數據安全是指通過采用各種技術和管理措施，保證數據的機密性，完整性和可用性： ? 機密性：又稱保密性，是指個人或團體的信息不為其他不應獲得者獲得。 ? 完整性：指在傳輸、存儲信息或數據的過程中，確保信息或數據不被未授權的篡改或在篡改 后能夠被迅速發現。 ? 可用性：保證合法用戶對數據的使用不會被不正當地拒絕 數據安全管理是計劃、制定、執行相關安全策略和規程，確保數據和信息資產在使用過程中有恰當 的認證、授權、訪問和審計等措施。有效的數據安全策略和規程要確保合適的人以正確的方式使用和更 新數據，并限制所有不適當的訪問和更新數據。組織內部的數據安全管理工作主要包含數據安全標準與 策略、數據安全保護，數據安全審計等三個方面。

1數據安全標準與策略
1.1 概述
數據安全標準與策略是對組織內部數據安全等級的劃分以及各級數據安全防護、管理原則的定義和 標準化。數據安全標準與策略是數據安全的核心內容，在制定的過程中需要結合組織管理需求、監管需 求以及相關的標準等信息來統一制定。

1.2 過程描述
數據安全標準與策略過程域主要包含以下活動：

a) 理解數據安全的業務需要
理解組織的使命和業務戰略，將其作為規劃數據安全策略時的指導 因素，并需要協調短期和長期目標來實現均衡和有效的數據安全職能，業務規則和流程定義了 安全接觸點。業務工作流中的每一個事件都有自身的安全要求。數據到流程（Data-to-Process） 和數據到角色（Data-to-Role）關系矩陣是映射這些需求的一個有用工具，可以引導數據安全 角色、參數和權限的定義。

b) 理解數據安全的監管需求
快速變化和全球化要求組織遵守越來越多的法規，因此制定數據安 全策略的時候要充分考慮國家、行業等方面的監管需求，在充分了解外部監管需求的情況下進 行組織本身數據安全管理的標準和策略。

c) 定義數據安全標準
在綜合考慮組織業務需求、外部監管需求的情況下，制定適合組織自身的 數據安全標準，劃分數據安全等級、描述各個安全等級覆蓋的范圍，數據管理的要求等。

d) 定義數據安全策略
為保證數據的私密性和完整性，需要全面定義組織數據安全管理的目標、 原則、管理制度、管理組織、管理流程等等，為組織的數據安全管理提供保障。

1.3 建設目標
數據安全標準與策略管理的建設目標如下：
a) 建立統一的數據安全標準；
b) 提供清晰的數據安全策略。

1.4 度量標準
度量標準應包含以下內容：
a) 級別 1：初始級
1) 在項目中設置了數據安全標準與策略，并且在文檔中進行了描述。

b) 級別 2：受管理級
1) 在業務條線內部建立了數據安全等級標準；
2) 在業務條線內部建立了數據安全管理策略；
3) 在業務條線內部識別了數據安全相關的干系人；
4) 建立了數據安全標準與策略相關的管理流程。

c) 級別 3：已定義級
1) 建立了組織統一的數據安全等級標準以及數據安全控制策略，并且正式發布；
2) 數據安全的標準與策略的制定能夠按照業務戰略的要求進行優化；
3) 識別了組織內外部的數據安全需求，包括外部監管的需求、法律的需求；
4) 標準化了數據安全標準與策略相關的管理流程；
5) 定期開展數據安全相關的培訓和宣講。

d) 級別 4：量化管理級
1) 建立了數據安全標準與策略的溝通反饋渠道，能夠收集各方的意見以及業界發展的動態；
2) 定期優化提升數據安全標準與策略。

e) 級別 5：優化級
1) 數據安全標準與策略被組織內部人員普遍接受，數據安全意識得到極大的提升；
2) 數據安全標準與策略能夠滿足組織發展各方面的需求。

2 數據安全管理
2.1 概述
數據安全管理是在數據安全標準和策略的規劃下統一對組織數據安全的管理工作。通過對數據訪問 的授權、分類分級的控制，監控數據的訪問等多方面來進行數據安全的管理工作，滿足數據安全的業務 需求和監管需求，實現組織內部數據的全生命周期的數據安全管理。

2.2 過程描述
數據安全管理過程域主要包含以下活動：

a) 數據安全等級的劃分
根據組織數據安全等級標準，在充分了解組織數據安全管理需求的前提 下，對組織內部的數據進行等級劃分，并且形成數據安全等級文檔，制定各等級數據的安全控 制策略。

b) 數據訪問權限控制
制定數據安全管理相關的干系人清單，了解相關人員數據安全的需求，對 相關人員的數據訪問、控制權限進行授權。

c) 監控用戶身份認證和訪問行為
監控活動有助于檢測到異常或可疑的交易，方便進一步調查和 解決問題。執行監控可以是主動的方式，也可以是被動的方式。自動化系統配合一定的人工檢 查，一般來說是的最佳監控方式。

d) 數據安全的保護。提供數據安全保護控制相關的措施或者工具，例如數據加密、數據脫敏，數 據自動銷毀等，保證數據在應用過程中的隱私性。

2.3 建設目標
建設目標應包括以下內容：
a) 對組織內部的數據分類進行管理，關注重點數據的管理需求；
b) 對數據在組織內部流轉的各個環節進行監控，保證數據的安全。

