数据安全保障能力建设规划，从零基础到精通，收藏这篇就够了！

本文链接：https://blog.csdn.net/Javachichi/article/details/144653838

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

概况：

数据安全技术能力现状

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

企业数据安全技术能力现状

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

一、整体目标

坚持网络安全和信息化共同发展的理念，以保障本组织数据安全为核心，加强网络安全风险管理和运营保障能力，建立有效支撑数据安全的体系架构，提升安全监测、纵深防御、风险管控和应急响应能力，全面保障数据安全。通过“顶层设计、健全管理、创新技术、协同运营、夯实基础”的数据安全保障体系建设，做到安全规划全覆盖、安全管理上台阶、安全技术见实效、安全运行保稳定、基础设施稳支撑，形成具有主动防御和协同运营能力的数据安全保障体系。

二、整体框架

数据安全保障能力体系的设计，以国家的相关政策和国内外数据安全的标准规范和最佳实践为指导，参考国标《信息安全技术大数据服务安全能力要求》（GB/T 35274-2017），明确数据生命周期各个阶段应具有的安全能力要求，并借鉴国标《信息安全技术数据安全能力成熟度模型》（GB/T 37988-2019）的安全能力维度来进行安全规划与设计，主要包括数据安全战略保障、数据安全组织管理、数据安全制度规程、数据安全技术防护、数据安全运营保障等方面，框架如下所示：

外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传

2.1数据安全战略保障

数据安全战略保障是数据安全保障的顶层规划，是在遵循国家数据安全相关政策和国家标准的基础上，制定本组织的数据安全保护规章，约束和规范各业务环节中的行为基础；健全本组织数据安全相关标准及指南，引领和指导各级部门落实数据安全保障工作；明确数据安全总体策略和方针，在推进业务工作的同时，满足国家层面的数据安全管控要求，实现数据安全防护的总体目标，指导各部门数据安全建设工作的开展。

```
 **2.2数据安全组织管理**
```

**数据安全组织管理是落实数据安全保障工作的首要环节。**通过建立覆盖全组织的数据安全管理组织架构，确保数据安全管理方针、策略、制度规范的统一制定和有效实施。通过进一步完善各级部门的数据安全管理组织，建立“管用审”分离的数据安全岗位职责，明确分工，加强沟通协作，落实安全责任，把握每一个数据流通环节的管理要求，以完整而规范的组织体系架构保障数据流通每个环节的安全管理工作。培养具备一定安全技能的数据安全人才，切实建立保障安全运行、协同安全响应、监督指导安全工作的数据安全管理队伍。

```
 **2.3数据安全制度规程**
```

数据安全管理制度与规程是数据安全保障工作的制度保障，在实际业务的各个环节中明确具体的安全管理方式和方法，以规范化的流程指导数据安全管理工作的具体落实，**避免了实际业务流程中“无规可依”的场景，是数据安全管理工作实际操作中的办事规程和行动准则。****依据国家信息安全保障的相关政策法规以及本组织的数据安全管理的规章制度和标准规范，指导各部门在已有的信息安全管理体系的基础上，建立符合业务发展、基于风险管控的数据安全管理及内控体系。**数据安全制度规程应该覆盖业务管理和技术管理两大维度，重点加强数据资产管理、用户访问权限管理、数据共享管理、外包服务管理、监测预警与应急响应管理、日志与审计管理、数据备份与恢复管理等相关要求的制定和落实。

2.4数据安全技术防护

数据安全技术防护是数据安全保障工作的技术支撑，确保了管理制度的有效执行。指导各部门基于自身业务的开展情况，数据的防护策略，从物理环境、数据处理平台、重要业务终端等维度强化数据处理环境安全，通过内容分析技术、密码技术、数据防泄漏技术、数据脱敏技术和安全审计等数据安全技术的应用，切实保障数据采集/产生、数据传输、数据存储、数据处理、数据交换到数据销毁的全生命周期安全，为落实数据安全制度规程、实现数据安全防护的总体目标提供技术手段和工具，保障了管理制度要求在实际工作中切实得到了有效执行，同时为数据安全运营提供易于操作的技术工具，实现动态的数据安全风险管理。

```
**2.5数据安全运营保障**
```

