8.6 数据处理环境安全
8.6.1 概 述
根据组织内部数据处理过程面临的安全威胁,建立适用的数据处理环境建立安全保护机制,确保数据处理过程的安全管控和技术支撑。
8.6.2 等级要求
8.6.2.1 基础级
从组织建设、制度流程方面进行要求。
a)组织建设:应设置相关工作岗位和人员负责数据处理环境安全工作,配合推动相关要求的执行。
b)制度流程:应明确核心业务的数据处理环境安全管理要求,制定满足核心业务数据安全要求的对处理环境的相关规定,如数据使用环境、数据开发测试环境下的环境安全。
8.6.2.2 优秀级
在基础级的等级要求基础上,从组织建设、制度流程、技术工具、人员能力方面进行强化。
a)组织建设:
1)应设立组织层面的部门、岗位和人员,负责制定各业务场景数据处理环境的安全原则和要求;
2)各业务团队应明确相关人员负责数据处理环境安全管控实施工作。
b)制度流程:
1)应针对数据处理环境的系统设计、开发和运维阶段制定相应的安全控制措施,实现对安全风险的管理;
2)应明确数据处理环境的安全管理要求;
3)应基于数据处理环境需求,建立分布式处理安全要求,对外部服务组件注册与使用审核、分布式处理节点间可信连接认证、节点和用户安全属性周期性确认、数据文件标识和用户身份鉴权、数据副本节点更新检测及防止数据泄漏等方面进行安全要求和控制。
c)技术工具
1)应基于核心业务场景、数据重要性等,对数据、系统功能、运营环境等资源实现隔离控制;
2)应建立数据处理日志管理工具,记录用户在数据处理系统上的加工操作;
3)应建立处理过程中的数据防泄漏技术工具,防止数据处理过程中的敏感数据的泄露。
d)人员能力:
1)应了解在数据环境下的数据处理系统的主要安全风险,并能够在相关的系统设计、开发阶段通过合理的设计以及运维阶段的有效配置规避相关风险;
2)应定期对人员进行培训,考核人员能力与岗位的匹配程度。
8.6.2.3 先进级
在优秀级的等级要求基础上,从制度流程、技术工具方面进行强化。
a)制度流程:应规定数据处理环境安全的量化评估方式,可实现数据处理环境设计阶段和运维阶段的安全手段不断优化。
b)技术工具:
1)应建立数据分布式处理节点的服务组件自动维护和管控措施,包括虚假节点监测、故障用户节点确认和自动修复的技术机制;
2)应建立不同环境下的数据防泄漏技术工具。
8.6.3 评估方法
8.6.3.1 基础级
根据基础级要求,从组织建设、制度流程方面进行查验。
a)查验业务团队是否明确了负责本业务数据处理环境安全的岗位和人员。
b)查验是否在核心业务层级制定了数据处理环境安全相关制度文件:
1)查验该文件是否明确了数据处理过程中的身份鉴别、访问控制等要求;
2)查验该文件是否规定了数据在不同使用场景下的环境安全;
3)查验该文件是否规定了终端环境的管理要求。
8.6.3.2 优秀级
根据优秀级要求,从组织建设、制度流程、技术工具、人员能力方面进行查验。
a)查验组织是否设立了负责数据处理环境安全的部门、岗位和人员。
b)查验是否在组织层级制定了数据处理环境安全相关制度文件:
1)查验该文件是否明确了系统设计、开发、运维阶段的安全控制措施;
2)查验该文件是否规定了身份鉴别、访问控制、安全配置等环境管理要求;
3)查验该文件是否规定了终端环境的管理规范;
4)查验该文件是否规定了分布式处理场景下的环境安全要求。
c)查验组织的技术工具:
1)具备数据处理的日志管理工具;
2)具备数据处理过程的防泄漏工具;
3)支持不同业务场景下的资源隔离控制。
d)验证组织的人员能力:通过访谈、查验培训记录、查验考试记录或查验相关人员制定的解决方案等方式,验证组织的人员具备相应的能力。
8.6.3.3 先进级
根据先进级要求,从制度流程、技术工具方面进行查验。
a)查验组织是否明确了数据处理环境安全的量化评估方式:
1)是否定义了量化评估指标;
2)是否规定了量化评估频率。
b)查验组织的技术工具:
1)是否支持终端、网络、应用、数据库等不同环境下的数据防泄漏工具;
2)是否支持分布式处理节点的服务监测与修复。
8.7 数据内部共享安全
8.7.1 概 述
通过对组织的数据内部共享进行安全性管理,防止数据内部共享中可能对数据自身的可用性和完整性构成的危害,降低可能存在的数据泄漏风险。
8.7.2 等级要求
8.7.2.1 基础级
从组织建设、制度流程、技术工具、人员能力方面进行要求。
a)组织建设:应设置相关岗位和人员负责对数据内部共享执行安全管理。
b)制度流程:应建立核心业务数据内部共享原则、范围、安全制度或审批流程。
c)技术工具:应采取技术措施记录组织的数据内部共享行为,确保数据内部共享行为可追溯。
d)人员能力:应具备对数据内部共享业务的理解能力,掌握数据内部共享规程,并能够针对具体场景提出有效的解决方案。
8.7.2.2 优秀级
在基础级的等级要求基础上,从组织建设、制度流程、技术工具、人员能力方面进行强化。
a)组织建设:应设立数据内部共享安全管理部门、岗位和人员,负责制定规则和提供技术能力,配合推动相关要求的执行。
b)制度流程:
1)应依据数据分类分级要求建立了符合业务规则的数据内部共享安全策略,如授权策略、流程控制策略、不一致处理策略等;
2)应建立数据内部共享安全评估和授权审批流程,评估数据内部共享的安全风险,并对大量或敏感数据的内部共享进行授权审批;
3)在采用存储介质及设备导出数据的情况下,应建立针对导出存储介质及设备的标识规范,明确存储介质及设备的命名规则、标识属性等重要信息,定期验证导出数据的完整性和可用性;
4)应制定数据内部共享审计策略和日志管理规程,并保存内部共享过程中的出错数据处理记录;
5)应建立数据内部共享清单,定期对各项数据内部共享进行安全审查。
c)技术工具:
1)应采用审计工具记录并定期审计组织内部的数据内部共享行为,避免超出数据授权使用范围;
2)应对数据内部共享终端设备、用户或服务组件执行有效的访问控制,保障其身份的真实性和合法性;
3)在内部共享完成后对数据内部共享通道缓存的数据进行删除,以保证内部共享过程中涉及的数据不会被恢复;
4)应建立对导出生产系统的敏感数据进行脱敏、溯源的技术能力。
d)人员能力:
1)应能够充分理解组织的数据内部共享规程,并根据数据内部共享的业务执行相应的风险评估,从而提出实际的解决方案;
2)定期开展数据内部共享规程等相关培训,考核人员能力与岗位的匹配程度。
8.7.2.3 先进级
在优秀级的等级要求基础上,从制度流程、技术工具方面进行强化。
a)制度流程:应定期评估内部共享服务组件和内部共享通道的安全性,对数据内部共享的风险控制方案进行持续的优化调整。
b)技术工具:
