阿里研究院-数据安全能力建设实施指南 V1.0-2018.9-70页.pdf

数据安全能力建设实施指南 V1.0 (征求意见稿)数据安全能力成熟度模型(DSMM)配套文档 2018-9-29 2目 录 前 言 .31 范围.42 规范性引用文件.43 术语和定义.44 缩略语.55 数据安全能力建设框架.55.1 数据安全与现有安全体系融合.55.2 数据安全能力建设框架.55.3 能力建设框架图说明.66 数据安全组织建设.76.1 组织架构设计.76.2 协同部门数据安全职能.97 数据安全人员能力.117.1 数据安全管理能力.117.2 数据安全运营能力.127.3 数据安全技术能力.127.4 数据安全合规能力.137.5 人员能力与组织架构的映射.138 数据安全制度流程.148.1 制度体系架构设计.148.2 制度体系架构说明.169 数据安全技术工具.179.1 技术工具架构设计.179.2 技术工具架构说明.2010 数据安全域实施指南.2010.1 数据采集安全.2010.2 数据传输安全.2910.3 数据存储安全.3310.4 数据处理安全.3810.5 数据交换安全.4510.6 数据销毁安全.5210.7 通用安全.5611 参考文献.70 3前 言 本指南由阿里巴巴数据安全研究院发起，统筹规划和发布，最终解释归口。某些内容可能涉及专利，本指南的发布机构不承担识别这些专利的责任。本指南参与起草单位：阿里巴巴（中国）有限公司（下文简称“阿里巴巴”），杭州数梦工场科技有限公司（下文简称“数梦工场”）、杭州安恒信息技术股份有限公司（下文简称“安恒信息”）、浙江蚂蚁小微金融服务集团（下文简称“蚂蚁金服”）、阿里云计算有限公司（下文简称“阿里云”）。各章节参与单位及人员：主要章节 起草单位 起草人员 第5章 数据安全能力建设框架 阿里巴巴数据安全研究院 张迅迪、薛勇 第6章 数据安全组织建设 阿里巴巴数据安全研究院 陈彩芳 数梦工场 何维群 第7章 数据安全人员能力 阿里巴巴数据安全研究院 陈彩芳 蚂蚁金服 陈树鹏 安恒信息 周俊 第8章 数据安全制度流程 阿里巴巴数据安全研究院 薛勇 第9章 数据安全技术工具 阿里巴巴数据安全研究院 薛勇 第10章 PA01、PA02、PA03 数梦工场 何维群 第10章 PA14、PA15、PA16、PA17 数梦工场 毛昱 第10章 PA04、PA07、PA08、PA09、PA18、PA19、PA20、PA21、PA25 阿里巴巴数据安全研究院 薛勇 第10章 PA05、PA06 安恒信息 周俊、徐胜兵 第10章 PA10、PA11、PA12、PA13 安恒信息 周俊、徐胜兵 第10章 PA22、PA26、PA27 蚂蚁金服 陈树鹏 第10章 PA23、PA24 阿里云 张敏翀 第2章和第10章所有PA涉及的国家和行业标准，以及全文排版校对 阿里巴巴标准化部 白晓媛 本指南还得到以下单位相关领导和专家们的大力支持，参与了指南的评审并提出宝贵建议：阿里巴巴（杜跃进、张玉东、朱红儒、张世长、潘亮、贾雪飞），电子四院（胡影、张宇光），数梦工场（孙晖），安恒信息（林明峰），蚂蚁金服（王心刚、王道奎），阿里云（岑欣伟、张大江）。4数据安全能力建设实施指南 1 范围 本指南依据信息安全技术 数据安全能力成熟度模型（简称DSMM）制定，以数据为核心，重点围绕数据生命周期，从组织建设、制度流程、技术工具和人员能力等四个方面，提供数据安全能力建设的具体实施指南，为组织数据安全能力建设提供参考。规划输出系列版本，这次版本以数据安全能力成熟度三级为目标，即如何达到DSMM规定的充分定义级（三级），后续升级版再陆续补充其他级别的指南内容。2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 250692010 信息安全技术 术语 GB/T XXXXXXXX 信息安全技术 数据安全能力成熟度模型(待发布)GB/T 352732017 信息安全技术 个人信息安全规范 GB/T 352742017 信息安全技术 大数据服务安全能力要求 3 术语和定义 GB/T 250692010中界定的以及下列术语和定义适用于本文件。数据安全数据安全 d data securityata security：保护数据的机密性、完整性和可用性。