过程域设定背景和目标
合规管理是组织数据安全最基础的能力层面和底线,合规管理的目标是避免组织违反需要符合的国 内外法律、行业监管指引、制度、规范,避免因不合规导致的风险。本过程域的设定,即要求建立数据 安全合规文化和有效的合规风险预防、预警及监督机制。
过程域具体标准要求解读
l 制度流程: ——依据法律法规及相关标准中对重要数据的保护要求,建立组织统一的符合性管理规范,该规 范应包括但不限于个人信息保护、重要数据保护、跨境数据传输等方面的安全合规需求,并
对相关方宣贯合规要求的内容,以保证组织整体合规意识的提升; ——建立一份当前组织需要遵照的外部合规要求清单,并实时跟踪外部合规要求的发布、预研,
保持清单的更新; ——建立一套适用的数据安全合规监督检查标准和清单,用于指导常规检查、专项检查和事件驱
动检查等,以确保符合相应的数据安全政策、标准及其他数据安全要求; ——建立一套适用的整改和考核规范,用于指导检查发现和整改情况的跟踪、报告管理、问题管理等。
l 技术工具: ——建立法律、行业监管指引、外部制度、规范条款的统一电子合规平台,并将各类外部要求去
重合并、分解转化为数据安全合规元要求,并据此和组织实际情况梳理出内部管理要求; ——建立一套检查跟踪系统,实现检查计划制定、检查实施、报告管理、问题跟踪等全过程的电子化管理,并将检查发现和整改情况纳入问题管理流程。
过程域充分定义级实施指南
参考案例 :
某行业 案例 1: 规章文档平台 在办公系统中,建立了规章文档平台,供员工查询和学习。通过该平台的建立:
某行业 案例 2: 法律、标准 :
某行业 案例 3: 合规 监督检查
过程域设定背景和目标
数据资产是组织拥有和控制的、能够给企业管理、应用服务和商业拓展带来价值的数据信息。只有 洞悉数据资产重要程度与分布、使用对象与场景、授权与责任等,才能有效的实施数据资产风险管理和 安全防护。一般而言,数据资产安全管理工作包含资产识别、资产重要度定级、资产变更管理与监测、 资产风险管理等。
过程域具体标准要求解读
l 组织建设: ——设置数据资产管理组织,按照统一的规章制度管理企业数据资源,各业务团队应配置具体人
员负责本级业务范围内的数据资产管理工作。
l 制度流程:
——实施数据资产全生命周期监督管理,各业务团队数据资产管理责任人应按照相关要求及时登记、更新和定期维护本级数据资源;
——建立数据资产目录(数据资产地图)并提供检索服务,数据表责任到人;
——建立数据资产变更管理审批流程,实时监控数据资产的上线、变更、转移、销毁等信息,并 配置相适应的安全管控措施。
l 技术工具:
——通过智能数据目录等技术工具辅助实现数据资产登记和分类工作。
过程域充分定义级实施指南
数据资产管理案例:数据资产 管理平台 该组织的业务部门多、数据来源广、人员角色复杂、数据使用链路有待完善,通过统一的数据 资产管理平台,全面掌握了数据分布、使用流向、人员访问等,有效提高了数据安全管理能力。
l 标准参考
——GB∕T 35274-2017《信息安全技术 大数据服务安全能力要求》5.2 节“数据与系统资产”