1)应建立统一的数据内部共享管理系统,提示数据内部共享的安全风险并进行在线审核;
2)应配置规范的数据内部共享机制或服务组件,明确数据内部共享域最低安全防护要求;
3)应监控并记录数据的流转过程,能够及时发现异常情况,具备预警、溯源排查、精确定位等能力。
8.7.3 评估方法
8.7.3.1 基础级
根据基础级要求,从组织建设、制度流程、技术工具、人员能力方面进行查验。
a)查验业务团队是否明确了负责本业务数据内部共享安全的岗位和人员。
b)查验是否在核心业务层级制定了数据内部共享安全相关制度文件:
1)查验该文件是否明确了数据内部共享的原则、范围、审批流程、共享流程等;
2)查验该文件是否规定了内部共享的安全策略。
c)查验组织的技术工具:是否支持共享行为的日志记录功能。
d)验证组织的人员能力:通过培训记录、考试记录,验证组织的人员能力。
8.7.3.2 优秀级
根据优秀级要求,从组织建设、制度流程、技术工具、人员能力方面进行查验。
a)查验组织是否设立了负责数据内部共享安全的部门、岗位和人员。
b)查验是否在组织层级制定了数据内部共享安全相关制度文件:
1)查验该文件的制定是否结合了组织数据分类分级策略;
2)查验该文件是否建立了符合业务规则的内部数据共享安全策略,如授权策略、流程控制策略等;
3)查验该文件是否明确了使用存储介质导出数据时的管理规范及操作规程;
4)查验该文件是否规定了内容共享审计和日志管理策略;
5)查验该文件是否规定了内部共享的授权审批及安全评估流程,尤其当存在大量或敏感数据共享的场景;
6)查验该文件是否规定建立数据内部共享清单。
c)查验组织的技术工具:
1)是否具备数据内部共享清单;
2)是否支持对共享两侧的设备、用户、系统之间的身份鉴别与访问控制;
3)是否支持内部共享的风险评估;
4)是否对导出的敏感数据采取了脱敏措施;
5)是否支持对导出数据文件的溯源;
6)是否支持共享通道的缓存删除。
d)验证组织的人员能力:通过访谈、查验培训记录、查验考试记录或查验相关人员制定的解决方案等方式,验证组织的人员具备相应的能力。
8.7.3.3 先进级
根据先进级要求,从制度流程、技术工具方面进行查验。
a)查验组织是否明确了数据内部共享安全管理效果的量化评估方式:
1)是否定义了共享服务组件、共享通道的量化评估指标;
2)是否规定了共享服务组件、共享通道的量化评估频率。
b)查验组织的技术工具:
1)是否建立了统一的数据内部共享管理系统;
2)提供配置规范的服务组件和共享机制;
3)是否支持共享流转过程的监控记录。
8.8 数据外部共享安全
8.8.1 概 述
根据组织对外提供或交换数据的需求,建立有效的外部共享数据的安全防护措施,以降低数据共享场景下的安全风险。
8.8.2 等级要求
8.8.2.1 基础级
从组织建设、制度流程、人员能力方面进行要求。
a)组织建设:应设置相关工作岗位和人员负责对数据外部共享、外部合作等场景的数据共享方案执行安全风险管控,明确数据服务提供者与共享数据使用者的数据保护责任。
b)制度流程:
1)应明确数据外部共享的原则、范围和安全规范,明确数据外部共享内容范围和数据外部共享的管控措施,及数据外部共享涉及机构或部门相关用户职责和权限;
2)应与数据外部共享方签署保密和合作协议,明确数据的使用目的、供应方式、保密约定、数据安全责任等;
3)应明确向第三方共享个人信息时的操作规范,包括告知个人第三方相关信息,并取得个人同意等。
4)应保证共享内容符合数据合规和监管要求,明确数据挖掘和应用范围。
c)人员能力:应具备对数据外部共享业务场景的理解能力,能够结合合规性要求给出适当的安全解决方案。
8.8.2.2 优秀级
在基础级的等级要求基础上,从组织建设、制度流程、技术工具、人员能力方面进行强化。
a)组织建设:应在组织层面设立数据外部共享交换安全管理的部门、岗位和人员,负责相关原则和技术能力的提供,配合推动相关要求的执行。
b)制度流程:
1)应制定数据外部共享的原则及数据保护措施,尤其是个人信息的外部共享,确保数据使用的相关方具有对共享数据的足够的保护能力,从而保障数据共享安全策略的有效性;
2)应明确数据外部共享审计规程和审计日志管理要求,明确审计记录要求,为数据外部共享安全事件的处罝、应急响应和事后调查提供帮助;
3)应明确数据接口安全控制策略,明确规定使用数据接口的安全限制和安全控制措施,如身份鉴别、访问控制、授权策略、签名、时间戳、安全协议等;
4)应明确共享的数据留存期限,并提供有效方式,证明数据的销毁情况。
c)技术工具:
1)应采取措施保障个人信息在委托处理、共享、转让等对外提供场景的安全合规,如数据脱敏、数据加密、安全通道、共享交换区域等;
2)应对外部共享数据及数据外部共享过程进行监控审计,避免超范围共享;
3)应对跨安全域间的数据接口调用采用安全通道、加密传输、时间戳等安全措施;
4)应支持对外共享场景下的数据溯源技术。
d)人员能力:
1)应能充分理解组织的数据外部共享规程,并根据数据外部共享的业务执行相应的风险评估,从而提出实际的解决方案;
2)应能充分理解数据接口调用业务的使用场景,具备充分的数据接口调用的安全意识、技术能力和风险控制能力;
3)应定期对人员进行培训,考核人员能力与岗位的匹配程度。
8.8.2.3 先进级
在优秀级的等级要求基础上,从制度流程、技术工具方面进行强化。
a)制度流程:
1)应定期评估数据外部共享机制、接口组件和共享通道的安全性,对数据共享的风险控制方案进行持续的优化调整;
2)在数据外部共享时,应对数据接收方的数据安全防护能力开展评估工作。
b)技术工具
1)应跟进数据加密和共享通道加密保护的技术发展,评估新技术对安全方案的影响,适当引入新技术以应对最新的安全风险;
2)应建立长线的数据外部共享溯源能力;
3)应对数据外部共享接口进行异常监控及自动化处理。
8.8.3 评估方法
8.8.3.1 基础级
根据基础级要求,从组织建设、制度流程、人员能力方面进行查验。
a)查验业务团队是否明确了负责本业务数据外部共享安全的岗位和人员。
b)查验是否在核心业务层级制定了数据外部共享安全相关制度文件:
1)查验该文件是否明确了数据外部共享的原则、范围、审批流程、共享流程、审计流程等;
2)查验该文件是否规定了数据外部共享的安全策略;
3)查验该文件是否明确了与外部共享方的保密合作协议;
4)查验该文件是否明确了共享安全合规评估机制;
5)查验该文件是否明确了个人信息对外共享的操作规范,以符合国家法律法规和监管要求。
c)验证组织的人员能力:通过培训记录、考试记录,验证组织的人员能力。
8.8.3.2 优秀级