数据安全能力数据安全能力 d data securityata security capabilitycapability：组织机构在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障能力。成熟度成熟度 maturitymaturity：对一个组织的有条理的持续改进能力以及实现特定过程的连续性、可持续性、有效性和可信度的度量。成熟度模型成熟度模型 maturity modelmaturity model：对一个组织机构的成熟度进行度量的模型，包括一系列的代表能力和进展的特征、属性、指示或是模式。成熟度模型提供一个组织机构衡量其当前的实践、流程、方法的能力水平的基准，并设置提升的目标。数据脱敏数据脱敏data data d desensitizationesensitization：通过模糊化等方法对原始数据进行处理以屏蔽敏感信息的一种数据保护方法。数据产品数据产品 data productdata product：直接或间接使用数据的产品，包括但不限于能访问原始数据，提供数据5计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的软件产品。数据处理数据处理 data processingdata processing：对原始数据进行抽取、转换、加载的过程，包括开发数据产品或数据分析等。合规合规compliancecompliance：对数据安全所适用的法律法规的遵循。4 缩略语 下列缩略语适用于本标准：PA 过程域（Process Area）BP 基本实践（Base Practice）DSMM 数据安全能力成熟度模型（Data Security Capability Maturity Model）IAM 身份识别与访问管理（Identity and Access Management）BYOD 自带设备办公（Bring Your Own Device）MDM 移动设备管理（Mobile Device Management）MAM 移动应用管理(Mobile Application Management)MCM 移动内容管理（Mobile Content Management）5 数据安全能力建设框架 5.1 数据安全与现有安全体系融合 数据安全能力建设工作并非从零开始，大部分组织在此前或多或少已有一些安全体系，基本上是围绕信息系统和网络环境开展安全保护工作，主要聚焦在信息安全和网络安全；而数据安全是以数据为核心，围绕数据安全生命周期进行建设以提高数据安全保障能力，所以需要与当前安全体系进行融合。在决策层确定数据安全目标和愿景之后，再由数据安全管理层根据组织的业务发展实际情况讨论具体的融合方式。5.2 数据安全能力建设框架 基于信息安全技术 数据安全能力成熟度模型标准能力成熟度等级3级要求，数据安全能力建设可参考以下实施框架：6 图1：数据安全能力建设框架 5.3 能力建设框架图说明 整体来看，数据安全能力建设是以法律法规监管要求和业务发展需要为输入，结合数据安全在组织建设、制度流程和技术工具的执行要求，匹配相应人员的具体能力，组织的数据安全能力建设结果最终以数据生命周期各个过程域来综合体现。下面对合规和业务需求及四个能力维度的框架设计进行概要说明：合规和业务需求：合规和业务需求：数据安全最终是为组织的业务发展服务的，不能游离于业务之外或独立存在。在满足法律法规要求的前提下，数据安全能力建设须切合业务发展需要来开展。组织建设组织建设：指数据安全组织的架构建立、职责分配和沟通协作。组织可分为决策层、管理层和执行层等三层结构。其中，决策层由参与业务发展决策的高管和数据安全官组成，制定数据安全的目标和愿景，在业务发展和数据安全之间做出良好的平衡；管理层是数据安全核心实体部门及业务部门管理层组成，负责制定数据安全策略和规划，及具体管理规范；执行层由数据安全相关运营、技术和各业务部门接口人组成，负责保证数据安全工作推进落地。制度流程：制度流程：指数据安全具体管理制度体系的建设和执行，包括数据安全方针和总纲、数据安全管理规范、数据安全操作指南和作业指导，以及相关模板和表单等。7技术工具：技术工具：指与制度流程相配套并保证有效执行的技术和工具，可以是独立的系统平台、工具、功能或算法技术等。需要综合所有安全域进行整体规划和实现，且要和组织的业务系统和信息系统等进行衔接。包括适用于所有安全域的通用技术工具，和部分阶段或安全域试用的技术工具。人员能力人员能力：指为实现以上组织、制度和技术工具的建设和执行其人员应具备的能力。