.2.4 人員能力從事數(shù)據(jù)安全過程域相關(guān)工作的人員具備對(duì)該數(shù)據(jù)安全過程域的關(guān)鍵風(fēng)險(xiǎn)的安全管理的背景知識(shí)和規(guī)范化執(zhí)行數(shù)據(jù)安全過程的能力。5.2.3 公共特征2.3驗(yàn)證執(zhí)行5.2.3.1 公共特征描述該公共特征的

20、通用實(shí)踐注重于確認(rèn)過程按預(yù)定的方式執(zhí)行。因此這個(gè)通用實(shí)踐涉及到驗(yàn)證執(zhí)行過程與可應(yīng)用的計(jì)劃是一致的，以及對(duì)數(shù)據(jù)安全過程的審計(jì)。這些通用實(shí)踐構(gòu)成了跟蹤過程實(shí)踐能力的重要基礎(chǔ)。5.2.3.2 組織建設(shè)基于數(shù)據(jù)安全過程域的內(nèi)容，分析在數(shù)據(jù)安全過程域中所涉及的承擔(dān)關(guān)鍵數(shù)據(jù)安全管理職責(zé)的團(tuán)隊(duì)/崗位，該團(tuán)隊(duì)/崗位主要負(fù)責(zé)對(duì)數(shù)據(jù)安全過程域中的關(guān)鍵安全管理規(guī)則的制定。驗(yàn)證組織機(jī)構(gòu)的團(tuán)隊(duì)/崗位與可用標(biāo)準(zhǔn)、需求及測量目標(biāo)的一致性。對(duì)于組織建設(shè)的驗(yàn)證過程和審計(jì)活動(dòng)應(yīng)在計(jì)劃中進(jìn)行定義。5.2.3.3 制度流程驗(yàn)證制度流程與可用標(biāo)準(zhǔn)、需求及測量目標(biāo)的一致性。對(duì)于制度流程的驗(yàn)證過程和審計(jì)活動(dòng)應(yīng)在計(jì)劃中進(jìn)行定義。5.2.3.

21、4 技術(shù)工具驗(yàn)證支撐數(shù)據(jù)安全過程的技術(shù)工具與可用標(biāo)準(zhǔn)、需求及測量目標(biāo)的一致性。對(duì)于技術(shù)工具的驗(yàn)證過程和審計(jì)活動(dòng)應(yīng)在計(jì)劃中進(jìn)行定義。5.2.3.5 人員能力驗(yàn)證人員能力與可用標(biāo)準(zhǔn)、需求及測量目標(biāo)的一致性。對(duì)于人員能力的驗(yàn)證過程和審計(jì)活動(dòng)應(yīng)在計(jì)劃中進(jìn)行定義。5.2.4 公共特征2.4一跟蹤執(zhí)行5.2.4.1 公共特征描述該公共特征的通用實(shí)踐注重于控制數(shù)據(jù)安全項(xiàng)目進(jìn)展的能力。因此，該過程通過可測量的計(jì)劃跟蹤過程執(zhí)行，當(dāng)過程實(shí)踐與計(jì)劃產(chǎn)生重大偏離時(shí)采取修正行動(dòng)。這些通用實(shí)踐形成了達(dá)到充分定義過程能力的根本基礎(chǔ)。5.2.4.2 組織建設(shè)對(duì)數(shù)據(jù)安全工作相關(guān)的組織建設(shè)定期進(jìn)行跟蹤，通過測量來檢查跟蹤數(shù)據(jù)安全

22、組織建設(shè)工作執(zhí)行的狀態(tài)，并建立對(duì)項(xiàng)目級(jí)別的組織建設(shè)測量的歷史記錄。當(dāng)數(shù)據(jù)安全組織機(jī)構(gòu)與計(jì)劃的數(shù)據(jù)安全組織機(jī)構(gòu)之間有重大差別時(shí)適當(dāng)?shù)夭扇⌒拚胧＿M(jìn)展可能由于估算的不精確、實(shí)踐受外部因素的影響、作為計(jì)劃基礎(chǔ)的需求變動(dòng)而與計(jì)劃發(fā)生偏離。修正措施可能包括改變組織架構(gòu)與職責(zé)，改變計(jì)劃，或二者兼有。5.2.4.3 制度流程對(duì)數(shù)據(jù)安全工作相關(guān)的制度流程定期進(jìn)行跟蹤，通過測量來檢查跟蹤數(shù)據(jù)安全制度流程工作執(zhí)行的狀態(tài)，并建立對(duì)制度流程的測量歷史記錄。當(dāng)數(shù)據(jù)安全制度流程與計(jì)劃的數(shù)據(jù)安全制度流程間有重大差別時(shí)適當(dāng)?shù)夭扇⌒拚胧＿M(jìn)展可能由于估算的不精確、實(shí)踐受外部因素的影響、作為計(jì)劃基礎(chǔ)的需求變動(dòng)而與計(jì)劃發(fā)生偏離

23、。修正措施可能包括改變制度流程，改變計(jì)劃，或二者兼有。5.2.4.4 技術(shù)工具對(duì)數(shù)據(jù)安全工作相關(guān)的技術(shù)工具定期進(jìn)行跟蹤，通過測量來檢查跟蹤數(shù)據(jù)安全技術(shù)工具的狀態(tài)，并建立對(duì)技術(shù)工具的測量歷史記錄。當(dāng)技術(shù)工具與計(jì)劃執(zhí)行的效果有重大差別時(shí)適當(dāng)?shù)夭扇⌒拚胧?。進(jìn)展可能由于估算的不精確、實(shí)踐受外部因素的影響、作為計(jì)劃基礎(chǔ)的需求變動(dòng)而與計(jì)劃發(fā)生偏離。修正措施可能包括改變技術(shù)工具，改變計(jì)劃，或二者兼有。5.2.4.5 人員能力對(duì)數(shù)據(jù)安全工作相關(guān)的人員能力定期進(jìn)行跟蹤，通過測量來檢查跟蹤數(shù)據(jù)安全人員能力的狀態(tài)，并建立對(duì)人員能力的測量歷史記錄。當(dāng)數(shù)據(jù)安全人員能力與計(jì)劃的人員能力間有重大差別時(shí)適當(dāng)?shù)夭扇⌒拚胧?/p>