根据优秀级要求,从组织建设、制度流程、技术工具、人员能力方面进行查验。
a)查验组织是否设立了负责数据外部共享安全的部门、岗位和人员。
b)查验是否在组织层级制定了数据外部共享安全相关制度文件:
1)查验该文件的制定是否结合了组织数据分类分级策略;
2)查验该文件是否明确了分组织机构、分共享场景的外部数据共享安全策略;
3)查验该文件是否规定了对数据共享需求、共享范围、共享内容、共享流程的审核控制机制;
4)查验该文件是否规定了共享操作的审计规范及日志规范;
5)查验该文件是否规定了共享双方的安全责任;
6)查验该文件是否明确了数据共享接口的安全控制策略;
7)对个人信息的对外共享提出了明确要求,以符合国家法律法规和监管要求;
8)明确了数据共享接口的安全控制策略。
c)查验组织的技术工具:
1)是否支持对外共享场景下的数据溯源技术,如数字签名、数字水印;
2)是否支持个人信息在不同场景下的共享安全防护;
3)是否支持对共享过程的监控审计;
4)是否实现了对数据接口调用的安全管控。
d)验证组织的人员能力:通过访谈、查验培训记录、查验考试记录或查验相关人员制定的解决方案等方式,验证组织的人员具备相应的能力。
8.8.3.3 先进级
根据先进级要求,从制度流程、技术工具方面进行查验。
a)查验组织是否明确了数据外部共享安全管理效果的量化评估方式:
1)是否定义了量化评估指标;
2)是否规定了量化评估频率。
b)查验组织是否明确了数据接收方的数据安全防护能力定期评估机制。
c)查验组织的技术工具:
1)是否支持引入新的加密技术,并能够进行引入风险评估;
2)是否支持数据外部共享长线溯源能力;
3)是否支持对共享接口异常的有效监控,并实现自动关停。
8.9 数据销毁安全
8.9.1 概 述
通过制定数据销毁机制,实现有效的数据删除管控,防止因对存储介质中的数据进行恢复而导致的数据泄漏风险。
8.9.2 等级要求
8.9.2.1 基础级
从组织建设、制度流程、技术工具、人员能力方面进行要求。
a)组织建设:应设置相关工作岗位和人员负责核心业务的数据销毁和存储介质销毁工作。
b)制度流程:应规定核心业务数据销毁方案和存储介质销毁方案,包括销毁原则、操作流程、以及有效性验证标准。
c)技术工具:
1)应采用技术工具对核心业务存储介质的数据内容进行擦除销毁。在必要时能够采用物理销毁的形式销毁核心业务的存储媒体;
2)应采用数据销毁技术手段,保证删除数据的不可恢复。
d)人员能力:应具备针对销毁需求制定对应的销毁方案的能力,能够明确判断存储媒体销毁的必要性。
8.9.2.2 优秀级
在基础级的等级要求基础上,从组织建设、制度流程、技术工具、人员能力方面进行强化。
a)组织建设:
1)应设立负责数据销毁管理的部门、岗位和人员,负责制定数据销毁处置规范、媒体销毁管理的制度,明确销毁对象和流程,配合推动相关要求的执行;
2)应设置数据销毁监督角色,监督数据销毁过程。
b)制度流程:
1)应依照数据分类分级建立数据销毁、存储介质销毁策略和管理制度,明确数据销毁和存储媒体销毁的场景、销毁对象、销毁方式和销毁结果;
2)应建立规范的数据销毁、存储介质销毁流程和审批机制,对审批和销毁过程进行记录控制;
3)针对不同的存储介质,应建立针对性的销毁流程和检验标准;
4)应按国家相关法律和标准销毁个人信息等敏感数据;
5)应明确已共享或者已被其他用户使用的数据销毁管控措施。
c)技术工具:
1)应针对存储数据、存储介质等,建立硬销毁和软销毁的销毁方法和技术;
2)应配置必要的数据销毁技术手段与管控措施,确保以不可恢复的方式销毁敏感数据及其副本内容;
3)应提供存储介质销毁工具,包括但不限于物理销毁、消磁设备等工具;
4)数据资产管理系统应能够对数据的销毁需求进行明确的标识,并可通过该系统提醒数据管理者及时发起对数据的销毁。
d)人员能力:应能够定期接受安全培训,熟悉数据销毁的相关合规要求,能够根据需求使用相应的数据销毁技术、媒体销毁工具。
8.9.2.3 先进级
在优秀级的等级要求基础上,从制度流程、技术工具方面进行强化。
a)制度流程:
1)应定期审核数据存储合理性,并及时根据法律法规和最新合同的要求,对销毁的整体方案进行及时更新;
2)应明确数据销毁、媒体销毁效果的量化评估指标和机制,定期对销毁效果进行抽样认定。
b)技术工具:
1)应持续更新组织的数据销毁、存储媒体销毁工具,以保证销毁的效果;
2)应提供销毁记录归档手段,记录销毁过程及验证结果。
8.9.3 评估方法
8.9.3.1 基础级
根据基础级要求,从组织建设、制度流程、技术工具、人员能力方面进行查验。
a)查验业务团队是否明确了负责本业务数据销毁安全和存储介质销毁安全的岗位和人员。
b)查验是否在核心业务层级制定了数据销毁和存储介质销毁相关制度文件:
1)查验该文件是否明确了数据销毁的原则、流程、方式、工具、有效性验证等;
2)查验该文件是否规定了存储介质的销毁机制和管控措施。
c)验证组织的技术工具:
1)是否支持对存储介质的擦除;
2)是否支持对涉及核心业务的存储介质进行物理销毁;
3)是否实现了不可恢复的数据销毁。
d)验证组织的人员能力:通过培训记录、考试记录,验证组织的人员能力。
8.9.3.2 优秀级
根据优秀级要求,从组织建设、制度流程、技术工具、人员能力方面进行查验。
a)查验组织的部门、岗位和人员:
1)是否设立了负责数据销毁安全部门、岗位和人员;
2)是否设置的数据销毁的监督人员。
b)查验是否在组织层级制定了数据销毁安全相关制度文件:
1)查验该文件的制定是否结合了组织的数据分类分级制度;
2)查验该文件是否规定了数据销毁流程、销毁场景、销毁原因、销毁方式、销毁工具、销毁对象等;
3)查验该文件是否规定了数据销毁的审批机制;
4)查验该文件是否规定了个人信息的销毁安全保护措施,以符合国家法律法规和监管要求;
5)查验该文件是否明确了第三方存储的销毁规范;
6)查验该文件是否明确了已外部共享的数据的销毁机制。
c)查验是否在组织层级制定了存储介质的销毁机制和管控措施:
1)查验该文件是否明确了对存储不同重要性内容的各类介质的销毁方法;
2)查验该文件是否规定了不同的销毁措施(硬销毁和软销毁等);
3)查验该文件是否规范了登记、审批、交接等介质销毁流程;
4)是否规定了销毁后的核验和资源回收措施。
d)查验组织的技术工具:
1)是否具备销毁工具;
2)是否提供存储介质销毁工具;
3)是否支持销毁效果验证;
4)是否支持销毁过程日志记录。
e)验证组织的人员能力:通过访谈、查验培训记录、查验考试记录或查验相关人员制定的解决方案等方式,验证组织的人员具备相应的能力。