核心能力包括数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力。根据不同数据安全能力建设维度匹配不同人员能力要求。6 数据安全组织建设 数据安全能力建设是一个复合型、需多方联动型的工作，在开展组织架构建设时，需要考虑组织层面实体的管理团队及执行团队，同时也要考虑虚拟的联动小组，其中业务部门、研发部门、HR、IT、法务等部门均需要参与数据安全建设当中。成立数据安全组织其目的是明确数据安全的政策、落实和监督等工作，以确保数据安全能力建设的有效执行。6.1 组织架构设计 设计数据安全的组织架构时，可按照决策层、管理层、执行层、员工和合作伙伴、监督层的组织架构设计。在具体执行过程中，组织也可赋予已有安全团队与其它相关部门数据安全的工作职能，或寻求第三方专业团队等形式开展工作，组织架构图如下：图2：数据安全组织架构图 6.1.1 决策层 决策层是数据安全管理工作的决策机构，建议由数据安全官及其它高层管理人员组成，数据安全官是组织内数据安全的最终负责人。数据安全官应能参与到组织的业务发展决策，因为业务的发展和数据安全是密不可分。除数据安全官外，其它高层管理人员对于数据安全的重视和决策是非常重要的，决策层也需要其它业务、法务、研发等高管共同组成，形成定期的沟通运作机制，其主要工作职责包括：81)制定组织的数据安全目标和愿景；2)对数据安全策略和规划，制度与规范等进行发布；3)为组织的数据安全建设的提供必要的资源；4)对公司的重大数据安全事件进行协调和决策；6.1.2 管理层 管理层是数据安全组织机构的第二层，基于组织决策层给出的策略，对数据安全实际工作制定详细方案，做好业务发展与数据安全之间的平衡。在组织中承上启下，做好数据安全全面落地工作，是组织内开展数据安全工作最核心的部门或岗位，部分工作可能需要组织外部专业资源共同来履行。其主要工作职责包括：1)结合合规监管要求和业务发展需求，制订数据安全整体解决方案并组织实施；2)制定数据安全管理策略和规划，统一数据安全管理规范体系等；3)建立监控审计机制：数据安全工作和监督审计机制，推动并协助执行组织的建立，监督工作有效开展；4)对组织内人员能力开展数据安全技术培训和意识宣导，逐步提升数据安全工作人员的能力水平和组织内人员安全意识；5)制定数据安全决策层、管理层、执行层、监督层等的运作机制，保障数据安全工作在内部保持信息通畅、运作顺利；6)保持外部组织的沟通，包括国家及行业监管、第三方咨询服务商（安全咨询、安全厂商）以认证、测评机构（认证及认可、安全测评机构）等。6.1.3 执行层 执行层与管理层是紧密配合的关系，其职责主要聚焦每一个数据安全场景，对设定的流程进行逐个实现。执行层主要包括数据安全专职人员和各业务部门的数据安全接口人员、风险管理人员、数据owner 等，其主要工作职责主要包括：1)负责数据安全风险的评估和改进；2)负责数据安全运营工作，如：数据权限授权、数据共享、数据下载等审批；3)负责数据安全事件的跟进和处理；4)协助数据安全管理团队展开数据治理工作，如数据分类分级工作；5)负责数据安全专案项目管理和实施。6.1.4 员工和合作伙伴 9 范围包括组织内部人员和有合作的第三方的人员，须遵守并执行组织内对数据安全的要求，特别是共享敏感数据的第三方，从协议、办公环境、技术工具方面等做好约束和管理。员工和合作伙伴主要职责是：1)履行组织对数据安全的要求，部署数据安全工具；2)通过培训、考试、案例学习等提升数据安全意识；3)提升数据安全风险识别的能力，能结合业务判断数据安全风险，并降低风险发生；4)对组织内风险及时申报，不断协助管理团队提升数据安全防护能力。6.1.5 监督层 数据安全监督层负责定期监督审核管理小组、执行小组，员工和合作伙伴对数据安全政策和管理要求的执行情况，并且向决策层进行汇报，监督层人员必须具备独立性，不能与其它管理小组、执行小组等人员共同兼任，建议由组织内部的审计部门担任。其主要职责包括：1)对数据安全制度落地执行情况监督；2)对数据安全工具执行有效性监督；3)对数据安全风险开展监控与审计；6.2 协同部门数据安全职能 数据安全组织和组织内多个部门之间有非常紧密的关系，在组织架构的顶层设计层面，业务部、IT部、法务部、HR、研发部、风控部、公关部等部门需要参与到策略方向及重大事件的决策中；在实际数据安全业务开展层面，从平台底层设计到流程制定实施、安全工具部署、人员安全管控、数据安全合规、对外披露等方面均需要深度介入和协作。