24、進(jìn)展可能由于估算的不精確、實(shí)踐受外部因素的影響、作為計(jì)劃基礎(chǔ)的需求變動(dòng)而與計(jì)劃發(fā)生偏離。修正措施可能包括改變?nèi)藛T能力，改變計(jì)劃，或二者兼有。5.3 能力級(jí)別3一充分定義在這一級(jí)別，基本實(shí)踐按照充分定義的過程執(zhí)行。充分定義的過程是依據(jù)對(duì)文檔化的標(biāo)準(zhǔn)過程進(jìn)行裁剪并經(jīng)批準(zhǔn)的過程版本。這一過程與計(jì)劃跟蹤級(jí)的主要區(qū)別在于利用組織機(jī)構(gòu)范圍內(nèi)的過程標(biāo)準(zhǔn)來管理和規(guī)劃。該能力級(jí)別包括以下公共特征：公共特征3.1一定義標(biāo)準(zhǔn)過程；公共特征3.2一執(zhí)行已定義的過程;公共特征3.3協(xié)調(diào)安全實(shí)踐。5.3.1 公共特征一定義標(biāo)準(zhǔn)過程5.3.1.1 公共特征該公共特征的通用實(shí)踐注重于組織機(jī)構(gòu)標(biāo)準(zhǔn)過程的制度化。過程制度化的起因

25、和基礎(chǔ)可能是一個(gè)或多個(gè)相似過程在特定項(xiàng)目中的成功應(yīng)用。一個(gè)組織機(jī)構(gòu)的標(biāo)準(zhǔn)過程可能需要適合特定環(huán)境的使用，所以也應(yīng)考慮到如何進(jìn)行裁剪。因此，要為組織機(jī)構(gòu)定義標(biāo)準(zhǔn)化的過程文檔，要為滿足特定用途對(duì)標(biāo)準(zhǔn)過程進(jìn)行裁剪。這些通用過程形成了執(zhí)行已定義過程必要的基礎(chǔ)。5.3.1.2 組織建設(shè)組織機(jī)構(gòu)設(shè)立了實(shí)體或虛擬的團(tuán)隊(duì)，該團(tuán)隊(duì)主要負(fù)責(zé)針對(duì)該數(shù)據(jù)安全域建立有效的安全保護(hù)機(jī)制，包括但不限于建立組織機(jī)構(gòu)統(tǒng)一的安全管理策略、制度和流程，并制定并面向組織機(jī)構(gòu)范圍內(nèi)提供整體的技術(shù)標(biāo)準(zhǔn)解決方案。該團(tuán)隊(duì)與數(shù)據(jù)安全過程域相關(guān)的部門（如業(yè)務(wù)部門、法律部門等）共同合作，建立有效的溝通和推進(jìn)機(jī)制。該團(tuán)隊(duì)已明確了數(shù)據(jù)安全的組織機(jī)構(gòu)和

26、崗位，數(shù)據(jù)安全人員的角色及其職責(zé)分配，并建立有效的工作考核機(jī)制。5.3.1.3 制度流程對(duì)數(shù)據(jù)安全過程域進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估，并參考相關(guān)的安全管理體系的方法論，建立了適應(yīng)于組織機(jī)構(gòu)自身在數(shù)據(jù)安全過程域的標(biāo)準(zhǔn)制度流程。建立數(shù)據(jù)安全域的標(biāo)準(zhǔn)制度流程，包括但不限于與組織機(jī)構(gòu)結(jié)構(gòu)和數(shù)據(jù)業(yè)務(wù)相一致的安全策略、具有明確管控要求的制度規(guī)范、用于相關(guān)管控要求落地的流程、指導(dǎo)整體工作執(zhí)行的實(shí)施指南。組織機(jī)構(gòu)針對(duì)該數(shù)據(jù)安全過程域的制度流程建立標(biāo)準(zhǔn)的培訓(xùn)和宣傳方案，實(shí)現(xiàn)對(duì)與該數(shù)據(jù)安全過程域相關(guān)的團(tuán)隊(duì)和人員在對(duì)制度流程的理解上的一致性。5.3.1.4 技術(shù)工具建立數(shù)據(jù)安全過程域相關(guān)的在線化平臺(tái)固化并記錄相關(guān)的流程，在

27、組織機(jī)構(gòu)內(nèi)部建設(shè)、部署數(shù)據(jù)安全技術(shù)產(chǎn)品，強(qiáng)化安全控制。其中，與數(shù)據(jù)安全過程域強(qiáng)關(guān)聯(lián)的技術(shù)產(chǎn)品包含關(guān)鍵的產(chǎn)品功能，組織機(jī)構(gòu)內(nèi)基于具體的業(yè)務(wù)場景實(shí)現(xiàn)了對(duì)數(shù)據(jù)安全技術(shù)產(chǎn)品的有效運(yùn)營，以保證產(chǎn)品功能對(duì)組織機(jī)構(gòu)的業(yè)務(wù)場景的適應(yīng)性。5.3.1.5 人員能力從事數(shù)據(jù)安全工作的人員具備數(shù)據(jù)安全標(biāo)準(zhǔn)資質(zhì)，具備在數(shù)據(jù)安全領(lǐng)域的工作經(jīng)驗(yàn)，能夠充分理解組織機(jī)構(gòu)在該數(shù)據(jù)安全過程域的安全風(fēng)險(xiǎn)并具備集合具體的業(yè)務(wù)場景制定風(fēng)險(xiǎn)改進(jìn)方案的能力。5.3.2 公共特征3.2一執(zhí)行已定義過程5.3.2.1 公共特征描述該公共特征注重于充分定義過程的可重復(fù)執(zhí)行。因此提出了已定義過程的使用，針對(duì)有缺陷的過程結(jié)果和工作產(chǎn)品的核查，過程執(zhí)行

28、及其結(jié)果數(shù)據(jù)的使用。該通用實(shí)踐構(gòu)成了協(xié)調(diào)安全實(shí)踐的重要基礎(chǔ)。5.3.2.2 組織建設(shè)組織機(jī)構(gòu)設(shè)立了負(fù)責(zé)針對(duì)該數(shù)據(jù)安全域執(zhí)行進(jìn)行有效安全保護(hù)的實(shí)體或虛擬的團(tuán)隊(duì)。該團(tuán)隊(duì)與數(shù)據(jù)安全過程域相關(guān)的部門（如業(yè)務(wù)部門、法律部門等）共同合作，建立有效的溝通和推進(jìn)機(jī)制，實(shí)現(xiàn)數(shù)據(jù)安全要求和技術(shù)落地方案在數(shù)據(jù)安全過程域相關(guān)場景下的有效推行。該團(tuán)隊(duì)已明確了相關(guān)人員在該數(shù)據(jù)安全過程域下的專職職責(zé)，建立執(zhí)行缺陷復(fù)查的檢查工作的考核機(jī)制。5.3.2.3 制度流程組織機(jī)構(gòu)針對(duì)該數(shù)據(jù)安全過程域的制度流程建立了有效的培訓(xùn)和宣傳方案，實(shí)現(xiàn)對(duì)與該數(shù)據(jù)安全過程域相關(guān)的團(tuán)隊(duì)和人員在對(duì)制度流程的理解上的一致性。使用充分定義的過程，并建立專