数据安全运营保障是对数据生命周期活动过程的保障支撑，是未来开展数据服务业务的重要保障。通过加强本组织各成员单位的有效沟通，建立协同防御的安全机制，发挥已有的基础安全能力，加强安全监测与通报预警能力建设，确保数据共享交换以及未来的数据服务业务在可管理、可监视、可预见的状态下运行。数据安全运营保障需要做好数据安全的态势感知、预警监测、应急响应工作，同时加强对各部门和数据服务提供商（云平台服务商、大数据服务商等）的持续监督管理，有效落实安全事件调查取证和追责，对数据服务业务运行过程中的安全风险进行有效的管控。

三、数据安全保障能力建设详细内容

3.1战略保障体系

3.1.1 建立数据分类分级标准

为数据资产管理和防护提供指导规范，确保各部门在管理本部门数据以及开展数据安全防护工作时，实现对数据正确分类和分级，在有效促进数据资产利用的同时，确保数据安全。

3.1.2制定个人信息保护管理规定

为了支撑《数据安全法》、《个人信息保护法》的落地，规范对公民个人信息的合法采集和使用，明确规范组织范围内各部门、各成员单位在对公民个人信息收集、存储、处理、使用和披露等各个环节的安全要求，确保公民个人信息的安全。

3.1.3制定数据出境安全管理办法

规范本组织各部门合规开展数据出境业务服务，确保数据能够在境外得到充分和合理的保护，避免出境数据对国家安全、经济发展、社会公共利益和个人信息主体权益造成不利影响。

3.1.4制定数据共享交换安全管理办法

强化本组织数据资源共享交换的网络安全管理，切实保障数据资源共享交换时的数据安全。

3.1.5建立数据全生命周期的安全管控策略

建立覆盖数据生命周期各个阶段的安全管控策略，为各部门制定数据安全管理制度规程，建设技术防护措施提供指导依据。

3.2 组织管理体系

3.2.1完善数据安全组织架构

设计适应本组织未来发展的数据安全管理组织架构，确定各级部门的数据安全管理职责，提出各级数据管理机构的工作重点，确保数据安全管理方针、策略、制度的有效实施，实现对全组织数据安全风险的有效管理和监督。

3.2.2落实数据安全岗位职责

设计完善各部门数据安全相关岗位并明确职责，将各项管理制度规程进行有效的落地和执行。

3.2.3加强人员安全管理与教育培训

加强内部人员安全管理，防止内部人为因素导致的数据安全事件发生。提高全体工作人员的安全意识，加强数据安全管理人员能力水平，为业务系统安全运行和数据安全提供人力保障。

3.3制度规程体系

管理制度不仅是落在纸面上的规定，更是要落实在组织内部的实际工作中，在各个业务环节、工作流程中切实按照管理制度的规定要求开展工作，才是真正意义上实现安全管理。在安全管理制度的编制中，一是要明确相关工作的责任部门和责任人，即明确每项工作由谁来负责；二是规定要求清晰易懂，明确应该做什么，不允许做什么，例外情况是什么；三是要明确奖惩措施。

3.3.1信息系统与数据资产管理

建立业务系统和业务数据的有效管理手段，从数据资产的类型、管理模式方面实现统一的管理标准。

3.3.2用户访问权限管理

建立统一授权管理制度，实现对用户权限的标准化授权管理。

3.3.3数据共享安全管理

通过对数据共享过程的规范化管理，对于法律法规、规章和政策要求共享的数据予以安全保护，防止数据在共享过程中造成个人信息、商业秘密、国家重要数据等重要敏感数据的泄露。