8.9.3.3 先进级
根据先进级要求,从制度流程、技术工具方面进行查验。
a)查验组织是否明确了数据销毁安全管理效果的量化评估方式:
1)是否定义了量化评估指标;
2)是否规定了量化评估频率。
b)查验组织是否明确了数据销毁安全的优化工作机制:是否支持根据法律法规和合同要求,更新优化销毁方案。
c)查验组织的技术工具:
1)是否支持销毁工具的迭代更新;
2)是否支持销毁过程的日志记录及结果验证。
9 基础安全
9.1 数据分类分级
9.1.1 概 述
根据法律法规以及业务需求明确组织内部的数据分类分级原则及方法,并对数据进行分类分级标识。
9.1.2 等级要求
9.1.2.1 基础级
从组织建设、制度流程方面进行要求。
a)组织建设:应设置相关岗位和人员负责核心业务的数据分类分级。
b)制度流程:
1)应根据业务特性和外部合规要求,对核心业务的数据进行分类分级管理;
2)应定义组织内部核心业务的数据资产的分类分级方法,能够提供业务数据资产被合理正确的标识。
9.1.2.2 优秀级
在基础级的等级要求基础上,从组织建设、制度流程、技术工具、人员能力方面进行强化。
a)组织建设:组织应设立负责数据安全分类分级工作的部门、岗位和人员,主要负责定义组织整体的数据分类分级的安全原则,配合推动相关要求的执行。
b)制度流程:
1)应结合数据类型特点、业务运营需求等,明确数据分类分级原则、方法和操作指南;
2)应对组织的数据进行分类分级标识和管理,建立数据保护清单;
3)应对不同类别和级别的数据建立相应的访问控制、数据加解密、数据脱敏等安全管理和控制措施;
4)应明确数据分类分级变更审批流程和机制,通过该流程保证数据分类分级的变更操作及其结果符合组织的要求。
c)技术工具:
1)应建立数据分类分级工具,保证组织数据分类分级管理的准确性和一致性;
2)应具备对数据分类分级结果进行标识的技术手段;
3)应具备数据分类分级策略变更的监控手段。
d)人员能力:
1)负责该项工作的人员应了解数据分类分级的合规要求,能够识别哪些数据属于敏感数据;
2)组织的数据安全教育培训中包含了对数据分级分类管理安全要求的宣贯内容;
3)应定期对人员进行培训,考核人员能力与岗位的匹配程度。
9.1.2.3 先进级
在优秀级的等级要求基础上,从制度流程、技术工具方面进行强化。
a)制度流程:
1)规定了数据分类管理效果的量化评估方式;
2)规定了数据分级管理效果的量化评估方式。
b)技术工具:
1)通过建立数据资产的分类分级工具,保证组织数据的分类分级准确性和一致性,能够自动化的对分类分级后的数据进行量化统计;
2)应建立相应的技术手段,保证一定类别和一定敏感级别的数据在被使用时不被泄露。
9.1.3 评估方法
9.1.3.1 基础级
根据基础级要求,从组织建设、制度流程方面进行查验。
a)查验业务团队是否明确了负责本业务数据分类分级的岗位和人员。
b)查验是否在核心业务层级制定了数据分类分级相关制度文件:
1)查验该文件是否明确了不同类别不同级别数据的安全管理要求;
2)查验该文件是否定义了数据资产的标识规范。
9.1.3.2 优秀级
根据优秀级要求,从组织建设、制度流程、技术工具、人员能力方面进行查验。
a)查验组织是否设立了负责数据分类分级工作的部门、岗位和人员。
b)查验是否在组织层面制定了数据分类分级相关制度文件:
1)查验该文件的制定是否考虑了国家法律法规和监管要求;
2)查验该文件的制定是否结合了业务需求、数据的重要性、敏感程度以及安全防护需求;
3)查验该文件是否定义了分类分级的原则、方法、操作指南等;
4)查验该文件的制定是否完整覆盖组织的业务需求及数据全生命周期的处理活动;
5)查验该文件是否明确了分类分级策略实施及变更流程;
6)查验该文件是否对分类分级数据设置了不同的安全管理要求及技术保障措施,如数据加密、数据脱敏、数据备份与恢复、访问控制权限等技术能力和措施。
c)查验组织技术工具:
1)是否支持数据的分类分级;
2)是否建立了数据分类分级保护清单;
3)是否支持对分类分级策略变更的监控;
4)是否支持分类分级数据的打标。
d)验证组织的人员能力:通过访谈、查验培训记录、查验考试记录或查验相关人员制定的解决方案等方式,验证组织的人员具备相应的能力。
9.1.3.3 先进级
根据先进级要求,从制度流程、技术工具方面进行查验。
a)查验组织是否明确了数据分类分级管理效果的量化评估方式:
1)是否定义了分类、分级的量化评估指标;
2)是否规定了分类、分级的量化评估频率。
b)查验组织的技术工具:
1)是否支持数据资产的自动分类分级;
2)是否支持分类分级结果数据的量化统计。
9.2 合规管理
9.2.1 概 述
根据组织内部的业务需求和业务开展场景,明确相关法律法规要求,通过制定管理措施降低组织面临的合规风险。
9.2.2 等级要求
9.2.2.1 基础级
从组织建设、制度流程、人员能力方面进行要求。
a)组织建设:应设置相关工作岗位和人员,根据业务需求开展合规管理工作。
b)制度流程:应明确个人信息保护、跨境数据传输等方面的数据安全合规管理制度规范。
c)人员能力:负责该项工作的人员应基本理解个人信息保护、跨境数据传输等方面的安全合规要求。
9.2.2.2 优秀级
在基础级的等级要求基础上,从组织建设、制度流程、技术工具、人员能力方面进行强化。
a)组织建设:应设置负责个人信息保护、跨境数据传输等方面的安全合规的部门、岗位和人员,负责制定组织及业务的数据安全合规的规范要求和解决方案,配合推动相关要求的执行。
b)制度流程:
1)应依据组织或机构所适用的相关法律法规及标准规范的要求,建立统一的个人信息保护、跨境数据传输等方面的管理制度;
2)应在个人信息采集、使用、存储、共享、跨境数据传输等核心环节设置相应的管控措施和流程,对个人信息合规使用提供有效保护;
3)应通过员工入职安全意识培训、全员安全意识培训、安全意识宣贯海报、安全周等方式加强组织内部员工在个人信息保护、隐私合规等方面的安全意识,并对产品、开发、客服等重要部门的相关岗位人员开展安全合规专项培训;
4)应明确组织的外部合规要求并形成清单,能够定期通过跟进监管机构合规要求的动态对该清单进行更新和宣贯;
5)应在业务功能上线、个人数据共享、跨境数据传输等关键环节实施前开展合规风险评估。
c)技术工具:
1)能够采取技术手段和控制措施实现个人信息的安全保护,例如在个人信息处理过程中进行匿名化、去标识化;
2)建立有对个人信息的监控机制,防范数据安全事件发生;
3)建立合规要求清单,支持清单的定期更新。
d)人员能力:
1)负责该项工作的人员能够对个人信息保护、跨境数据传输等方面的安全合规要求的进行解读和分析,能够识别核心业务中存在的风险,并可基于业务实际情况制定和推进数据安全合规方案;
2)能够依据外部合规要求,建立覆盖组织的数据安全和隐私保护的管理体系和机制,并推动多方参与,落地执行;
3)应定期对人员进行培训,考核人员能力与岗位的匹配程度。
9.2.2.3 先进级
在优秀级的等级要求基础上,从制度流程、技术工具方面进行强化。
a)制度流程:
1)应建立整改和考核规范,用于指导发现和整改情况追踪、报告管理、问题管理等;
2)应规定发生数据安全合规事件的量化方式,通过数据指标定义安全事件风险的严重程度。
b)技术工具:
1)建立可量化的合规情况评估体系,将合规结果上报管理层,以保证对组织整体的合规运行情况得到有效了解;
2)能够基于针对个人信息保护、数据跨境传输的风险进行监控,定期审核相关操作记录,统计安全风险发生情况;
3)建立合规资料库或提供外部合规资料库查询渠道。
9.2.3 评估方法
9.2.3.1 基础级
根据基础级要求,从组织建设、制度流程、人员能力方面进行查验。
a)查验业务团队是否明确了负责本业务合规管理的岗位和人员。
b)查验是否在核心业务层级制定了数据合规管理的相关制度文件:
1)查验该文件是否明确了用户个人信息和核心业务数据保护的合规要求;
2)查验该文件是否明确了数据跨境传输的合规要求;
3)查验该文件是否明确了合规评估流程。
c)验证组织的人员能力:通过培训记录、考试记录,验证组织的人员能力。
9.2.3.2 优秀级
根据优秀级要求,从组织建设、制度流程、技术工具、人员能力方面进行查验。
a)查验组织是否设立了负责合规管理的部门、岗位和人员。
b)查验是否在组织层面制定了合规管理相关制度文件:
1)查验该文件的制定是否参考了法律法规、标准规范、监管要求;
2)查验该文件是否明确了个人信息保护、跨境数据传输等在数据全生命周期的合规管理要求;
3)查验该文件是否明确要求建立合规清单,定期进行更新和宣贯;
4)查验该文件是否规定了合规培训的计划;
5)查验该文件是否明确了合规性评估的业务场景;
6)查验该文件是否规定了合规性评估的具体内容,如数据安全风险情况、数据合规使用提供情况、数据安全保障措施配备情况与完善程度;
7)查验该文件是否规定了合规性评估的开展时机、频次等内容。
c)查验组织的技术工具:
1)是否记录了各业务场景的数据安全合规性评估报告;
2)是否支持对个人信息使用过程的合规监控机制,以及使用过程的安全保护;
3)是否建立了可定期更新的合规要求清单。
d)验证组织的人员能力:通过访谈、查验培训记录、查验考试记录或查验相关人员制定的解决方案等方式,验证组织的人员具备相应的能力。
9.2.3.3 先进级
根据先进级要求,从制度流程、技术工具方面进行查验。
a)查验组织是否明确了合规管理效果的量化评估方式:
1)是否定义了量化评估指标;
2)是否规定了量化评估的时机、频率。
b)查验组织是否明确了合规管理的优化工作机制:
1)是否明确了合规管理的考核规范;
2)是否明确了评估后的整改措施及复核机制。
c)查验组织的技术工具:
1)是否具备合规风险的自动监控预警能力;
2)是否建立了数据合规资料库。
9.3 合作方管理
9.3.1 概 述
通过建立组织的合作方管理机制,防范组织对外合作中的数据安全风险。
9.3.2 等级要求
9.3.2.1 基础级
从组织建设、制度流程、人员能力方面进行要求。
a)组织机构:应设置相关岗位和人员,负责对合作方进行管理,监督合作方是否遵守其企业内部的数据安全流程。
b)制度建设:组织内核心业务与组织外机构开展数据合作时,应以合同、协议等方式明确数据的使用目的、使用范围、保密约定、安全责任等内容。
c)人员能力:
1)合作方管理负责人能够清晰理解组织数据安全管理目标,理解与合作方签订的数据安全合作条款的内容,合作方需要承担的安全责任,以及常规安全流程;
2)负责该项过程的人员应具备对具体数据合作场景的风险评估能力。
9.3.2.2 优秀级
在基础级的等级要求基础上,从组织建设、制度流程、技术工具、人员能力方面进行强化。
a)组织建设:应明确负责合作方管理的部门、岗位和人员,推动合作方管理相关制度文件的落地实施。
b)制度流程:
1)应明确数据安全主管部门、人力资源部门、合作方管理部门等的联动机制,对合作方引入、现场工作等环节进行管理,明确规范及监督流程。
2)应建立组织内通用的合作方管理规范,至少包括合作方安全管理要求、组织内部数据资源及网络环境接入要求、开发及运维管理要求、组织内部的审核原则、风险评估等;
3)应明确针对合作方的安全管理制度,对接触个人信息等数据的人员进行审批和登记,并要求签署保密协议,定期对相关人员行为进行安全审查。
c)技术工具:
1)应建立合作方管理平台,对合作方的接入、审批、权限管理、人员培训等内容进行统一管理;
2)应建立对合作方的风险评估工具,支持业务开展前的风险评估。
d)人员能力:
1)应了解组织数据合作方的整体情况,熟悉合作方安全方面的法规和标准,并具备推进合作方管理方案执行的能力;
2)应具备对个人信息保护、跨境数据传输、数据共享风险等方面的理解能力和开展数据共享安全风险评估的能力;
3)应定期对人员进行培训,考核人员能力与岗位的匹配程度。
9.3.2.3 先进级
在优秀级的等级要求基础上,从制度流程、技术工具方面进行强化。
a)制度流程:
1)应建立对合作方的持续化监控和应急处理流程,对合作方数据安全治理能力、安全合规事件等进行记录和应急响应;
2)能够定期对数据合作方数据活动的安全风险和数据合作方的数据安全管理能力进行评估;
3)应建立组织整体的数据合作方库,用于管理数据合作方目录、清单和相关数据源数据字典,便于及时查看并更新合作方的整体情况,并用于事后追踪分析数据合作方合规情况;
4)组织整体的数据合作方管理方案能够根据国内外数据合作方管理领域的监管动态和行业时间进行及时调整。
5)应规定合作方管理效果的量化评估方式,通过数据指标定义合作方管理的安全效果。
b)技术工具:
1)应建立合作方管理资料库,相关人员可以通过该资料库查询合作方评估考核情况;
2)应能对合作方在开展合作过程中数据安全治理能力、安全合规情况、数据保护能力进行持续化监控;
3)应建立应急响应机制,对合作过程中数据安全事件及时响应。
9.3.3 评估方法
9.3.3.1 基础级
根据基础级要求,从组织建设、制度流程、人员能力方面进行查验。
a)查验业务团队是否明确了负责本业务合作方管理的岗位和人员。
b)查验是否对核心业务的数据合作制定了合作方管理的相关制度文件:
1)查验该文件是否明确了合作方的数据使用目的、保密约定等;
