最具影响力的数字化技术在线社区

168大数据

 找回密码
 立即注册

QQ登录

只需一步,快速开始

1 2 3 4 5
开启左侧

《数据安全能力成熟度模型》实践指南:合规管理

[复制链接]
发表于 2021-3-19 19:17:51 | 显示全部楼层 |阅读模式

马上注册,结交更多数据大咖,获取更多知识干货,轻松玩转大数据

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
作者: 美创科技安全实验室

2019年8月30日,《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)简称DSMM(Data Security Maturity Model)正式成为国标对外发布,并已于2020年3月起正式实施。

DSMM将数据按照其生命周期分阶段采用不同的能力评估等级,分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级,依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级,形成一个三维立体模型,全方面对数据安全进行能力建设。



在此基础上,DSMM将上述6个生命周期进一步细分,划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段,部分过程域贯穿于整个数据生命周期。



随着《中华人民共和国数据安全法(草案)》的公布,后续DSMM很可能会成为该法案的具体落地标准和衡量指标,对于中国企业而言,以DSMM为数据安全治理思路方案选型,可以更好的实现数据安全治理的制度合规。

"本系列文将以DSMM数据安全治理思路为依托,针对上述各过程域,基于充分定义级视角(3级),提供数据安全建设实践建议,本文作为本系列第二十二篇文章,本文将介绍通用安全过程域的合规管理过程域(PA22)。"

01、定义

合规管理,DSMM官方描述定义为跟进组织需符合的法律法规要求,以保证组织业务的发展不会面临个人信息保护、重要数据保护、跨境数据传输等方面的合规风险。

DSMM标准在充分定义级对合规管理要求如下:

组织建设

应在组织层面设立了专职负责个人信息保护、重要数据保护、跨境数据传输等方面的安全合规的岗位和人员,负责明确组织在个人信息保护、重要数据保护、跨境数据传输等方面的安全合规需求,制定数据安全合规的规范要求和解决方案,推进其在组织整体范围内的执行。

制度流程

1)应明确组织所有的外部合规要求并形成清单,能够定期通过跟进监管机构合规要求的动态对该清单进行更新,同时将其拆分发送给相关方以进行宣贯;

2)应依据个人信息保护相关法律法规和标准等的要求,制定组织统一的个人信息保护制度,建立符合国家法律法规和相关标准的个人信息保护能力;

3)应依据相关法律法规及相关标准屮对重要数据的保护要求,建立组织统一的重要数据全生存周期保护的制度和管控措施;

4)应依据相关法律法规和相关标准屮对数据跨境传输的安全要求,明确组织统一的数据跨境安全制度和管控措施;

5)应针对组织内部因业务架构、组织职能变更而引发的重要数据流向变化建立了有效的变更管控机制,以控制重要数据流向变化时可能引发的合规风险;

6)应定期对重要数据安全策略、规范、制度和管控措施进行风险评估,并及时响应。

技术工具

1)应建立数据安全合规资料库,相关人员可以通过该资料库查询合规要求;

2)应采取必要的技术手段和控制措施实现个人信息安全保护,例如在个人信息处理过程中进行匿名化、去标识化;

3)应建立重要数据监控机制,防范重要数据安全事件。

人员能力

负责该项过程的人员应具备对个人信息保护、重要数据保护、跨境数据传输等方面的安全合规要求的解读和分析能力。

02、实践指南

组织建设

进行数据安全合规管理的目的,是建立数据安全合规文化和有效的合规风险预防、预警及监督机制,从而避免组织因违反需要符合的国内外法律、行业监管指引、制度、规范等而导致的风险。因而在合规管理上,组织层面首先应设立专职负责个人信息保护、重要数据保护、跨境数据传输等方面的安全合规岗位,并基于各岗位职责,分别明确组织在个人信息保护、重要数据保护、跨境数据传输等方面的安全合规需求,并由各岗位的专职负责人员对其各自职责领域负责制定基于合规需求的数据安全合规的规范要求和解决方案,并将相关规范要求和解决方案推进在组织整体范围内的执行落地。

人员能力

基于上述组织建设岗位划分,对应岗位将包含个人信息保护、重要数据保护、跨境数据传输等方面的专职人员,此类人员在能力上应具备以下要求:

1、了解对应岗位相关数据保护法律法规;

2、对上述法律法规具备解读、自我分析理解、组织需求匹配能力,可确定组织的合规需求覆盖面;

3、能够根据法规要求和组织合规覆盖面针对性输出基于合规需求的数据安全合规规范要求和解决方案,并具有一定安全运营能力,可将对应规范要求、解决方案以符合组织内部流程、人员可接受的传达方式落地并执行。

落地执行性确认

针对组织数据安全合规管理能力的实际落地执行性确认,与上述各数据安全生命周期确认方式类似,可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。

制度流程

1)合规管理目的

合规管理是组织数据安全最基础的能力层面和底线,也是组织维持长期稳定运营的先决条件,通过进行数据安全合规管理,依据法律法规及相关标准中对重要数据的保护要求,建立组织统一的符合性管理规范,包括但不限于个人信息保护、重要数据保护、跨境数据传输等方面的安全合规需求,确保组织数据安全合规行,并对相关方宣贯合规要求的内容,以保证组织整体合规意识的提升。