同时，需要数据安全管理层制定与各部门之间的数据安全工作机制，目的是为了保障数据安全工作顺利开展，过程中的争议得到解决，如数据安全安全团队与业务方、法务以及合作伙伴之间的日常工作交流、争议与问题解决等事项。这些职能部门所涉及的数据安全工作在第十章节会有更详细的描述，这里主要列举了一部分组织部门在数据安全能力建设上可能会涉及的协同工作，具体部门名称在不同组织内可能会有差异，具体以实际情况为主。6.2.1 业务部门数据安全职能 10业务部门在组织内主要职能是拓展业务，保障业务持续发展，但是同时需要兼顾数据安全风险问题。在业务开展过程中，主要会涉及以下几方面的数据安全联动工作，对于较为复杂大型的组织，考虑业务内部有一名数据安全接口人经过培训、赋能等工作（兼职）开展以下相关工作：1)业务新增：大部分场景主要涉及数据采集合规，需要由数据安全组织及法务合规部门，联合开展新增业务的数据安全风险评估。2)业务运营：可能涉及数据批量查询、下载、分析和处理，过程中做好岗位权限管理，保障数据最小化使用的原则。3)业务外部合作：当与外部产生合作，可能涉及数据共享、交换等场景，需要数据安全组织或数据安全接口人开展数据共享、数据披露的风险评估，避免敏感数据外泄等风险；同时接收外部合作的数据时，与合规部门联合做好数据来源合法的控制等措施。4)数据安全事件：当业务部门内部发生数据安全事件时，业务负责人需要联合数据安全组织及时调查和处理，降低事件影响面及影响程度。并举一反三，改进业务流程机制，降低数据安全风险。5)其他数据安全执行工作，风险上报等职能。6.2.2 人力资源部门数据安全职能 人员资源部门主要负责企业内部人员招聘、管理等工作，在人员入职、调岗、离职等过程中，做好人员完整链路的数据安全协同工作，同时需要对数据安全违规人员进行处罚设置及处理。具体数据安全工作职能详见10.x的PA21的详细解读。6.2.3 IT 部门数据安全职能 IT部门主要实现组织内信息化的工作，过程中涉及到多个数据安全相关的管理工作，一般由数据安全组织制定策略制度，由IT部门开展执行落地。主要数据安全职能包括：1)服务器、硬盘、PC等介质的安全管理；2)终端安全的防护措施部署；3)高风险软件、云盘、通信工具等软件的管理策略执行。6.2.4 法务部门数据安全职能 法务部门主要负责政策法律、合作协议等相关事项，其中数据安全个人隐私的政策法规逐步出台和完善，结合实际业务组织开展内部的数据安全合规工作至关重要。具体开展时，可利用外部专业机构，作为职能补充。主要会涉及到联动的数据安全工作职能包括：1)组织内部开展数据安全个人隐私保护合规专项，并联合多部门完成合规。2)对数据供应链的合作伙伴，在合作协议中拟定数据安全相关管理要求。3)对组织内部开展数据安全合规政策的解读和培训。116.2.5 风险管理部门数据安全职能 风险管理部门主要统筹负责组织内所有风险的安全管控，数据安全应是其中的一个模块，一定意义上，可以与数据安全组织架构中的数据安全管理部门开展分工协作。其主要职能包括：1)设置内部数据安全风险举报机制，收集风险并及时开展处理；2)设置数据安全风险应急相应机制，联动数据安全组织、业务部门等开展风险评估和及时处理；3)对数据安全风险定期分析和总结，反馈给数据安全部门，促进数据安全在流程上、机制上、产品上做优化和更新；6.2.6 公共关系部门数据安全职能 公关部门即公共关系部门，通过良好的公共关系活动的策划来实施和实现组织内外有良好的科学关系，涉及和管理组织内部较多信息对外发声以及外部声音的内部回应，在过程中其主要职能包括：1)当对媒体发布信息时，在数据披露流程中，可以考虑结合内容敏感程度，增加公关的审批节点，将数据披露的风险控制到最低。2)当涉及较大数据安全风险事件时，对外及时的响应应考虑由公关统筹发声，保障回应内容和方式被公众所接受。7 数据安全人员能力 数据安全治理不是简单技术形的工种，在现在大数据背景下，是一个复合型的工作，所需要配备的人员也需要具有多方面的能力。数据安全领域较新，在国内这方面培养的人员较少，也是当前逐步需要提升的关键任务。数据安全的人员能力主要包括几个维度，数据安全管理能力、数据安全运营能力、数据安全技术能力和数据安全合规能力。通用能力在本章节中不再具体描述。7.1 数据安全管理能力 目前大部分组织尚未正式开展数据安全体系建设，也较少有数据安全的专职职能岗位，对人员能力的培养也在起步阶段。