29、門的缺陷復(fù)查過程域，針對(duì)過程域的適當(dāng)工作產(chǎn)品進(jìn)行缺陷復(fù)查。5.3.2.4 技術(shù)工具針對(duì)該數(shù)據(jù)安全過程域中的安全管理要求，一方面建立相應(yīng)的在線化平臺(tái)固化并記錄相關(guān)的流程，另一方面結(jié)合行業(yè)內(nèi)的優(yōu)秀產(chǎn)品方案在組織機(jī)構(gòu)內(nèi)部建設(shè)、部署相應(yīng)的技術(shù)產(chǎn)品，強(qiáng)化相應(yīng)的安全控制。使用技術(shù)工具收集測量數(shù)據(jù)，得到更積極的應(yīng)用并且為下一級(jí)的定量管理奠定了基礎(chǔ)。5.3.2.5 人員能力從事數(shù)據(jù)安全工作的人員具備數(shù)據(jù)安全標(biāo)準(zhǔn)資質(zhì)，具備在數(shù)據(jù)安全領(lǐng)域的工作經(jīng)驗(yàn)，能夠有效執(zhí)行已定義的數(shù)據(jù)安全過程。從事數(shù)據(jù)安全工作的人員能夠充分理解組織機(jī)構(gòu)在該數(shù)據(jù)安全過程域的安全風(fēng)險(xiǎn)，具備集合具體的業(yè)務(wù)場景制定風(fēng)險(xiǎn)改進(jìn)方案，并執(zhí)行已制定的風(fēng)險(xiǎn)改

30、進(jìn)方案的能力。5.3.3 公共特征3.3協(xié)調(diào)實(shí)踐5.3.3.1 公共特征描述此公共特征側(cè)重于單個(gè)業(yè)務(wù)系統(tǒng)和組織活動(dòng)的協(xié)調(diào)。許多重大活動(dòng)都是由業(yè)務(wù)系統(tǒng)中的不同工作組和代表業(yè)務(wù)系統(tǒng)的組織服務(wù)組共同完成的。缺乏協(xié)調(diào)將會(huì)導(dǎo)致數(shù)據(jù)安全風(fēng)險(xiǎn)和不可比的結(jié)果。因此應(yīng)確定業(yè)務(wù)系統(tǒng)內(nèi)、各業(yè)務(wù)系統(tǒng)之間、組織機(jī)構(gòu)外部活動(dòng)的協(xié)調(diào)機(jī)制。這些通用實(shí)踐是獲得定量控制過程能力的必要基礎(chǔ)。5.3.3.2 組織建設(shè)數(shù)據(jù)安全的組織機(jī)構(gòu)能夠協(xié)調(diào)業(yè)務(wù)系統(tǒng)內(nèi)、組織機(jī)構(gòu)的不同業(yè)務(wù)系統(tǒng)之間，以及與組織機(jī)構(gòu)外部之間的標(biāo)準(zhǔn)執(zhí)行實(shí)踐，保證數(shù)據(jù)安全組織建設(shè)相關(guān)標(biāo)準(zhǔn)的統(tǒng)一執(zhí)行。5.3.3.3 制度流程數(shù)據(jù)安全的制度流程能夠協(xié)調(diào)業(yè)務(wù)系統(tǒng)內(nèi)、組織機(jī)構(gòu)的不同

31、業(yè)務(wù)系統(tǒng)之間，以及與組織機(jī)構(gòu)外部之間的標(biāo)準(zhǔn)執(zhí)行實(shí)踐，保證數(shù)據(jù)安全制度流程相關(guān)標(biāo)準(zhǔn)的統(tǒng)一執(zhí)行。5.3.3.4 技術(shù)工具數(shù)據(jù)安全的技術(shù)工具能夠協(xié)調(diào)業(yè)務(wù)系統(tǒng)內(nèi)、組織機(jī)構(gòu)的不同業(yè)務(wù)系統(tǒng)之間，以及與組織機(jī)構(gòu)外部之間的標(biāo)準(zhǔn)執(zhí)行實(shí)踐。保證數(shù)據(jù)安全過程域中技術(shù)工具的安全管理標(biāo)準(zhǔn)統(tǒng)一執(zhí)行。5.3.3.5 人員能力數(shù)據(jù)安全人員能夠協(xié)調(diào)項(xiàng)目組內(nèi)、組織機(jī)構(gòu)的不同項(xiàng)目組之間，以及與組織機(jī)構(gòu)外部之間的標(biāo)準(zhǔn)執(zhí)行實(shí)踐。保證數(shù)據(jù)安全過程域中人員能力相關(guān)資質(zhì)管理標(biāo)準(zhǔn)的統(tǒng)一執(zhí)行。5.4 能力級(jí)別4量化控制這個(gè)級(jí)別收集、分析執(zhí)行的詳細(xì)測量。這將獲得對(duì)過程能力和改進(jìn)能力的量化理解以預(yù)測執(zhí)行情況。這個(gè)級(jí)別執(zhí)行的管理是客觀的，數(shù)據(jù)安全管理

32、的質(zhì)量是量化的。這一級(jí)與充分定義級(jí)的主要區(qū)別在于定義的過程是定量的理解和控制。該能力級(jí)別包括如下公共特征：公共特征4.1建立可測的安全目標(biāo)；公共特征4.2一客觀地管理執(zhí)行。5.4.1 公共特征4.1建立可測的安全目標(biāo)5.4.1.1 公共特征描述該公共特征的通用實(shí)踐側(cè)重于為組織機(jī)構(gòu)的數(shù)據(jù)安全建立可測量目標(biāo)。因此這個(gè)公共特征提出了安全目標(biāo)的建立。這些通用實(shí)踐為客觀地執(zhí)行管理提供了必要的基礎(chǔ)。5.4.1.2 組織建設(shè)結(jié)合組織機(jī)構(gòu)戰(zhàn)略安全目標(biāo)、業(yè)務(wù)系統(tǒng)的特定要求和優(yōu)先級(jí)或業(yè)務(wù)策略，將安全目標(biāo)分解落實(shí)到數(shù)據(jù)安全數(shù)據(jù)安全相關(guān)的團(tuán)隊(duì)/崗位的職責(zé)中，以利于安全目標(biāo)的量化可測量、可執(zhí)行。5.4.1.3 制度流程