2)明确合规覆盖面

要进行合规管理,组织应首先确认其合规覆盖面,即组织所涉及的数据安全保护合规范围总和。

根据现有分类,数据安全合规要求包含个人信息保护、重要数据保护、数据跨境传输管理、互联网信息内容管理、区块链信息服务管理、商业数据保护、行业数据监管等。

组织数据安全合规管理人员应首先明确与组织相关的合规覆盖面,确认组织应遵守的数据安全保护合规范围,从而基于该范围总和明确组织所有的外部合规要求并形成检查清单。

3)检查清单构建

明确组织合规覆盖面后,应建立一份当前组织需要遵照的外部合规要求清单,并实时跟踪外部合规要求的发布、预研,保持清单的持续更新。

组织外部合规检查清单应充分采纳外部合规要求,从而确保组织遵守该检查清单可有效避免合规问题。以个人信息保护为例,其涉及的合规要求如下图所示,包含法律法规、部门规章、司法解释、其他规范性文件以及国家/行业标准等。



4)定期评估与变更控制管理

在确定外部合规检查清单条目内容后,组织数据安全合规管理相关人员应对组织内部进行基于该检查清单的定期检查,定期对重要数据安全策略、规范、制度和管控措施进行风险评估,并及时响应,从而确保组织数据安全合规的常态性。

制定全年检查计划,建立常规检查、专项检查、事件驱动检查相结合的方式,100%覆盖数据 安全风险检查标准库;专项检查围绕数据安全域,包括数据采集安全、数据传输安全、数据处理安全、数据交换安 全以及通用安全域。

同时应对外部检查清单进行按期更新,并关注组织内部数据相关变更,针对组织内部因业务架构、组织职能变更而引发的重要数据流向变化建立有效的变更管控机制,以控制重要数据流向变化时可能引发的合规风险。

为达成该目标,组织应成立变更控制管理虚拟团队,变更控制管理虚拟团队一般至少包含各数据流动相关业务技术负责人、业务项目经理或产品经理、管理层CTO以及上述各数据安全合规管理专职人员,该虚拟团队将定期进行业务变更对合规影响的评估,当涉及数据流动的业务出现变更需求且更改流向将影响原有合规范围或要求时,该虚拟团队将通过评审确定变更范围、影响因素以及变更后合规控制建议,从而实现合规检查与实际业务变动的与时俱进更新。

5)跨境数据安全管控

当前,越来越多的国家已经或正在制定适合本国国情的数据跨境流动政策,但在出台目的(国家安全、执法需要、个人数据保护和国内数字经济产业保护)、适用范围(例如个人数据、行业数据、其他重要数据)、严格程度方面(如要求本地存储和处理、本地存有副本或有条件出境)存在着较大差异,因此若组织数据流动涉及数据跨境,则应针对性确认跨境方对应法律法规,并依据相关要求进行跨境数据安全管控管理规范以及解决方案的输出、宣贯与落地执行。

6)考核规范

流程的落地、制度的遵守永远离不开对相关业务人员的指标确定以及相关考核,因而在数据安全合规管理过程中,也要建立一套适用的整改和考核规范,用于指导检查发现和整改情况的跟踪、报告管理、问题管理等。

技术工具简述

针对组织数据安全合规管理的技术落地,主要涉及三方面:

建立数据安全合规资料库,相关人员可以通过该资料库查询合规要求:知识库系统;

应采取必要的技术手段和控制措加实现个人信息安全保护,例如在个人信息处理过程中进行匿名化、去标识化:数据脱敏;

建立重要数据监控机制,防范重要数据安全事件:制度检查流程跟踪系统。

技术工具的方法和原理

1)知识库系统

知识库系统,全称知识库管理系统(Knowledge base management system,KBMS),主要是用来管理我们常用的一些知识文档、图纸、视频和音频等信息内容。

知识库管理系统通常由如下四部分组成:

知识库使用关系型数据库来存放知识,包括事实与规则。
搜索模块实现知识库和推理机之间的知识搜索和与传递。
查询模块实现推理机对知识库的知识查询。
一致性、完整性检查模块在知识库中的知识发生变动时对知识库中的知识进行一致性、完整性检查。

2)数据脱敏

数据脱敏技术通过将敏感数据进行数据的变形,为用户提供虚假数据而非真实数据,实现敏感隐私数据的可靠保护。这样就可以在开发、测试和其它非生产环境以及外包环境中安全地使用脱敏后的真实数据集,既保护了组织的敏感信息不泄露,又达到了挖掘数据价值的目标。

关于数据脱敏技术的具体描述,我们已在《数据脱敏》的技术工具部分进行过详细描述,此处不再赘述。

3)制度检查流程跟踪系统

制度检查流程跟踪系统,旨在建立一套检查跟踪系统,实现检查计划制定、检查实施、报告管理、问题跟踪等全过程的电子化管理,并将检查发现和整改情况纳入问题管理流程。实现方式可基于组织现有的OA系统内制定一套新审批流程,将数据安全合规管理相关计划制定、检查实施、报告管理、问题跟踪等全过程管控点进行细分,并设计到各环节的流程交付物中,仅在该环节流程交付物完整时才可进行下一环节审批,从而实现制度流程全周期材料的规范化留存,并可以在该过程中随时掌握当前检查的问题改进、管理进度,实时介入可能存在潜在风险的延期、误判等。

楼主热帖
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

关于我们|小黑屋|Archiver|168大数据 ( 京ICP备14035423号|申请友情链接

GMT+8, 2024-3-29 17:01

Powered by BI168大数据社区

© 2012-2014 168大数据

快速回复 返回顶部 返回列表