PA19介质销毁处置
过程域设定背景和目标
这部分主要是考虑到存储介质需要被替换掉或淘汰掉不再使用,对存储介质进行彻底的物理销毁,保 证数据无法复原,以免造成信息泄露,尤其是国家涉密数据。
过程域具体标准要求解读
l 制度流程:
——介质销毁方法介绍,如捣碎法/剪碎法、焚毁法。
——介质销毁审批流程:主要针对重要数据,销毁的合理性和必要性评估;
——数据销毁监督流程:设置销毁相关监督角色,监督操作过程,并对审批和销毁过程进行记录控制;
——数据销毁指南:针对不同介质所存储数据的具体销毁方法和技术,比如针对网络存储、闪存、硬盘、磁带、光盘等存储数据所应采用的数据销毁的方法和技术,建立网络数据分布式存储的销毁策略与机制。
过程域充分定义级实施指南
l 技术工具参考:
——捣碎法/剪碎法:破坏实体的储存媒体,让数据无法被系统读出,也是确保数据机密性与安全性的方法之一。采用实体捣碎的方式,让数据储存媒体残骸,无法被有心人士利用。比如, 某些大型企业会将储存数据的光盘片,进行大型机器捣碎、绞碎的动作。
——焚毁法:几乎每一个需要汰换的储存媒体最终都会面临,藉由焚毁让数据真正化为灰烬,永 久不复存在。有的企业甚至要求主管部门领导必须亲临现场监督旧数据焚毁状况与进度,落实数据保全的最后一步。
l 标准参考:
——BMB21-2007《涉及国家秘密的载体销毁与信息消除安全保密要求》
——GB∕T 35274-2017《信息安全技术 大数据服务安全能力要求》6.6 节“数据销毁”
通用安全
- PA20数据安全策略规划
- 过程域设定背景和目标
基于组织业务发展需要,对当前组织面临的数据安全风险现状进行梳理并制定整体的规划,着眼于未 来,是需要高管参与讨论和制定的。数据安全工作不是某个业务或部门的单方面的事,需要整个组织所有 部门都参与进来,要平衡与业务发展的冲突,自上而下的推动,才可能保证落到实处和效果。
过程域具体标准要求解读
l 制度流程: ——数据安全策略是顶层的,要从组织级层面通盘考虑,所以需要组织的高管参与共同制定;既 不能对当前业务发展有严重影响,也要考虑到业务长远发展需要,所以需要高层讨论商定取 得合理的平衡;
——数据安全方针和策略,需明确数据对组织的价值和意义,应该以数据为核心围绕数据做工作, 而不是其他诸如信息系统或研发技术等; ——策略规划的编写、评审、发布如果没有流程规范,容易导致组织内各业务部门获取不到最新 版本,或者理解偏差,所以需要统一的发布窗口或路径,以及解读和宣贯,以确保策略的有 效性和及时性;
l 技术工具: ——运营管理技术工具,是为了方便方针策略的发布有统一和唯一的官方渠道,保证版本内容最
新最准准确,且在组织内传达和推广高效,更便于策略规范的落地推进。
过程域充分定义级实施指南
l 制度流程 参考 :
主要有两份输出:数据安全方针政策和数据安全策略规划,及其编写、评审和发布等方面。
-
方针政策:是对组织级数据安全管理的基本原则和办法,可以结合数据安全总纲从目标、
原则、监管合规、数据生命周期、数据资产和分类分级定义,及相关违规处罚等方面进行 描述; -
策略规划:需要周期性地输出数据安全能力战略规划,比如半年度/年度/三年/五年等; 另外,数据安全策略的编写、评审、发布及更新,要明确到具体责任团队和责任人,可以由数据 安全管理团队牵头编写,并由高管组成的数据管理委员会评审和批准发布。
案例参考:
案例 1:《 XXX公司信息安全管理方针和策略》关键内容: -
信息安全管理目标
-
内部环境
-
外部环境
-
信息安全管理体系
-
领导力和管理承诺
-
应对风险和机会措施
案例 2:《 xxx公司数据安全总体规范》关键内容:
- 数据安全管理目标
- 数据安全基本原则
- 数据安全监管合规
- 数据生命周期安全管理
- 数据资产和系统资产
- 数据分类和分级
- 数据安全违规处分
l 技术工具 参考:
- 建立一个网站平台即可,也可以考虑在内部OA系统有专门板块向组织全体员工发布数据安全 策略规划,以及相应落地解读材料,以便于策略规范的落地推进。
l 标准参考
——GB∕T 35274-2017《信息安全技术 大数据服务安全能力要求》5.1 节“策略与规程”
人力资源安全
过程域设定背景和目标
组织的数据安全策略、制度流程和技术工具等 层级及不同来源的员工,在不同场景下直接和间接 合人力资源部在员工的招聘/引进、入职、转岗 人本身问题导致的数据安全风险。
推进落地终究离不开人的执行,组织内不同部门、不等
地接触数据资产,所以风险始终存在于人身上,需要联 /调岗、离职等各个环节设置相应的风险控制措施,以降低
过程域具体标准要求解读
l 制度流程: ——数据安全在员工方面的风险,人力资源部要配合高管建立和优化组织级的数据安全管理部门 和岗位设置,引进数据安全专业人才,并配合数据安全管理部门在人力资源管理过程关键环节推行数据安全管理措施,以及安全文化宣导和安全意识提升等; ——对组织内员工类型进行合理分类,比如正式员工、外包员工、试用期员工、实习生,其他兼 职和外聘人员等,以及不同层级和职位,以方便数据安全策略在相不用类型及不同层级的员工之间进行风险控制; ——人力资源部需要制定不同类型员工激励和处罚的制度,并将员工在职期间在数据安全方面的义务和职责纳入人力资源激励和惩罚的范畴。
l 技术工具: ——数据安全控制措施要和人力资源管理系统相结合,尽可能做到线上审批流程必须的审批或确
认步骤; ——向组织全体员工公示的内容包括数据安全策略、数据安全管理制度、数据安全管理团队和业
务部门负责人,以及数据安全违规处罚等。
过程域充分定义级实施指南
l 制度流程参考:
可以分别从以下各方面考虑人力资源的制度规范,
- 组织内各职能部门和岗位之间涉及数据安全相关工作的协作关系,运行配合要求。
- 招聘:员工候选人背景调查,根据法律法规、行业道德准则要求等方面进行;
- 培训:对新入职和在岗员工进行定期或不定期的数据安全制度和意识宣贯。
- 考核:根据不同层级和岗位的数据安全的考核或考评要求;
- 转岗:在职期间转岗的工作交接,权限回收及已落到办公终端本地的数据清理等;
- 离职:提出离职到正式离职期间工作交接,权限回收和已落到办公终端本地的数据清理等, 离职后的竞业协议协商和签署等;
- 激励和处罚:将员工在职期间在数据安全方面的义务和职责纳入人力资源激励和惩罚的范畴;
技术工具参考:
可以考虑两类主要工具,
- 人力资源管理系统,在招聘、入职、转岗/调岗、离职,以及培训考试和绩效考核等子系统 或环节,将数据安全控制要求植入,作为必须的审批或确认步骤;
- 和数据安全策略公布一样,有独立网站或在内部 OA系统设置专门板块,向组织全体员工发 布数据安全策略、管理制度、数据安全管理团队及业务部门负责人等。
l 标准参考
——GB∕T 35274-2017《信息安全技术 大数据服务安全能力要求》5.3 节“组织与人员管理”