33、量化地確定已定義的過程，測量活動(dòng)要被嵌入到過程定義中。建立與數(shù)據(jù)安全過程域相關(guān)的數(shù)據(jù)安全工作相關(guān)的制度流程，數(shù)據(jù)安全工作的開展多為對(duì)特定業(yè)務(wù)需求的響應(yīng)而觸發(fā)。5.4.1.4 技術(shù)工具根據(jù)定量的安全目標(biāo)，對(duì)技術(shù)工具提出相應(yīng)的功能和性能需求。在已有的技術(shù)工具的基礎(chǔ)上實(shí)現(xiàn)對(duì)關(guān)鍵數(shù)據(jù)安全能力的量化培訓(xùn)和提升。在已有的該數(shù)據(jù)安全過程域的安全技術(shù)產(chǎn)品的基礎(chǔ)上，進(jìn)一步結(jié)合組織機(jī)構(gòu)具體的業(yè)務(wù)場景，對(duì)安全技術(shù)產(chǎn)品的功能和設(shè)置進(jìn)行更為細(xì)致化的管理，從而實(shí)現(xiàn)產(chǎn)品能力上的更加細(xì)化的量化安全控制。5.4.1.5 人員能力關(guān)鍵崗位的數(shù)據(jù)安全人員具備較高的數(shù)據(jù)安全能力，能夠在理解組織機(jī)構(gòu)整體數(shù)據(jù)安全目標(biāo)的基礎(chǔ)上考慮負(fù)責(zé)的數(shù)

34、據(jù)安全過程領(lǐng)域的安全工作開展方式。5.4.2 公共特征4.2一客觀地管理執(zhí)行5.4.2.1 公共特征描述該公共特征的通用實(shí)踐側(cè)重于確定過程能力的量化測量并使用量化測量來管理這一過程。這個(gè)公共特征提出了量化地確定過程能力和以量化測量作為修正行動(dòng)的基礎(chǔ)。這些通用實(shí)踐構(gòu)成了獲得持續(xù)改進(jìn)能力的必要基礎(chǔ)。5.4.2.2 組織建設(shè)組織機(jī)構(gòu)應(yīng)明確進(jìn)行定量執(zhí)行的工作要求，在工作團(tuán)隊(duì)中設(shè)置負(fù)責(zé)數(shù)據(jù)收集、存儲(chǔ)和分析的角色和人員，提供相應(yīng)的資源，從而在工作中能夠客觀地監(jiān)督過程的執(zhí)行。5.4.2.3 制度流程在過程執(zhí)行中收集測量數(shù)據(jù)，對(duì)各項(xiàng)工作的執(zhí)行情況及其效果進(jìn)行客觀的度量，為過程的持續(xù)改進(jìn)提供決策依據(jù)。當(dāng)過程未按

35、定義過程能力執(zhí)行時(shí)，適當(dāng)?shù)夭扇⌒拚袆?dòng)?；趯?duì)過程能力的理解，識(shí)別出現(xiàn)偏差的原因，并制定出適當(dāng)?shù)募m正、預(yù)防措施，提出何時(shí)和采取何種修正行動(dòng)。針對(duì)組織機(jī)構(gòu)在該數(shù)據(jù)安全過程域的制度流程進(jìn)一步細(xì)化，針對(duì)所適應(yīng)的關(guān)鍵業(yè)務(wù)場景基于組織機(jī)構(gòu)統(tǒng)一的制度流程細(xì)化成相應(yīng)的管理細(xì)則，從而提升其可落地性。制度流程的細(xì)化主要由承擔(dān)數(shù)據(jù)安全職責(zé)的具體業(yè)務(wù)團(tuán)隊(duì)來負(fù)責(zé)并在該團(tuán)隊(duì)范圍內(nèi)進(jìn)行發(fā)布和推廣，例如基于組織機(jī)構(gòu)制定的數(shù)據(jù)對(duì)外交換的原則，各業(yè)務(wù)團(tuán)隊(duì)可基于其相關(guān)的數(shù)據(jù)交換的業(yè)務(wù)場景中所涉及的對(duì)外交換的數(shù)據(jù)，制定出詳細(xì)的適用于該團(tuán)隊(duì)業(yè)務(wù)場景的對(duì)外數(shù)據(jù)交換的安全細(xì)則。組織機(jī)構(gòu)進(jìn)一步關(guān)注制度流程的執(zhí)行效果，從安全要求、流程執(zhí)行的

36、有效性方面進(jìn)行持續(xù)的跟蹤和效果度量，從而反饋到相關(guān)制度流程的內(nèi)容修訂上。5.4.2.4 技術(shù)工具提供技術(shù)工具支持?jǐn)?shù)據(jù)的采集、存儲(chǔ)、分析和管理等工作。5.4.2.5 人員能力關(guān)鍵崗位的數(shù)據(jù)安全人員具備客觀地管理執(zhí)行的意識(shí)和能力，自覺地根據(jù)制度流程要求，采用技術(shù)工具進(jìn)行數(shù)據(jù)的采集和分析。5.5 能力級(jí)別5持續(xù)優(yōu)化在這個(gè)級(jí)別上，基于組織機(jī)構(gòu)的商務(wù)目標(biāo)并針對(duì)過程的有效性和執(zhí)行效率建立量化執(zhí)行目標(biāo)。通過執(zhí)行已定義過程和有創(chuàng)建的新概念、新技術(shù)的量化反饋來保證對(duì)這些目標(biāo)進(jìn)行持續(xù)過程改進(jìn)。這一級(jí)與定量控制級(jí)的主要區(qū)別在于已定義的過程和標(biāo)準(zhǔn)過程基于對(duì)這些過程變化效果的量化理解，進(jìn)行連續(xù)調(diào)整和改進(jìn)。安全過程可持續(xù)

37、優(yōu)化，實(shí)時(shí)跟蹤行業(yè)的最佳實(shí)踐和業(yè)務(wù)的最新動(dòng)向，制度流程和技術(shù)工具持續(xù)調(diào)整以更好適應(yīng)業(yè)務(wù)發(fā)展，沉淀下來的數(shù)據(jù)安全最佳實(shí)踐能推廣至行業(yè)供其他組織機(jī)構(gòu)借鑒。該能力級(jí)別包括如下公共特征：公共特征5.1改進(jìn)組織能力；公共特征5.2改進(jìn)過程有效性。5.5.1 公共特征5.1改進(jìn)組織能力該公共特征的通用實(shí)踐注重于在整個(gè)組織機(jī)構(gòu)范圍內(nèi)標(biāo)準(zhǔn)過程的使用進(jìn)行比較和在這些不同使用之間進(jìn)行比較。當(dāng)這些過程被使用時(shí)，尋找改進(jìn)標(biāo)準(zhǔn)過程的機(jī)會(huì)，分析產(chǎn)生的缺陷以標(biāo)識(shí)對(duì)標(biāo)準(zhǔn)過程的其它可能改進(jìn)。因此，這個(gè)公共特征對(duì)過程的有效性建立了目標(biāo)、標(biāo)識(shí)對(duì)標(biāo)準(zhǔn)過程的改進(jìn)以及分析對(duì)標(biāo)準(zhǔn)過程的可能變更。這些通用實(shí)踐構(gòu)成了改進(jìn)過程有效性的必要基礎(chǔ)。