但是随着组织对数据安全的重视度逐步提高，体系建设的诉求也越来越强，所以如何建设完整的数据安全体系，做好数据安全管理是企业面临的第一大问题。数据安全管理包含以下能力：M1 熟悉国家网络安全法律法规及组织所属行业的政策和监管要求，了解行业内数据安全建设的最佳实践路线；12M2 具备良好的业务发展战略判断能力，能够通过平衡业务需求和法律风险进行战略思考并提供实用建议；M3 熟悉组织的业务特性，能根据业务的发展变化，制定或调整组织的数据安全策略；M4 能够基于组织的数据安全策略，编制相关的制度体系文件，对业务过程进行规范指导；M5 在隐私保护、数据安全、风险管理、审计合规等相关领域至少 3 年以上的管理经验；M6 具备组织内跨部门的管理协调能力，能够调动其他部门资源配合落地相关的数据安全控制机制。M7 具备数据安全管理团队的组建及人才梯队建设的能力；M8 具备数据安全应急指挥能力，对业务过程中发生的数据安全问题，能够准确判断快速组织相关人员进行应急处置；M9 了解组织业务及数据特性，在各业务部门有针对性的落实数据安全策略和控制措施；M10 具备与国家单位、行业监管机构及合作伙伴之间的沟通协调能力，能利用外部资源协助组织数据安全体系的建设；M11 具备良好的数据安全风险意识。7.2 数据安全运营能力 数据安全建设是一个长期持续的过程，需要在组织内持续性的落实数据安全的相关制度和流程，并基于组织的业务变化和技术发展不断的调整和优化，安全也是一个不断螺旋上升的过程，因此需要做好数据安全运营工作。数据安全运营包含以下能力：O1 具备数据安全策略、制度规程及技术工具在组织内部的推广落地能力;O2 具备利用相关技术工具，对组织业务运营过程中的数据安全风险进行监测、识别、预警和处置的能力;O3 具备对组织现有数据安全控制措施的有效性进行识别和判断的能力;O4 具备对员工进行数据安全培训和安全意识教育的能力。7.3 数据安全技术能力 数据安全的实现，需要技术和工具平台的支撑，来完成安全管控措施的构建，从而实现数据安全能力的建设。数据安全技术目前正在逐步更新和迭代，在大数据环境下，要求组织内从事数据安全领域的技术人员具备以下能力：T1 熟悉国内外主流的数据安全产品和工具，如数据防泄漏（DLP）、脱敏工具、数据溯源、加密平台等，能准确判断当前组织所需的最佳实践，并深入和落地应用；T2 在数据安全全生命周期中，能评估潜在数据安全风险，如数据业务风险、数据风控风险、隐私保护风险等，并能制定有效、合理降低数据风险的解决方案或者措施；T3 在数据安全架构设计时，能够贴合业务和合规场景，覆盖数据在全生命周期中的保护；13T4 能对敏感数据流动做好审计工作，具备风险排查能力，快速处置数据的篡改和泄露等风险；T5 能对当前数据安全体系进行技术验证，如白盒、灰盒和黑盒等安全测试和对抗，从而让数据安全防御形成一个持续迭代更新的良性循环系统；T6 需要自研或平台型的组织，应熟悉数据安全技术发展，了解国内外前沿的数据安全和隐私保护技术，如加密技术、差分隐私和 UEBA 等，能在恰当时期引入组织需要的技术，从而降低数据安全和隐私保护的风险。7.4 数据安全合规能力 在数据安全领域，国内外越来越多的法律法规、标准逐步出台，如网络安全法、个人信息保护法（草案）、欧盟一般数据保护条例（GDPR）等，合规工作成了数据安全领域建设的底线。如何保障合规要求准确识别，并形成内部规章指导合规落地工作，主要具备的能力包括：C1 熟悉国内外数据安全和隐私保护的法律、政策和行业标准，并精通适用于本组织业务开展所必须遵守的法律、政策和标准内容；C2 能够依据外部合规要求，建立覆盖组织的数据安全和隐私保护的管理体系和机制，并推动多方参与，落地执行；C3 能够与组织内采购、供应商管理以及法律等部门合作，确保合作伙伴执行统一的标准，使得合同和操作层面的协议、数据安全和隐私保护管理计划，符合国内外数据安全政策与法规要求；C4 能够与业务、法务和风险等部门协作，发现的隐私合规问题，并制定纠正措施和计划，定期进行评审。