2.4 度量標準
度量標準應包含以下內容：
a) 級別 1：初始級
1) 在項目中進行了數據訪問授權；
2) 在項目中進行了數據訪問監控。

b) 級別 2：受管理級
1) 依據數據安全標準在業務條線內部對數據進行了安全等級的劃分；
2) 在業務條線內部進行了項目干系人需求的識別，并進行了數據訪問授權；
3) 在業務條線內部進行了數據訪問、使用等方面的監控。

c) 級別 3：已定義級
1) 對于組織數據進行了全面的安全等級劃分，每級數據的安全需求能夠清晰定義，安全需 求的責任部門明確；
2) 外部監管的數據范圍得到定義，能夠清楚的定義外部監管對于數據的安全需求；
3) 圍繞數據的生命周期，了解各階段相關干系人的數據安全需求，并且進行數據安全授權；
4) 能夠對于數據進行全生命周期的安全監控，及時了解可能存在的安全隱患；
5) 對于不同的數據使用對象，可以根據數據脫敏、加密、過濾等技術來提供數據的不同版 本，從而保證數據的私密性；
6) 新的項目建設中能夠自動按照數據安全要求進行數據的安全等級劃分、數據安全控制等。

d) 級別 4：量化管理級
1) 定義了數據安全管理的考核指標和考核辦法；
2) 定期匯總數據安全管理工作進展，在組織層面發布數據安全管理工作報告；
3) 數據安全管理工作中發現問題的責任人明確，能夠及時得到解決；

e) 級別 5：優化級
1) 數據安全管理相關的經驗得到業界的認可，成為行業最佳實踐。

3 數據安全審計
3.1 概述
審計數據的安全性是一項控制活動，負責經常性分析、驗證、討論、建議數據安全管理相關的政策、 標準和活動。數據安全審計是一項管理活動，是就實際數據管理工作細節的分析工作。審計工作可能由 組織內部或外部審計人員來執行，審計人員必須獨立于審計所涉及的數據和流程。數據安全審計的目標 是為管理層、數據治理委員以及外部監管機構會提供客觀中肯的評價、合理可行的建議。

3.2 過程描述
數據安全策略聲明、標準文檔、實施指南、變更請求、訪問監控日志、報表輸出，以及其他電子和 書面記錄等形成審計的基礎。另外除了評審現有證據，審計活動還可能包括執行一些測試和檢查等，通 過一定的工具、命令來評審數據當前的安全性。數據安全審計是一個支持性、可重復的過程，應當有規 律的、高效的持續執行數據安全審計工作。 數據安全審計過程域主要包含以下活動：

a) 過程審計
分析實施規程和實際做法，確保數據安全目標、策略、標準、指導方針和預期結果相一致。

b) 規范審計
評估現有標準和規程是否適當，是否與業務要求和技術要求相一致。

c) 法規審計
檢索和審閱機構相關監管法規要求，驗證機構是否符合監管法規要求。 d) 供應商審計。評審合同、數據共享協議、確保外包和外部供應商切實履行他們的數據安全義務， 同時保證組織要履行自己應盡的義務。

e) 審計報告發布
向高級管理人員、數據管理專員以及其他利益相關者報告組織內的數據安全狀 態，以及組織的數據安全實踐成熟度。

f) 數據安全建議
推薦數據安全的設計、操作和合規改進工作建議。

3.3 建設目標
數據安全審計的建設目標如下：
a) 確保組織的安全需求、監管需求得到滿足；
b) 及時發現數據安全隱患、問題，改進數據安全措施；
c) 提出數據安全管理建議，促進數據安全的優化提升。

3.4 度量標準
度量標準應包含以下內容：

a) 級別 1：初始級
1) 對組織內部重點數據的安全管理策略文檔進行了檢查；
2) 對組織內部重點數據的安全管理過程進行檢查；
3) 對組織內部重點數據的管理流程建了檢查。

b) 級別 2：受管理級
1) 檢查數據安全管理標準與策略是否能夠滿足各業務條線數據安全管理的需要；
2) 評價數據安全管理的措施是否能夠是按照數據安全管理標準與策略的要求來進行開展；
3) 數據安全管理流程是否按照要求開展，是否具有過程文檔記錄。

c) 級別 3：已定義級
1) 評審數據安全標準與策略對于業務需求、外部監管需求的滿足度；
2) 評審數據安全管理組織、職責、流程的設置情況；
3) 評審組織數據安全等級的劃分情況；
4) 評審數據安全管理組織工作開展情況；
5) 評審數據安全監控的結果記錄情況；
6) 評審新項目開展過程中的數據安全管理工作情況。

d) 級別 4：量化管理級
1) 引入外部專業數據安全審計機構進行數據安全管理工作的評審；
2) 數據安全報告中是否評價了數據安全的業務影響、經濟影響，是否分析了數據安全的根 本原因。
3) 數據安全審計中是否提出數據安全管理工作的改進建議，相關的改進建議是否能夠得到 落實；
4) 數據安全的管理流程、組織能夠根據數據安全審計來進行優化提升，實現數據安全管理 的閉環。

e) 級別 5：優化級
1) 數據安全設計成為公司審計工作的重要組成，能夠數據安全的審計推動數據安全標準和 策略的優化以及實施；
2) 成為行業標桿，進行行業經驗分享。