3.3.4外包服务数据安全管理

规范外包服务数据的使用，约束外包服务行为，确保在外包服务期间，数据的安全可控。

3.3.5监测预警与应急响应管理

规范系统数据安全通报预警和应急响应工作流程，提高各部门数据安全预警、防范和应急水平。

3.3.6日志管理与安全审计

建立日志信息采集与管理规范，确保各类日志能够及时、完全归档，及时发现设备与系统的故障，提高信息系统运行的可靠性。通过安全审计措施，落实各管理制度和规范的执行情况，保障安全管理和流程发挥真正的作用。

3.3.7数据备份与恢复管理

建立数据的备份与恢复管理制度，通过定期开展数据复制、备份和恢复操作，保障数据的可用性和可靠性，以满足业务系统的业务连续性要求。

3.3.8数据归档安全管理

建立数据归档的管理制度，规范数据归档的流程和安全保护措施，实现对归档数据的有效保护。

3.4 技术防护体系

3.4.1数据处理环境安全

3.4.1.1 加强物理环境安全

强化物理环境安全保障机制、包括机房物理环境安全、敏感岗位办公环境安全隔离等安全要求。

3.4.1.2 加强敏感办公终端保护

强化对大量接触敏感数据敏感岗位的办公终端的安全保护，降低由于终端恶意软件的攻击，病毒传播及人为故意或误操作造成的安全事件发生的可能性。

3.4.1.3 加强云安全防护能力

构建云安全保障体系，保障云平台为全组织各级部门提供安全可靠的计算和存储能力，满足各部门使用统一的基础设施服务、数据库服务、应用服务、安全服务的需求。

3.4.1.4 推动业务应用安全上云

规范和推动本组织范围内业务应用安全上云，利用云平台的集约化防护能力，为各级部门提供安全可靠的计算和存储资源，减轻各部门系统运维人员的管理压力，提升管理效能。

3.4.1.5 落实网络安全等级保护制度

认真贯彻落实网络安全等级保护制度，通过在组织范围内，开展信息系统网络安全等级保护工作，进一步解决信息系统面临的威胁和存在的主要网络安全问题，通过建立安全保护制度，建设安全保护基础设施，加强安全保护技术措施建设，落实安全责任，有效保护基础网络和重要信息系统的安全保护能力。

3.4.2 数据生命周期安全

3.4.2.1 数据产生/采集阶段的安全技术措施

在数据产生/采集阶段需要通过技术手段实现对系统产生或采集到的数据进行类型和安全等级的标识，加强对数据质量的控制，并确保数据资产管理制度的有效执行。

3.4.2.2 数据传输阶段安全技术措施

在数据传输阶段需要确保数据在传输过程中的机密性和完整性，保障数据传输通道的可靠性。防止明文数据传输时，被第三方截获等安全风险所带来的数据泄露和篡改风险，以及数据接收方或发送方对身份的抵赖。

3.4.2.3 数据存储阶段安全技术措施

在数据存储阶段需要通过技术手段保障存储数据的机密性、完整性和可用性，防止商业秘密、个人隐私等敏感数据被泄露，重要数据被破坏和丢失，并确保相关管理制度的有效执行。

3.4.2.4 数据处理阶段安全技术措施

通过对数据处理过程的安全控制，保障数据在授权范围内被访问和处理，防止数据遭窃取、泄露和损坏，并确保相关管理制度的有效执行。

3.4.2.5 数据交换阶段安全技术措施

确保数据共享交换管理办法的有效执行，确保各部门通过数据共享交换平台向第三方提供数据时的合规性和安全性，防范敏感数据的泄露。

3.4.2.6 数据销毁阶段安全技术措施

落实数据销毁的相关规定，保证磁盘等数据存储介质中存储的数据被永久删除、不可恢复。

3.5运营保障体系

3.5.1加强网络安全态势感知与通报预警能力

根据国家和行业主管部门对数据安全监测预警和信息通报的相关要求，建立态势感知与通报预警平台，为网络与数据安全纵深防御、安全运营和应急管理提供支撑，形成可视化的安全态势感知能力。