2)查验合作方签署的合同、协议是否对数据内容的使用目的、使用范围、安全责任、安全保护措施等进行了规定。
c)验证组织的人员能力:通过培训记录、考试记录,验证组织的人员能力。
9.3.3.2 优秀级
根据优秀级要求,从组织建设、制度流程、技术工具、人员能力方面进行查验。
a)查验组织是否设立了负责合作方管理的部门、岗位和人员。
b)查验是否在组织层面制定了相关合作方管理制度文件:
1)查验该文件是否规定了合作方数据安全管理的责任部门、管理机制、监督机制;
2)查验该文件是否规定了对合作方的数据安全保护能力进行资质审核;
3)查验该文件是否规定了合作期间的数据安全定期风险评估机制;
4)查验该文件是否规定了涉及个人信息时的合规性评估工作;
5)查验该文件是否规定了合作方的管理台账机制;
6)查验该文件是否对合作方驻场情形下的环境接入、账号分配回收、权限管理等内容进行了规范。
c)查验组织的技术工具:
1)是否建立合作方管理平台;
2)是否支持合作方接口的监控审核;
3)是否支持对合作方的风险评估。
d)验证组织的人员能力:通过访谈、查验培训记录、查验考试记录或查验相关人员制定的解决方案等方式,验证组织的人员具备相应的能力。
9.3.3.3 先进级
根据先进级要求,从制度流程、技术工具方面进行查验。
a)查验组织是否明确了合作方管理效果的量化评估方式:
1)是否定义了量化评估指标;
2)是否规定了量化评估频率。
b)查验组织的合作方管理机制:
1)是否对合作方的数据安全治理能力等开展持续了评估、审核,并记录评估、审核结果。
2)是否支持根据政策变化、业务发展等需求优化合作方管理制度;
3)是否规定了对合作方的持续化监控审计机制。
c)查验组织的技术工具:
1)是否建立了合作方管理资料库;
2)是否具备合作方发生安全事件时的应急响应能力;
3)是否支持对合作方数据安全治理、合规等内容的持续监控。
9.4 监控审
9.4.1 概 述
通过建立监控审计的工作机制,有效防范不正当的数据访问和操作行为,降低数据全生命周期未授权访问、数据滥用、数据泄漏等安全风险。
9.4.2 等级要求
9.4.2.1 基础级
从组织建设、制度流程、技术工具、人员能力方面进行要求。
a)组织建设:应设置相关工作岗位和人员,负责数据全生命周期流转过程的安全监控。
b)制度流程:核心业务应建立数据安全监控和审计相关规则,如对数据生命周期各阶段的数据访问和操作进行监控的方案(如实时监控、定期批量监控等)、对异常操作的监控方案等。
c)技术工具:应提供技术手段对数据的高风险操作进行监控。
d)人员能力:应了解数据访问和操作涉及的数据范围,具备对安全风险的判断能力。
9.4.2.2 优秀级
在基础级的等级要求基础上,从组织建设、制度流程、技术工具、人员能力方面进行强化。
a)组织建设:应设置组织层面的部门、岗位和人员,负责对数据生命周期各阶段的数据访问和操作的安全风险进行监控和审计。
b)制度流程:
1)应明确对组织内部各类数据访问和操作的日志记录要求、安全监控要求和审计要求;
2)应记录数据操作事件,并制定数据安全风险行为识别和评估规则;
3)应定期对组织内部员工数据操作行为进行人工审计。
c)技术工具:
1)应建立针对数据访问和操作的日志监控技术工具,实现对数据异常访问和操作进行告警,高敏感数据以及特权账户对数据的访问和操作都纳入重点的监控范围;
2)应采用技术工具对数据交换服务流量数据进行安全监控和分析。
d)人员能力:
1)应充分理解数据监控和审计的要求,能够识别数据泄漏风险,并及时应对;
2)应定期对人员进行培训,考核人员能力与岗位的匹配程度。
9.4.2.3 先进级
在优秀级的等级要求基础上,从制度流程、技术工具方面进行强化。
a)制度流程:应规定数据的访问和操作发生安全风险的量化指标,通过对比与正常数据访问和操作的偏离度识别安全事件的发生。
b)技术工具:
1)应建立统一的数据访问和操作日志监控技术手段,可对各类数据访问和操作的日志进行处理和分析,并量化数据访问和操作引发的数据安全风险,实现对数据安全风险的整体感知;
2)应具备对数据的异常或高风险操作进行自动识别和预警的能力。
9.4.3 评估方法
9.4.3.1 基础级
根据基础级要求,从组织建设、制度流程、技术工具、人员能力方面进行查验。
a)查验业务团队是否明确了负责本业务监控审计的岗位和人员。
b)查验是否在核心业务层级制定了监控审计的相关制度文件:
1)查验该文件是否规定了全生命周期的监控审计的规则;
2)查验该文件是否规定了对异常操作的监控审计;
3)查验该文件是否规定了监控审计的工作流程、工作方案。
c)查验组织的技术工具:
1)是否建立了数据高风险操作清单,并定期更新;
2)是否支持对数据高风险操作的监控。
d)验证组织的人员能力:通过培训记录、考试记录,验证组织的人员能力。
9.4.3.2 优秀级
根据优秀级要求,从组织建设、制度流程、技术工具、人员能力方面进行查验。
a)查验组织是否设立了负责数据监控审计的部门、岗位和人员。
b)查验是否在组织层级制定了监控审计相关制度文件:
1)查验该文件是否明确了监控审计工作的牵头及配合执行部门;
2)查验该文件是否明确了数据安全风险行为的识别和评估规则;
3)查验该文件是否明确了数据相关操作的日志记录和安全监控要求;
4)查验该文件是否明确了审计目的、审计对象、审计内容(异常操作的定义)、审计流程、审计频度、审计报告、审计问题整改跟踪等内容;
5)查验该文件是否覆盖了对组织全业务数据处理活动的审计操作;
6)查验该文件是否规定了对员工数据操作行为的定期审计。
c)查验组织的技术工具:
1)是否建立了异常操作清单,并定期更新;
2)是否支持异常操作的监控分析;
3)是否留存相关监控审计报告。
d)验证组织的人员能力:通过访谈、查验培训记录、查验考试记录或查验相关人员制定的解决方案等方式,验证组织的人员具备相应的能力。
9.4.3.3 先进级
根据先进级要求,从制度流程、技术工具方面进行查验。
a)查验组织是否明确了监控审计效果的量化评估方式:
1)是否定义了量化评估指标;
2)是否规定了量化评估频率。
b)查验组织的技术工具:
1)是否具备统一的监控审计系统或平台;
2)是否支持对异常或高风险操作的自动识别与预警。
9.5 鉴别与访问
9.5.1 概 述
根据组织的安全合规要求,建立用户身份鉴别和访问控制管理机制,防止对数据的未授权访问风险。
9.5.2 等级要求
9.5.2.1 基础级
从组织建设、制度流程、技术工具方面进行要求。
a)组织建设:应明确核心业务系统的用户身份管理及数据权限管理的岗位和人员。
b)制度流程:核心业务应明确重要系统和数据库的身份鉴别、访问控制和权限管理的安全要求。