7.5 人员能力与组织架构的映射 考虑到数据安全组织架构中各个层级能力要求会有侧重和交叉，用下图来表示他们之间映射关系：表1：人员能力与组织架构映射关系 组织架构组织架构 管理能力管理能力 运营能力运营能力 技术能力技术能力 合规能力合规能力 策略层 M1、M2、M3、M6、M7、M10 O1 T2、T3 C1、C2、14管理层 M1、M2、M3、M4、M5、M6、M7、M8、M9、M11 O1、O4 T1、T3 C1、C2、C3、C4 执行层（运营）M1、M6、M8、M9、M11 O1、O2、O3、O4 T1、T2、T3、T4 C1、C4 执行层（技术）M1、M6、M8、M9、M11 O2、O3 T1、T2、T3、T4、T5、T6 C1、C4 监督层 M1、M2、M3、M4、M5、M6、M7、M8、M9、M11 O3、O4 T1、T4、T5 C1、C4 员工、合作伙伴 M11/8 数据安全制度流程 8.1 制度体系架构设计 制度流程需要从组织层面整体考虑和设计，并形成体系框架。制度体系需要分层，层与层之间，同一层不同模块之间需要有关联逻辑，在内容上不能重复或矛盾。一般按照分为四级：图 3 数据安全制度体系层级 15 可以形成一份单独的文档，以图或表形式描述数据安全制度体系结构，对每一份制度文件给予编号和层级标识，具体编号和层级定义方式根据实际情况自定义，以便于索引和维护。常见格式如下：表 2：数据安全制度体系列表示意 编号 名称 层级 相关文件 版本 最新修订日期 DS-01-001 数据安全总纲 1 DS-02-001 数据资产管理 2 DS-02-002 系统资产管理 2 DS-02-003 数据质量管理 2 DS-02-004 数据安全人才管理 2 DS-02-005 2 DS-02-006 2 DS-03-001 数据采集管理规范 3 DS-03-002 数据传输管理规范 3 DS-04-001 数据脱敏规范 3 DS-04-002 日志管理规范 3 硬盘销毁操作指南 3 XXX 作业指导书 3 公共硬盘借用记录表 4 XXXX 模板 4 16 图 4：数据安全制度体系架构 8.2 制度体系架构说明 8.2.1 一级文件 方针和总纲是面向组织层面数据安全管理的顶层方针、策略、基本原则和总的管理要求等，主要内容包括但不限于：1)数据安全管理的目标、愿景、方针等；2)数据及数据资产定义：比如定义组织内数据包含哪些内容和类别，信息系统载体等；3)数据安全管理基本原则：比如数据分类分级原则、数据安全和业务发展匹配原则、数据安全管理方针和政策等；4)数据生命周期阶段划分和整体策略，比如：数据产生、数据存储、数据传输、数据交换、数据使用、数据销毁等。5)数据安全违规处理：比如违规事件及其等级定义，相应处罚规定等；8.2.2 二级文件 数据安全总纲 数据采集 采集流程及规范 采集指南或checklist 采集相关模板 采集报告 数据存储 数据传输 数据使用 日志管理 安全审计 数据资产管理 安全合规管理 数据分类分级管理 数据质量管理 数据安全人才管理 17数据安全管理制度和办法，是指数据安全通用和各生命周期阶段中某个安全域或多个安全域的规章制度要求，比如：通用安全域：数据资产管理、数据质量管理、数据安全合规管理、系统资产管理，等等。数据生命周期各阶段：数据采集安全管理、数据存安全管理、数据传输安全管理、数据交换安全管理、数据使用安全管理、数据销毁安全管理，以及某个安全域的安全管理要求，等等。8.2.3 三级文件 数据安全各生命周期及具体某个安全域的操作流程、规范，及相应的作业指导书或指南，配套模板文件等。在保证生命周期和安全域覆盖完整的前提下，可以根据实际情况整合流程和规范的文档数量，不一定每个安全域或者每个生命周期阶段都单独建立流程和规范。数据安全操作指导书或指南，是对数据安全管理流程和规范的解释和补充，以及案例说明等文档，以方便执行者深入理解和执行；并非强制执行的制度规范，仅供参考。数据安全模板文件是与管理流程、规范和指南相配套的固定格式文档，以确保执行一致性，以及数据或信息的汇总统计等。比如，权限申请和审批表模板，日志存储格式模板，等等。有条件的情况下，一般都通过技术工具实现。8.2.4 四级文件 指执行数据安全管理制度产生的相应计划、表格、报告、各种运行/检查记录、日志文件等，如果实现自动化，大部分可通过技术工具收集到，形成相应的量化分析结果，也是数据的一部分。9 数据安全技术工具 9.1 技术工具架构设计 数据生命周期中所有安全域涉及到的技术工具，可以是独立的系统平台、工具、功能或算法技术等，在规划设计时不用单独针对某个安全域，需要整体考虑。尤其涉及到通用的技术工具，需要整合，且和组织的业务系统和信息系统等进行衔接。