3.5.2提高数据安全协同防御和应急指挥能力

加强各部门、外部配合单位、业务关联单位的有效沟通，充分地发挥协同防御能力，构建应急指挥体系，缩短信息系统紧急恢复的时间，减少因信息系统突发事件造成的业务数据损失和业务功能的缺失，实现网络安全保障工作从被动防御型向主动保障型、从传统经验型向流程规范型的转变。

3.5.3落实安全事件调查取证和追责机制

实现对发生的数据安全事件进行有效追溯，对相关责任人进行责任追究。

3.5.4提高数据安全和数据服务监管能力

加强对各部门数据安全检查，确保各部门数据安全保障能力的持续改进。加强对第三方数据服务机构的持续监管，确保服务提供商按照国家相关政策法规及约定的合同义务履行其职责。

3.5.5 借力专业服务形成风险管理闭环

引入第三方专业安全服务，加强对信息系统的风险管理能力，降低发生数据安全事件发生可能性和潜在影响。

四、数据安全保障能力建设落实

4.1总体规划

数据安全保障能力建设按照统筹规划、分步实施、分阶段见成效的原则，同步考虑“急用先行、重点突破、成熟可控、持续改进”的实施路线，形成两个阶段的工作目标以及重点任务。

4.2组织领导

数据安全领导小组是全组织数据安全建设的领导机构，负责全组织数据安全规划以及项目建设和管理，组织各级部门有序开展数据安全保障工作，为数据安全保障体系建设提供基础保障。

4.3技术支撑

转变传统安全技术理念，开展广泛的合作，建立与国家网络安全主管部门、专业安全服务机构的交流与合作，引进和吸收业界在云计算、大数据等领域的安全实践经验，梳理适用于本组织业务环境的安全技术保障措施，为推进数据安全保障工作提供技术支撑。

4.4人才保障

制定数据安全人才培养和培训计划，加强工作人员的安全意识教育，开展形式多样的数据安全知识和技能培训，解决信息技术人员不懂业务、业务人员不懂安全技术的问题，为信息安全人才创造良好的发展成长环境与机制，培养一支业务熟、技术精、素质高的专业化数据安全管理和技术服务队伍。

4.5资金保障

建立数据安全经费保障制度，将数据安全经费纳入本单位年度财务预算。

五、数据安全人员能力要求

数据安全治理是一个复合型的工作，所需要配备的人员也需要具有多方面的能力。数据安全的人员能力主要包括数据安全管理能力、数据安全运营能力、数据安全技术能力数据安全合规能力。请见《数据安全能力建设实施指南》。

5.1数据安全管理能力

如何建设完整的数据安全体系，做好数据安全管理是面临的第一大问题。数据安全管理能力包含：

M1 熟悉国家网络安全法律法规及组织所属行业的政策和监管要求，了解行业内数据安全建设的最佳实践路径；

M2 具备良好的业务发展战略判断能力，能够通过平衡业务需求和法律风险进行战略思考并提供实用建议；

M3 熟悉组织的业务特性，能根据业务的发展变化，制定或调整组织的数据安全策略；

M4 能够基于组织的数据安全策略，编制相关的制度体系文件，对业务过程进行规范指导；

M5 在隐私保护、数据安全风险管理、审计合规等相关领域至少3年以上的管理经验；

M6 具备组织内跨部门的管理协调能力，能够调动其他部门资源配合落地相关的数据安全控制机制；

M7 具备数据安全管理团队的组件及人才梯队建设的能力；

M8 具备数据安全应急指挥能力，对业务过程中发生的数据安全问题，能够准确判断快速组织相关人员进行应急处置；

M9 了解组织业务及数据特性，在各业务部门有针对性的落实数据安全策略和抑制措施；

M10 具备与国家单位、行业监管机构及合作伙伴之间的沟通协调能力，能利用外部资源协助组织数据安全体系的建设；

M11 具备良好的数据安全风险意识。

5.2数据安全运营能力

数据安全建设是一个长期持续的过程，需要在组织内持续性落实数据安全相关制度和流程，并基于组织的业务变化和技术发展不断调整和优化，安全也是一个不断螺旋上升的过程，因此需要做好数据安全运营工作。数据安全运营能力包括：