c)技术工具:
1)应对核心业务系统的登录用户进行身份标识和鉴别,身份标识具有唯一性,鉴别信息具有复杂度要求并定期更换;
2)应提供核心业务系统的访问控制功能,对登录的用户分配账户和权限;
3)应提供并启用核心业务系统的登录失败处理功能,多次登录失败后应采取必要的保护措施;
4)应建立人力资源管理与身份鉴别管理、权限管理的联动控制,能够及时删除离岗、转岗人员的权限。
9.5.2.2 优秀级
在基础级的等级要求基础上,从组织建设、制度流程、技术工具、人员能力方面进行强化。
a)组织建设:组织应设立相关的部门、岗位和人员,负责制定组织内用户身份鉴别、访问控制和权限管理的策略,提供相关技术能力或进行统一管理。
b)制度流程:
1)应明确对身份标识与鉴别、访问控制及权限的分配、变更、撤销等方面管理的要求;
2)应按最小必要、职权分离等原则,授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
3)应明确数据权限授权审批流程,对数据权限申请和变更进行审核;
c)技术工具:
1)应建立身份鉴别管理系统,支持组织主要应用接入,实现对人员访问数据资源的统一身份鉴别;
2)应建立权限管理系统,支持组织主要应用接入,对人员访问数据资源进行访问控制和权限管理;
3)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现;
4)访问控制的粒度应达到主体为用户级,客体为系统、文件、数据库表级。
d)人员能力:
1)负责该项工作的人员应熟悉相关的数据访问控制的技术知识,并能够根据组织数据安全管理制度对数据权限进行审批管理;
2)应定期对人员进行培训,考核人员能力与岗位的匹配程度。
9.5.2.3 先进级
在优秀级的等级要求基础上,从制度流程、技术工具方面进行强化。
a)制度流程:
1)应建立敏感数据权限清单,明确了数据权限的安全要求、分配策略、授权机制和权限范围;
2)应定期对组织的鉴别和访问控制效果进行量化评估。
b)技术工具:
1)应建立面向数据应用的访问控制机制,包括访问控制时效的管理和验证,以及数据应用接入的合法性和安全性取证机制;
2)应建立定期更新和审核的敏感数据权限清单;
9.5.3 评估方法
9.5.3.1 基础级
根据基础级要求,从组织建设、制度流程、技术工具方面进行查验。
a)查验业务团队是否明确了负责本业务用户身份和权限管理的岗位和人员。
b)查验是否在核心业务层级制定了鉴别与访问控制的相关制度文件:查验该文件是否明确了身份鉴别、权限管理、访问控制等方面的管理要求。
c)查验组织的技术工具:
1)是否支持用户登录身份鉴别;
2)是否支持核心业务的访问权限控制;
3)是否支持身份鉴别和权限管理的联动控制;
4)是否支持对访问控制时效的管理和验证。
9.5.3.2 优秀级
根据优秀级要求,从组织建设、制度流程、技术工具、人员能力方面进行查验。
a)查验组织是否设立了负责鉴别与访问控制安全部门、岗位和人员。
b)查验是否在组织层面制定了鉴别与访问控制相关制度文件:
1)查验该文件是否明确了组织内各部门各员工以及外包人员及实习生等的身份鉴别、访问控制及权限管理等要求;
2)查验该文件是否明确了权限申请和分配原则、变更制度、撤销流程等内容;
3)查验该文件是否规定了账号权限等的定期审核制度;
4)查验该文件是否规定了账号口令的访问控制复杂度要求;
5)查验该文件是否规定了不同业务数据的访问控制粒度。
c)查验组织的技术手段和工具:
1)是否具备身份鉴别管理系统;
2)是否具备权限管理系统;
3)是否提供口令、密码技术、生物技术等多种鉴别技术;
4)是否支持不同访问控制粒度的实现。
d)验证组织的人员能力:通过访谈、查验培训记录、查验考试记录或查验相关人员制定的解决方案等方式,验证组织的人员具备相应的能力。
9.5.3.3 先进级
根据先进级要求,从制度流程、技术工具方面进行查验。
a)查验组织是否明确了鉴别与访问控制效果的量化评估方式:
1)是否定义了量化评估指标;
2)是否规定了量化评估频率。
b)查验组织的技术工具:
1)是否建立了敏感数据权限清单,明确安全角色的安全要求、分配策略、授权机制、权限范围等;
2)是否建立了敏感数据权限清单的定期更新和审核工具。
9.6 风险和需求分析
9.6.1 概 述
根据组织的业务场景和数据安全需求,建立数据安全风险分析和需求分析体系,有效应对组织内数据和业务的安全需求和风险。
9.6.2 等级要求
9.6.2.1 基础级
从组织建设、制度流程、人员能力方面进行要求。
a)组织建设:应设置相关岗位和人员负责数据安全风险和需求分析的工作。
b)制度流程:
1)核心业务应明确数据安全风险分析的管理制度;
2)核心业务应明确数据安全需求分析的管理制度。
c)人员能力:
1)应熟悉业务自身数据应用场景,数据调用逻辑,并对数据安全法律合规知识体系具有一定概念;
2)应定期对人员进行培训,考核人员能力与岗位的匹配程度。
9.6.2.2 优秀级
在基础级的等级要求基础上,从组织建设、制度流程、技术工具、人员能力方面进行强化。
a)组织建设:
1)应设立负责数据安全需求分析的部门、岗位和人员,负责对数据业务设计开发等阶段开展数据安全需求分析工作,确保安全需求的有效制定和规范化表达;
2)应设立负责数据安全风险的岗位和人员,负责对各业务线开展数据安全风险识别工作,确保数据安全策略和工具等对数据安全风险的有效覆盖。
b)制度流程:
1)应结合国家法律法规和监管要求等,分析数据安全合规性需求;
2)应识别数据服务面临的威胁和自身脆弱性,分析数据安全风险和应对措施需求;
3)应明确数据安全需求和风险分析的制定流程和评审机制,明确安全需求和风险分析文档内容要求,流程实施过程以及评审应保留记录。
c)技术工具:
1)应建立需求管理工具,记录业务数据安全需求的申请、分析以及相关安全方案,以保证业务的安全需求分析过程可有效追溯;
2)应建立风险分析库,用于线上风险评估。
d)人员能力:应在数据风险管理及业务实践方向具备一定经验,能够判断风险程度和需求紧迫性。
9.6.2.3 先进级
在优秀级的等级要求基础上,从制度流程、技术工具方面进行强化。
a)制度流程:
1)应量化数据安全风险分析,以保证符合组织发展战略和业务发展的实际需要;
2)应量化数据安全需求分析,以保证符合组织发展战略和业务发展的实际需要;
3)应明确风险和需求分析工作的持续优化开展机制,风险和需求分析应具备一定前瞻性。
b)技术工具:应提供量化分析工具。
9.6.3 评估方法
9.6.3.1 基础级