38、5.5.1.1 組織建設(shè)組織架構(gòu)的設(shè)置與國際上領(lǐng)先的數(shù)據(jù)安全管理理念符合，且能更好適應(yīng)業(yè)務(wù)發(fā)展的戰(zhàn)略規(guī)劃，具備及時(shí)調(diào)整的以促進(jìn)業(yè)務(wù)發(fā)展的能力。5.5.1.2 制度流程為改進(jìn)過程有效性，根據(jù)組織機(jī)構(gòu)的業(yè)務(wù)目標(biāo)和當(dāng)前過程能力建立量化目標(biāo)。實(shí)時(shí)跟蹤數(shù)據(jù)安全管理領(lǐng)域的最佳實(shí)踐和業(yè)務(wù)的最新動(dòng)向，預(yù)先判斷業(yè)務(wù)在數(shù)據(jù)安全領(lǐng)域所面臨的風(fēng)險(xiǎn)，并在制度流程上進(jìn)行持續(xù)性的優(yōu)化。通過改變組織機(jī)構(gòu)的標(biāo)準(zhǔn)過程族連續(xù)地改進(jìn)過程，從而提高過程有效性。5.5.1.3 技術(shù)工具基于數(shù)據(jù)安全技術(shù)的最新進(jìn)展以及組織機(jī)構(gòu)沉淀下來的數(shù)據(jù)安全技術(shù)能力，結(jié)合業(yè)務(wù)發(fā)展的實(shí)際情況引入先進(jìn)的技術(shù)工具提升數(shù)據(jù)安全控制的有效性。5.5.1.4 人員能

39、力密切關(guān)注國內(nèi)外最新的數(shù)據(jù)安全標(biāo)準(zhǔn)及規(guī)范，加強(qiáng)行業(yè)領(lǐng)域內(nèi)的專家交流，結(jié)合本組織機(jī)構(gòu)的特點(diǎn)合理優(yōu)化并組織機(jī)構(gòu)內(nèi)的數(shù)據(jù)安全解決方案。5.5.2 公共特征5.2改進(jìn)過程有效性該公共特征的通用實(shí)踐注重于制定處于連續(xù)受控改進(jìn)狀態(tài)下的標(biāo)準(zhǔn)過程。因此這個(gè)公共特征提出消除標(biāo)準(zhǔn)過程產(chǎn)生缺陷的原因和持續(xù)改進(jìn)的標(biāo)準(zhǔn)過程。5.5.2.1 組織建設(shè)組織架構(gòu)的設(shè)置與國際上領(lǐng)先的數(shù)據(jù)安全管理理念符合，且能更好適應(yīng)業(yè)務(wù)發(fā)展的戰(zhàn)略規(guī)劃，具備及時(shí)調(diào)整的以促進(jìn)業(yè)務(wù)發(fā)展的能力。5.5.2.2 制度流程為改進(jìn)過程有效性，根據(jù)組織機(jī)構(gòu)的業(yè)務(wù)目標(biāo)和當(dāng)前過程能力建立量化目標(biāo)。實(shí)時(shí)跟蹤數(shù)據(jù)安全管理領(lǐng)域的最佳實(shí)踐和業(yè)務(wù)的最新動(dòng)向，預(yù)先判斷業(yè)務(wù)在

40、數(shù)據(jù)安全領(lǐng)域所面臨的風(fēng)險(xiǎn)，并在制度流程上進(jìn)行持續(xù)性的優(yōu)化。執(zhí)行缺陷的因果分析。有選擇的消除已定義過程中缺陷產(chǎn)生的原因。在這個(gè)公共實(shí)踐中，意味著公共原因和特殊原因的變化，并且每一種缺陷都會(huì)導(dǎo)致采取不同的行動(dòng)。5.5.2.3 技術(shù)工具基于數(shù)據(jù)安全技術(shù)的最新進(jìn)展以及組織機(jī)構(gòu)沉淀下來的數(shù)據(jù)安全技術(shù)能力，結(jié)合業(yè)務(wù)發(fā)展的實(shí)際情況引入先進(jìn)的技術(shù)工具提升數(shù)據(jù)安全控制的有效性。5.5.2.4 人員能力密切關(guān)注國內(nèi)外最新的數(shù)據(jù)安全標(biāo)準(zhǔn)及規(guī)范，加強(qiáng)行業(yè)領(lǐng)域內(nèi)的專家交流，結(jié)合本組織機(jī)構(gòu)的特點(diǎn)合理優(yōu)化并組織機(jī)構(gòu)內(nèi)的數(shù)據(jù)安全解決方案。執(zhí)行該過程的人員一般為參與分析的人員。這是一種事前和反復(fù)的因果分析活動(dòng)。以前具有相似屬性

41、的項(xiàng)目缺陷可作為目標(biāo)改進(jìn)區(qū)。6數(shù)據(jù)生命周期通用的安全基本實(shí)踐6.1 策略與規(guī)程6.1.1 數(shù)據(jù)安全策略與規(guī)程6.1.1.1 數(shù)據(jù)安全過程域描述通過建立組織機(jī)構(gòu)整體的數(shù)據(jù)安全策略及規(guī)程，以實(shí)現(xiàn)對(duì)數(shù)據(jù)全生命周期的安全風(fēng)險(xiǎn)管控。6.1.1.2 數(shù)據(jù)安全能力基本實(shí)踐a) 組織建設(shè)：設(shè)立數(shù)據(jù)安全的團(tuán)隊(duì)/崗位負(fù)責(zé)組織機(jī)構(gòu)的數(shù)據(jù)安全策略與規(guī)程的制定、修訂和落地。(要求5.1.1a)b)b) 制度流程：1)依據(jù)組織機(jī)構(gòu)的業(yè)務(wù)戰(zhàn)略，建立數(shù)據(jù)安全方針和目標(biāo)，并基于此建立以數(shù)據(jù)生命周期為核心思想的數(shù)據(jù)安全制度體系，相關(guān)制度均從目的、范圍、崗位、責(zé)任、管理層承諾、內(nèi)外部協(xié)調(diào)及合規(guī)性方面提出明確的要求。（要求5.1.1