O1 具备数据安全策略、制度规程及技术工具在组织内部的推广落地能力；

O2 具备利用相关技术工具，对组织业务运营过程中的数据安全风险进行监测、识别、预警和处置的能力；

O3 具备对组织现有数据安全控制措施的有效性进行识别和判断的能力；

O4 具备对员工进行数据安全培训和安全意识教育的能力。

5.3数据安全技术能力

数据安全的实现，需要技术和工具平台的支撑，来完成安全管控措施的构建，从而实现数据安全能力的建设。数据安全领域的技术人员需具备一下能力：

T1 熟悉国内外主流的数据安全产品和工具，对数据防泄露、脱敏工具、数据溯源、加密平台等，能够准确判断当前组织所需的最佳实践，并深入和落地应用；

T2 在数据安全全生命周期中，能评估潜在数据安全风险，如数据业务风险、数据风控风险、隐私保护风险等，并能制定有效、合理降低数据风险的解决方案；

T3 在数据安全架构设计时，能够贴合业务和合规场景，覆盖数据在全生命周期中的保护；

T4 能对敏感数据流动做好审计工作，具备风险排查能力，快速处置数据的篡改和泄露等风险；

T5 能对当前数据安全体系进行技术验证，如白盒、灰盒和黑盒等安全测试和对抗，从而让数据安全防御形成一个持续迭代更新的良性循环系统；

T6 需要自研或平台型的组织，应熟悉数据安全技术发展，了解国内外前沿的数据安全和隐私保护技术，如加密技术、差分隐私和UEBA等，能在恰当时期引入组织需要的技术，从而降低数据安全和隐私保护的风险。

5.4数据安全合规能力

在数据安全领域，国内外越来越多的法律法规、标准逐步出台，合规工作成了数据安全领域建设的底线。如何保障合规要求准确识别，并形成内部规章指导合规落地工作，主要具备的能力包括：

C1 熟悉国内外数据安全和隐私保护的法律、政策和行业标准，并精通适用于本组织业务开展所必须遵守的法律、政策和标准内容；

C2 能够依据外部合规要求，建立覆盖组织的数据安全和隐私保护的管理体系和机制，并推动多方参与，落地执行；

C3 能够与组织内采购、供应商管理以及法律等部门合作，确保合作伙伴执行统一的标准，使得合同和操作层面的协议、数据安全和隐私保护管理计划，复合国内外数据安全政策与法规要求；

C4 能够与业务、法务和风险等部门协作，发现的隐私合规问题，并制定纠正措施和计划，定期进行评审。

5.5 人员能力与组织架构的映射

数据安全组织架构中各个层级能力要求，如下表所示：

组织架构	管理能力	运营能力	技术能力	合规能力
策略层	M1、M2、M3、M6、M7、M10	O1	T2、T3	C1、C2
管理层	M1、M2、M3、M4、M5、M6、M7、M8、M9、M11	O1、O4	T1、T3	C1、C2、C3、C4
执行层（运营）	M1、M6、M8、M9、M11	O1、O2、O3、O4	T1、T2、T3、T4	C1、C4
执行层（技术）	M1、M6、M8、M9、M11	O2、O3	T1、T2、T3、T4、T5、T6	C1、C4
监督层	M1、M2、M3、M4、M5、M6、M7、M8、M9、M11	O3、O4	T1、T4、T5	C1、C4
员工合作伙伴	M11	/	/	/