根据基础级要求,从组织建设、制度流程、人员能力方面进行查验。
a)查验业务团队是否明确了负责本业务风险和需求分析的岗位和人员。
b)查验是否在核心业务层级制定了风险和需求分析的相关制度文件。
c)验证组织的人员能力:通过培训记录、考试记录,验证组织的人员能力。
9.6.3.2 优秀级
根据优秀级要求,从组织建设、制度流程、技术工具、人员能力方面进行查验。
a)查验组织是否设立了负责风险分析和需求分析的部门、岗位和人员。
b)查验是否在组织层面制定了风险和需求分析相关制度文件:
1)查验该文件是否明确了风险和需求分析的申请流程、评审机制、开展时机等;
2)查验该文件是否结合了法律法规和监管要求等,明确具体数据安全的合规需求;
3)查验该文件是否结合组织安全规划、业务特点等因素,明确了风险和需求分析的优先级;
4)查验该文件是否根据组织自身数据服务的脆弱性和面临的威胁,明确安全风险场景和应对措施。
c)查验组织技术工具:
1)是否建立了需求管理工具;
2)是否建立了风险分析库,明确风险评估场景,尤其是个人信息处理场景,并定期更新;
3)是否具备需求分析、风险分析的报告。
d)验证组织的人员能力:通过访谈、查验培训记录、查验考试记录或查验相关人员制定的解决方案等方式,验证组织的人员具备相应的能力。
9.6.3.3 先进级
根据先进级要求,从制度流程、技术工具方面进行查验。
a)查验组织是否明确了风险和需求分析效果的量化评估方式:
1)是否定义了风险及需求分析的量化评估指标;
2)是否规定了风险及需求分析的量化评估频率。
b)查验组织是否制定了持续开展并优化风险和需求分析制度的管理机制。
c)查验组织的技术工具:是否提供了量化分析工具。
9.7 安全事件应急
9.7.1 概 述
建立数据安全应急响应体系,对各类数据安全事件进行及时响应和处置。
9.7.2 等级要求
9.7.2.1 基础级
从组织建设、制度流程、技术工具、人员能力方面进行要求。
a)组织建设:应设置相关工作岗位和人员负责在核心业务层面根据业务需求建立安全应急响应机制,当出现数据安全事件时,能够根据工作相关性组织应急工作。
b)制度流程:明确核心业务中数据安全事件的管理,以及应急响应策略和具体方案的制定。
c)技术工具:应提供技术平台记录数据安全事件处理情况、应急演练情况。
d)人员能力:能够按准确理解应急方案,并按照指定的策略开展相应的应急活动。
9.7.2.2 优秀级
在基础级的等级要求基础上,从组织建设、制度流程、技术工具、人员能力方面进行强化。
a)组织建设:组织设立负责数据安全事件管理和应急响应的部门、岗位和人员。
b)制度流程:
1)应明确数据安全事件管理和应急响应工作指南,定义数据安全事件类型,明确不同类别事件的处置流程和方法;
2)应在组织内部对应急响应、数据安全事件处置工作制度、策略、方法进行培训宣传,培养人员的基本应急响应意识;
3)应制定数据安全事件应急预案,并定期开展应急演练活动;
4)应明确规定涉及个人信息安全事件的应急响应机制及应急预案。
c)技术工具:应建立统一的安全事件管理系统,对日志、流量等内容进行关联分析。
d)人员能力:
1)应能够进行安全事件的分析判断,熟悉安全事件应急响应措施;
2)应具备实践经验,能够应对应急事件处理过程中的决策工作;
3)应定期对人员进行培训,考核人员能力与岗位的匹配程度。
9.7.2.3 先进级
在优秀级的等级要求基础上,从制度流程、技术工具方面进行强化。
a)制度流程:
1)应建立对数据安全事件管理及执行的有效性量化评估,向管理层呈现数据安全事件应急处置效果;
2)应根据法律法规政策、公司业务调整对数据安全事件管理、应急响应制度进行优化,定期复核制度流程有效性,复核周期不低于每年一次;
3)建立数据安全事件复盘机制,总结应急响应经验。
b)技术工具:
1)能够基于分析的内容实现预警及自动化响应决策,及时辅助安全事件应急响应;
2)提供知识库平台,记录应急演练安全事件处置结果和应急策略。
9.7.3 评估方法
9.7.3.1 基础级
根据基础级要求,从组织建设、制度流程、技术工具、人力能力方面进行查验。
a)查验业务团队是否明确了负责本业务安全事件应急的部门和人员。
b)查验是否在核心业务层级制定了安全事件应急的相关制度文件:
1)查验该文件是否明确了安全事件管理方案;
2)查验该文件是否规定了安全应急预案。
c)查验组织的技术工具:是否支持对数据安全事件处理和应急演练的记录。
d)验证组织的人员能力:通过培训记录、考试记录,验证组织的人员能力。
9.7.3.2 优秀级
根据优秀级要求,从组织建设、制度流程、技术工具、人员能力方面进行查验。
a)查验组织是否设立了负责数据安全事件应急的部门、岗位和人员。
b)查验是否在组织层面制定了安全事件应急相关制度文件:
1)查验该文件的数据安全事件类型及等级划分是否参考了国家法律法规及监管部门要求;
2)查验该文件的数据安全事件类型及等级划分是否结合了对国家安全、经济发展、社会公共利益、企业和个人信息主体合法权益的影响程度;
3)查验该文件是否明确了不同类型及等级的数据安全事件处置流程和方法;
4)查验该文件是否明确了不同类型及等级的数据安全事件的应急预案。
c)查验组织技术工具:
1)是否具备数据安全事件管理系统,对日志、流量等进行关联分析;
2)是否支持数据安全事件处置、应急响应制度的推广和宣贯;
3)是否留存应急响应处置记录、演练记录。
d)验证组织的人员能力:通过访谈、查验培训记录、查验考试记录或查验相关人员制定的解决方案等方式,验证组织的人员具备相应的能力。
9.7.3.3 先进级
根据先进级要求,从制度流程、技术工具方面进行查验。
a)查验组织是否明确了安全事件应急管理效果的量化评估方式:
1)是否定义了量化评估指标;
2)是否规定了量化评估频率。
b)查验组织是否明确了安全事件应急的优化工作机制:
1)是否根据政策、业务等的需求,对组织的安全事件管理和应急响应机制进行优化调整,并复核有效性;
2)是否明确了数据安全事件的总结分享机制。
c)查验组织的技术工具:
1)是否支持数据安全事件的预警与自动化响应;
2)是否具备数据安全应急演练知识库。
参 考 文 献
- [1] GB/T 36073-2019 数据管理能力成熟度评估模型
- [2] GB/T 37973-2019 信息安全技术 大数据安全管理指南
- [3] GB/T 37988-2019 信息安全技术 数据安全能力成熟度模型
- [4] GB/T 35274-2017 信息安全技术 大数据服务安全能力要求
- [5] GB/T 35273-2020 信息安全技术 个人信息安全规范
———————–