42、a）b）2）建立了數(shù)據(jù)安全策略與規(guī)程的分發(fā)流程，策略和規(guī)程均能被組織機(jī)構(gòu)各部門、崗位和人員獲取。（要求5.1.1c）3）制定并實(shí)施與安全策略和規(guī)程相適應(yīng)的大數(shù)據(jù)平臺(tái)和大數(shù)據(jù)應(yīng)用實(shí)施細(xì)則，包括外部數(shù)據(jù)資源整合、數(shù)據(jù)共享、數(shù)據(jù)發(fā)布等數(shù)據(jù)供應(yīng)鏈安全管理細(xì)則、合同要求及審核機(jī)制。（要求5.1.1.d）4） 建立策略及規(guī)程的評(píng)審、發(fā)布流程，并確定適當(dāng)?shù)念l率和時(shí)機(jī)對(duì)策略和規(guī)范進(jìn)行更新，以確保其持續(xù)的適宜性和有效性。（要求5.1.1e）f）c）技術(shù)工具：建立了數(shù)據(jù)安全策略及規(guī)程管理的技術(shù)工具，通過該技術(shù)工具面向組織機(jī)構(gòu)全體員工發(fā)布對(duì)策略及規(guī)范的解讀材料，以便于策略規(guī)范的落地推進(jìn)。（要求5.1.1c）d）d）

43、人員能力：1）負(fù)責(zé)數(shù)據(jù)安全頂層方針、策略制定的人員了解組織機(jī)構(gòu)的業(yè)務(wù)發(fā)展目標(biāo)，能夠?qū)?shù)據(jù)安全工作目標(biāo)和業(yè)務(wù)發(fā)展目標(biāo)進(jìn)行有機(jī)的結(jié)合。（要求5.1.1a）、5.1.2a）b）2）負(fù)責(zé)數(shù)據(jù)安全策略與規(guī)程編寫的人員掌握信息安全管理體系建設(shè)的知識(shí)，并具有專業(yè)的規(guī)范撰寫能力。（要求5.1.1a）、b）、c）、d）3）負(fù)責(zé)數(shù)據(jù)安全策略及規(guī)范推廣的人員能夠?qū)?shù)據(jù)安全管理的方針、策略和制度規(guī)范進(jìn)行準(zhǔn)確解讀，能夠以員工和相關(guān)方易理解的方式通過培訓(xùn)等形式進(jìn)行宣傳。（要求5.1.1c）6.2數(shù)據(jù)與系統(tǒng)資產(chǎn)a） 2.1數(shù)據(jù)資產(chǎn)1.2.1.1 數(shù)據(jù)安全過程域描述通過建立針對(duì)組織機(jī)構(gòu)數(shù)據(jù)資產(chǎn)的有效管理手段，從資產(chǎn)的類型、管

44、理模式方面實(shí)現(xiàn)統(tǒng)一的管理標(biāo)準(zhǔn)。1.2.1.2 數(shù)據(jù)安全能力基本實(shí)踐a）組織建設(shè)：設(shè)置數(shù)據(jù)安全的團(tuán)隊(duì)/崗位負(fù)責(zé)組織機(jī)構(gòu)統(tǒng)一的數(shù)據(jù)資產(chǎn)管理工作，主要負(fù)責(zé)對(duì)數(shù)據(jù)資產(chǎn)管理的規(guī)范制定和落地推動(dòng)，并由各業(yè)務(wù)團(tuán)隊(duì)的具體人員承擔(dān)各業(yè)務(wù)范圍內(nèi)的數(shù)據(jù)資產(chǎn)管理工作。（要求5.2.1.1a）b）c）d）e）b） 制度流程：1）制定數(shù)據(jù)資產(chǎn)的安全管理規(guī)范，明確數(shù)據(jù)資產(chǎn)的安全管理目標(biāo)和安全原則，管理規(guī)范明確了數(shù)據(jù)資產(chǎn)的登記制度，定義了數(shù)據(jù)資產(chǎn)的數(shù)據(jù)管理者和安全管理者在組織機(jī)構(gòu)中的角色定位和所應(yīng)承擔(dān)的職責(zé)，并提出數(shù)據(jù)資產(chǎn)的分類管理要求。（要求5.2.1.1a）c） ）2）建立數(shù)據(jù)資產(chǎn)分類分級(jí)方法和操作指南，以及數(shù)據(jù)資產(chǎn)分類

45、分級(jí)的變更審批流程和機(jī)制。（要求5.2.1.1b）3）建立數(shù)據(jù)資產(chǎn)清單，明確數(shù)據(jù)資產(chǎn)管理范圍和屬性。（要求5.2.1.1d）4）建立組織機(jī)構(gòu)內(nèi)部數(shù)據(jù)資產(chǎn)管理過程中需要數(shù)據(jù)管理者和安全管理者需要參與的審批流程，并清晰定期其在各流程中所承擔(dān)的審批職責(zé)。（要求5.2.1.1b）5）定期審核和更新數(shù)據(jù)資產(chǎn)安全管理相關(guān)的安全規(guī)范、操作細(xì)則。（要求5.2.1.1e）6）依據(jù)數(shù)據(jù)資產(chǎn)和數(shù)據(jù)主體安全分級(jí)要求建立相應(yīng)的標(biāo)記策略、訪問控制、數(shù)據(jù)加解密、數(shù)據(jù)脫敏等安全機(jī)制和管控措施。（要求5.2.1.2a）7）建立組織機(jī)構(gòu)業(yè)務(wù)所需的內(nèi)外部數(shù)據(jù)資產(chǎn)的安全治理原則和數(shù)據(jù)資源整合規(guī)范。（要求5.2.1.2b）c） 技術(shù)工

46、具：1）建立組織機(jī)構(gòu)統(tǒng)一的數(shù)據(jù)資產(chǎn)管理平臺(tái)，通過技術(shù)工具整體量化組織機(jī)構(gòu)內(nèi)部的數(shù)據(jù)資產(chǎn)情況，實(shí)現(xiàn)對(duì)數(shù)據(jù)資產(chǎn)的統(tǒng)一管理，包括但不限于標(biāo)識(shí)數(shù)據(jù)的數(shù)據(jù)管理者和安全管理者，數(shù)據(jù)資產(chǎn)等級(jí)，數(shù)據(jù)資產(chǎn)數(shù)據(jù)量，各等級(jí)的數(shù)據(jù)資產(chǎn)的分布情況等信息，從而便于數(shù)據(jù)管理人員進(jìn)行整體的數(shù)據(jù)資產(chǎn)現(xiàn)狀統(tǒng)計(jì)。（要求5.2.1.2c）2）量化數(shù)據(jù)管理者和安全管理者在相關(guān)數(shù)據(jù)安全流程中的參與情況，調(diào)整數(shù)據(jù)管理者和安全管理者的職責(zé)要求。（要求5.2.1.2a）d） 人員能力：具備對(duì)組織機(jī)構(gòu)內(nèi)部數(shù)據(jù)資產(chǎn)管理需求的理解，以及對(duì)數(shù)據(jù)資產(chǎn)所涉及業(yè)務(wù)范圍的整體概念的理解，能夠建立適用于組織機(jī)構(gòu)業(yè)務(wù)實(shí)際情況的可落地的管理制度。（要求4.2.1.