围绕组织业务系统和数据流，技术工具整体设计框架参考如下图：18 图5：技术工具架构图 19 数据安全技术工具和各个安全域对应关系如下表：表3：技术工具和PA对照表 阶段 技术工具 涉及 PA 安全域 通用 账号管理平台 PA1-PA27 编号 安全域 PA01 数据分类分级 PA02 数据采集安全管理 PA03 数据源鉴别及记录 PA04 数据质量管理 PA05 数据传输加密 PA06 网络可用性管理 PA07 存储介质安全 PA08 逻辑存储安全 PA09 数据备份和恢复 PA10 数据脱敏 PA11 数据分析安全 PA12 数据正当使用 PA13 数据处理环境安全 PA14 数据导入导出安全 PA15 数据共享安全 PA16 数据发布安全 PA17 数据接口安全 PA18 数据销毁处置 PA19 介质销毁处置 PA20 数据安全策略 PA21 人力资源安全 PA22 合规管理 PA23 数据资产管理 PA24 数据供应链安全 PA25 元数据安全 PA26 终端数据安全 PA27 监控与审计 权限管理平台 PA1-PA27 流程审批平台 PA1-PA27 数据资产管理平台 PA1-PA27 监控/审计平台 PA1-PA27 日志管理平台 PA1-PA27 数据供应链管理平台 PA1-PA05，PA14-PA19 数据安全门户 PA1-PA27 元数据管理平台 PA1-PA27 数据血缘管理 PA1-PA27 数据质量监控 PA1-PA17，PA23-PA25 安全合规管理 PA02、PA16、PA22 数据采集 数据分类分级 PA01 数据源认证 PA02、PA03 数据传输 加密技术 PA05 脱敏技术 数据存 储 加密技术 PA07、PA08、P09 密钥管理 PA07、PA08 备份/恢复 PA09 数据处理 加密技术 PA10-PA14 脱敏技术 数据交换 数据接口管理 PA17 数据交换监控 PA14-PA16 数据销毁 数据清理/销毁 PA18 介质清理/销毁 PA19 20 9.2 技术工具架构说明 9.2.1 业务系统 业务系统是组织业务运行的信息系统，包括前台应用、后台数据库和管理平台等等，支撑数据从采集、存储、传输、处理、交换到销毁整个生命周期过程，几乎所有数据安全的技术工具都要对接并运用在这些信息系统上。9.2.2 通用技术工具 通用技术工具是指所有或绝大部分生命周期阶段（或安全域）都要用到的技术工具，或者是数据安全管理的基础平台，或者是整合数据安全管理信息和入口的门户网站等。比如身份和权限控制平台，所有业务系统和管理平台要接入进行统一控制；日志管理平台，需要从所有业务系统和管理平台采集系统和访问者操作日志，并统一日志规范以方便后续监控和审计。9.2.3 各阶段技术工具 各阶段技术工具，仅部分生命周期阶段（或安全域）适用的技术工具，或者是一些单独的算法技术和功能模块，只对接或应用到部分信息系统和管理平台。比如数据分分级打标工具，对数据资产进行打标；比如数据安全接口管理，对数据库接口调用安全进行管理；比如加密技术，脱敏技术，应用在数据存储和传输等过程。10 数据安全域实施指南 该章节将结合制度流程和技术工具整体规划设计和实施要求，对数据生命周期每一个安全域充分定义级（三级）的背景目标和实践要求进行解读，并给出一些实施指南和案例参考。10.1 数据采集安全 10.1.1 PA01 数据分类分级 10.1.1.1 过程域设定背景和目标 21大数据应用在不断发展创新的同时，由于数据违规收集、数据开放与隐私保护相矛盾以及粗放式“一刀切”管理方式等给大数据应用的发展带来严峻的安全挑战。大数据资源的过度保护不利于大数据应用的健康发展，数据分类分级的安全管控方式能够避免“一刀切”带来的问题，通过对数据进行分类分级，实现数据资源的精细化管理和保护，确保数据应用和数据保护的有效平衡。10.1.1.2 过程域具体标准要求解读 l 制度流程：制度流程：数据资产的分类分级管理包括两个层面：首先需要先制定组织机构层面的数据分类分级原则和要求，如按照数据的重要程度进行分类，在数据分类基础上根据数据损坏、丢失、泄漏等对组织造成形象损害或利益损失程度进行数据分级等；其次在组织机构总体分类分级的原则下，可针对具体关键业务场景制定数据分类分级的实施细则，这里的数据分类分级应包含有业务属性；数据分类分级目的是为了对数据采取更合理安全管理和保护，需要对分类分级的数据进一步制订具体的保护细则，包括对不同级别的数据进行标记区分、明确不同数据的访问人员和访问方式、采取的安全保护措施（如加密、脱敏等）；数据分类分级的建立及变更审核流程，是指在具体数据分类分级应用场景中对数据分类分级的执行过程、结果确认及分类分级的变更等过程需要明确详细的操作流程及相关的审核机制，避免出现与分类分级原则和制度不符合的情况发生。l 技术工具：技术工具：数据分类分级工具：通过对识别的数据资产进行分类分级，针对不同级别的数据进行策略设置，以实现敏感数据的识别和跟踪管理。数据分类分级一般包括主要功能：支持多种敏感数据识别模式，包括预定义模式、自定义模式、相似数据发现模式等；支持常见的敏感数据类型发现能力，包括姓名、电话号码、邮箱、身份证号码、银行卡号、住址等；支持对数据进行自定义分类和分级，用户可通过编写不同的识别规则如正则表达、关键字匹配等来识别自定义的敏感数据；支持相似性敏感数据发现功能，通过对已指定的部分样本数据进行机器学习，从而对其它类似数据进行分类分级；支持对识别数据进行标记的管理，包括标记自定义、标记设置、标记变更等功能；应包括数据分类分级的操作、变更过程进行日志的记录和分析功能；10.1.1.3 过程域充分定义级实施指南 22l 制度流程参考：数据分类分级实施建议：数据分类分级在具体执行过程中，应综合考虑数据分类分级粒度对数据生命周期各阶段的实现过程的影响，包括人员能力、工具实现等情况，建议多次逐步递进的惯例，不要求一步到位；过度复杂的分类分级方案可能对使用来说不方便和不经济，或许是不实际的；在数据分类时应防止出现分类重复或交叉的情况，可以根据业务数据特点分成几个大类，对于较复杂的数据场景还可以对大类进一步细化二级分类；数据分级可根据数据的保密性、完整性和可用性这三个安全目标进行分级，也可依据数据受到破坏后产生的潜在影响进行分级；案例：案例：xxxx组织组织数据数据分分类分级类分级实施实施指引指引关键内容：关键内容：数据范围 数据分类分级角色和职责 数据分类的原则 数据分类分级方法 数据分类、数据分级 建立数据分类分级清单 数据生命周期的保护机制 数据分类分级的关键问题处理 l 技术工具参考：标签库：根据分类分级规则，建立标签库；可以单独成一个静态库，也可以直接在打标工具/系统后台进行配置；结构化数据打标：用户在建表时对字段标签直接进行设置，基于数据库的权限模型对底层数据表的列权限控制；非机构化数据打标：引入自然语言处理、数据挖掘和机器学习进行等技术，对内容识别并实现数据分类分级。比如文本识别的机器学习过程：标注：利用人工对一批文档进行了准确分类，以作为训练集（进行机器学习的材料）；训练：计算机从这些文档中挖掘出一些能够有效分类的规则，生成分类器（总结出的规则集合）；分类：将生成的分类器应用在有待分类的文档集合中，获取文档的分类结果。由于机器学习方法在文本分类领域有着良好的实际表现，已经成为了该领域的主流。23l 标准参考：DB 52/T 11232016政府数据 数据分类分级指南 10.1.2 PA02 数据采集安全管理 10.1.2.1 过程域设定背景和目标 数据采集过程中涉及包括个人信息及商业数据在内的海量数据，现今社会对于个人信息和商业秘密的保护提出了很高的需求，需要防止个人信息和商业数据的滥用，采集过程需要信息主体授权，并应当依照法律、行政法规的规定和与用户的约定，处理其相关数据；另外还应在满足相关法定的规则的前提下，在数据应用和数据安全保护间寻找适度的平衡。10.1.2.2 过程域具体标准要求解读 l 制度流程：建立数据采集安全合规管理规范：明确数据采集的目的、用途、方式、范围、采集源、采集渠道等内容，对外部数据提供方及被采集者提供的数据进行合法性和正当性的确认，必须满足相关法律法规要求；建立数据采集的风险评估流程：明确数据采集的风险评估方法、评估周期、评估对象，识别相关的法律法规并纳入合规评估，如是否符合网络安全法、个人信息安全规范等国家法律法规及行业规范；数据采集过程的数据保护：明确数据采集过程中的个人信息和重要数据的安全控制措施，如采取数据脱敏、数据加密、链路加密等，确保数据在采集过程中的个人信息和重要数据不被泄漏。l 技术工具：部署数据采集系统或相关工具，设置统一的数据采集策略（如采集周期、频率、采集内容等）对数据进行采集，保证数据采集流程实现的一致性；并且在采集过程中对被采集方授权同意采集的过程和信息进行日志记录；实施数据采集过程的数据防泄漏安全技术措施：如采集数据的加密、采集链路加密、敏感信息和字段的脱敏、权限的访问控制等，这些措施一般是指在采集后传输、存储等过程中的安全保护，可参考其它安全相关安全域的工具实现；10.1.2