47、1 a）b）c）d）e）、要求5.2.1.2a）b）c）6.2.2系統(tǒng)資產(chǎn)6.2.2.1 數(shù)據(jù)安全過程域描述通過建立針對(duì)組織機(jī)構(gòu)內(nèi)部信息系統(tǒng)資產(chǎn)的有效管理手段，從資產(chǎn)的類型、管理模式方面實(shí)現(xiàn)統(tǒng)一的管理標(biāo)準(zhǔn)。6.2.2.2 數(shù)據(jù)安全能力基本實(shí)踐a）組織建設(shè)：設(shè)置專門的團(tuán)隊(duì)/崗位負(fù)責(zé)組織機(jī)構(gòu)統(tǒng)一的信息系統(tǒng)資產(chǎn)管理工作，主要負(fù)責(zé)對(duì)信息系統(tǒng)資產(chǎn)管理的規(guī)范制定和落地推動(dòng)，并由各業(yè)務(wù)團(tuán)隊(duì)的具體人員承擔(dān)各業(yè)務(wù)范圍內(nèi)的信息系統(tǒng)資產(chǎn)管理工作。（要求5.2.2.1a）、b）、c）、d）、e）b） 制度流程：1）制定信息系統(tǒng)資產(chǎn)的安全管理制度，明確信息系統(tǒng)資產(chǎn)安全管理目標(biāo)和安全原則、信息系統(tǒng)資產(chǎn)的全生命周期管理要求

48、、資產(chǎn)登記要求和分類標(biāo)記要求，并針對(duì)安全管理制度執(zhí)行定期審核和更新。（要求5.2.2.1a）、e）2）建立信息系統(tǒng)資產(chǎn)建設(shè)和運(yùn)營管理制度和機(jī)制，明確規(guī)劃、設(shè)計(jì)、采購、開發(fā)、運(yùn)行、維護(hù)及報(bào)廢等資產(chǎn)管理過程的安全要求。（要求5.2.2.1b）3）建立組織機(jī)構(gòu)內(nèi)的信息系統(tǒng)資產(chǎn)登記機(jī)制，形成整體的信息系統(tǒng)軟硬件資產(chǎn)清單，明確系統(tǒng)資產(chǎn)安全責(zé)任主體及相關(guān)方，并及時(shí)更新系統(tǒng)資產(chǎn)相關(guān)信息。（要求5.2.2.1c）4）建立和實(shí)施信息系統(tǒng)資產(chǎn)分類和標(biāo)記規(guī)程，使資產(chǎn)標(biāo)記易于填寫和依附在相應(yīng)的系統(tǒng)資產(chǎn)上。（要求5.2.2.1d）5） 建立信息系統(tǒng)資產(chǎn)更新、運(yùn)營風(fēng)險(xiǎn)評(píng)估和供應(yīng)鏈安全審查規(guī)程和制度。（要求5.2.2.2b

49、）c） 技術(shù)工具：1）針對(duì)易通過技術(shù)工具執(zhí)行資產(chǎn)登記、分類標(biāo)記的信息系統(tǒng)，實(shí)現(xiàn)自動(dòng)化的屬性標(biāo)識(shí)工作。（要求5.2.2.1d）2）組織機(jī)構(gòu)建立信息系統(tǒng)資產(chǎn)管理平臺(tái)，能夠通過技術(shù)工具整體量化組織機(jī)構(gòu)內(nèi)部的信息系統(tǒng)資產(chǎn)情況，包括但不限于整體的信息系統(tǒng)資產(chǎn)數(shù)量等信息，具備系統(tǒng)資產(chǎn)統(tǒng)一注冊、管理和使用監(jiān)控等能力，從而便于信息系統(tǒng)管理人員進(jìn)行整體的信息系統(tǒng)資產(chǎn)現(xiàn)狀統(tǒng)計(jì)。（要求5.2.2.2a）d）人員能力：負(fù)責(zé)組織機(jī)構(gòu)統(tǒng)一的信息系統(tǒng)資產(chǎn)管理工作的人員具備對(duì)組織機(jī)構(gòu)內(nèi)部信息系統(tǒng)資產(chǎn)管理需求的理解，以及對(duì)信息系統(tǒng)資產(chǎn)所涉及業(yè)務(wù)范圍的整體概念的理解，能夠建立適用于組織機(jī)構(gòu)業(yè)務(wù)實(shí)際情況的可落地的管理制度。（要求5

50、.2.2.1a）、b）、c）、d）、e）6.3 組織和人員管理6.3.1 組織管理6.3.1.1 數(shù)據(jù)安全過程域描述通過建立組織機(jī)構(gòu)內(nèi)部負(fù)責(zé)數(shù)據(jù)安全工作的職能部門及崗位，并明確職能部門及崗位承擔(dān)的數(shù)據(jù)安全責(zé)任，防范人員管理過程中存在的安全風(fēng)險(xiǎn)。6.3.1.2 數(shù)據(jù)安全能力基本實(shí)踐a） 組織建設(shè)：1）基于組織機(jī)構(gòu)的數(shù)據(jù)安全方針及策略，充分定義了組織機(jī)構(gòu)內(nèi)部正式的數(shù)據(jù)安全職能部1/崗位，數(shù)據(jù)安全的職能框架包括但不限于：（要求5.3.1.1a）、c）數(shù)據(jù)安全規(guī)范及標(biāo)準(zhǔn)：負(fù)責(zé)組織機(jī)構(gòu)內(nèi)數(shù)據(jù)安全相關(guān)的規(guī)范制度和詳細(xì)標(biāo)準(zhǔn)的制定，為組織機(jī)構(gòu)數(shù)據(jù)安全相關(guān)工作的開展提供依據(jù)和要求。數(shù)據(jù)安全技術(shù)及產(chǎn)品：負(fù)責(zé)組織機(jī)

51、構(gòu)內(nèi)數(shù)據(jù)安全技術(shù)的應(yīng)用、數(shù)據(jù)安全產(chǎn)品的開發(fā)和部署，建立整體的技術(shù)防護(hù)及應(yīng)急保障體系。數(shù)據(jù)安全監(jiān)控及審計(jì)：負(fù)責(zé)建立組織機(jī)構(gòu)內(nèi)的數(shù)據(jù)安全風(fēng)險(xiǎn)管理體系，對(duì)數(shù)據(jù)全生命周期的安全風(fēng)險(xiǎn)進(jìn)行審計(jì)，從風(fēng)險(xiǎn)的預(yù)防、發(fā)現(xiàn)、跟進(jìn)等環(huán)節(jié)實(shí)現(xiàn)對(duì)風(fēng)險(xiǎn)的有效管理。數(shù)據(jù)安全宣傳與促進(jìn)：負(fù)責(zé)面向組織機(jī)構(gòu)內(nèi)全體人員普及數(shù)據(jù)安全相關(guān)知識(shí)，通過多種形式推廣數(shù)據(jù)安全的風(fēng)險(xiǎn)防范思路和方法，提高組織機(jī)構(gòu)內(nèi)全體人員的數(shù)據(jù)安全意識(shí)，促進(jìn)數(shù)據(jù)安全工作的具體落地。數(shù)據(jù)安全合作與交流：負(fù)責(zé)與監(jiān)管機(jī)構(gòu)進(jìn)行持續(xù)的溝通，并在行業(yè)內(nèi)交流數(shù)據(jù)安全的實(shí)踐經(jīng)驗(yàn)、開展相關(guān)合作以促進(jìn)行業(yè)的整體發(fā)展。信息系統(tǒng)安全管理：負(fù)責(zé)信息系統(tǒng)的安全規(guī)劃、安全建設(shè)、安全運(yùn)營和系統(tǒng)維

52、護(hù)工作，實(shí)現(xiàn)基礎(chǔ)信息系統(tǒng)的安全管理。2）組織機(jī)構(gòu)層面建立數(shù)據(jù)安全領(lǐng)導(dǎo)小組，指定機(jī)構(gòu)最高管理者或授權(quán)代表擔(dān)任小組組長，并明確組長責(zé)任與權(quán)力。（要求5.3.1.1b）3）職能崗位設(shè)計(jì)時(shí)考慮了職責(zé)分離的原則，并建立組織機(jī)構(gòu)內(nèi)部監(jiān)督管理職能部門，對(duì)組織機(jī)構(gòu)內(nèi)部的數(shù)據(jù)安全管理的相關(guān)職能崗位的操作行為進(jìn)行安全監(jiān)督管理。（要求5.3.1.1d）4） 建立體系化的大數(shù)據(jù)安全管理機(jī)構(gòu)，組織機(jī)構(gòu)最高管理人員應(yīng)作為大數(shù)據(jù)安全領(lǐng)導(dǎo)小組組長，且配備必要的管理人員和技術(shù)人員。（要求5.3.1.2a）5） 設(shè)置專職的大數(shù)據(jù)服務(wù)安全崗位，建立規(guī)范化的大數(shù)據(jù)服務(wù)安全保護(hù)、評(píng)估及考核專職隊(duì)伍。（要求5.3.1.2b）b） 制度流

53、程：1） 制定數(shù)據(jù)安全職能的工作規(guī)范，以明確各職能崗位之間的協(xié)作關(guān)系，明確了各職能崗位的運(yùn)行配合機(jī)制。（要求5.3.1.1a）2）制定大數(shù)據(jù)安全追責(zé)制度，定期對(duì)責(zé)任部門和安全崗位組織安全檢查，形成檢查報(bào)告。（要求5.3.1.1e）c） 技術(shù)工具：在組織機(jī)構(gòu)通過技術(shù)工具以公開信息且可查詢的形式面向全員公布數(shù)據(jù)安全職能部門的組織架構(gòu)。（要求5.3.1.1a,5.3.1.2a）d） 人員能力：1） 負(fù)責(zé)執(zhí)行數(shù)據(jù)安全職能設(shè)置的人員能夠明確組織機(jī)構(gòu)的數(shù)據(jù)安全工作目標(biāo)。（要求1.1.1.1 a）2）能夠充分理解數(shù)據(jù)安全職能現(xiàn)狀，并具備基于職能運(yùn)作的效果有效調(diào)整職能設(shè)置的能力。（要求5.3.1.2a）、b）

54、6.3.2 人員管理6.3.2.1 數(shù)據(jù)安全過程域描述通過對(duì)人力資源管理過程中各環(huán)節(jié)的安全管理,有效降低對(duì)組織機(jī)構(gòu)內(nèi)部的員工和第三方員工的管理過程中存在的安全風(fēng)險(xiǎn)。6.3.2.2 數(shù)據(jù)安全能力基本實(shí)踐a） 組織建設(shè)：明確在人力資源管理過程中承擔(dān)數(shù)據(jù)安全管理職責(zé)的崗位，該崗位負(fù)責(zé)對(duì)數(shù)據(jù)安全需求的分析及落地方案的制訂和推進(jìn)。（要求5.3.2.1a）、b）、c）、d）、e）、f）、g）b） 制度流程：1）制定人力資源安全策略，明確不同崗位人員在數(shù)據(jù)生命周期各階段數(shù)據(jù)服務(wù)和系統(tǒng)服務(wù)相關(guān)的工作范疇和安全管控措施。（要求5.3.2.1a）2）制定大數(shù)據(jù)服務(wù)人員招聘、錄用、上崗、調(diào)崗、離崗、考核、選拔等人員

55、安全管理制度，將數(shù)據(jù)安全相關(guān)的環(huán)節(jié)固化到涉及的人力資源流程中。制度中明確要求在錄用重要崗位人員前對(duì)其進(jìn)行背景調(diào)查，確保符合相關(guān)的法律、法規(guī)、合同和道德要求，并與所有涉及大數(shù)據(jù)服務(wù)崗位人員簽訂安全責(zé)任協(xié)議；明確大數(shù)據(jù)服務(wù)重要崗位的兼職和輪崗、權(quán)限分離、多人共管等安全管理要求；建立在崗人員安全責(zé)任獎(jiǎng)懲管理機(jī)制，將員工在職期間在數(shù)據(jù)安全方面的義務(wù)和職責(zé)納入人力資源激勵(lì)和懲罰的范疇，并按照規(guī)定對(duì)造成大數(shù)據(jù)安全損失的人員給予相應(yīng)的處理，記錄并保存相關(guān)信息；在重要崗位人員調(diào)離或終止勞動(dòng)合同時(shí)，與其簽訂保密協(xié)議。（要求5.3.2.1b）、c）、d）、e）、g）3）制定第三方人員安全管理制度，對(duì)接觸個(gè)人信息、重要數(shù)據(jù)等數(shù)據(jù)的人員進(jìn)行審批和登記，并要求簽署保密協(xié)議，定期對(duì)這些人員行為進(jìn)行安全審查。（要求5.3.2.1f）4）明確關(guān)鍵崗位人員背景調(diào)查范圍，定期對(duì)關(guān)鍵崗位人