一、数据安全管理机构
开展数据安全管理工作,首先要专门的数据安全管理机构,明确谁长期负责数据安全管理的政策、实施和监督,确保数据安全管理的有效实施。
通常,我们可以称成立的机构为“数据安全管理委员会”或“数据安全管理小组”,该组织不是传统意义上的实体组织,属于虚拟组织,组织成员由数据利益相关者和专家组成,这里称为利益相关者,因为这些人可能不仅是数据用户,也是数据本身的代表( 用户)、数据所有者、数据负责人。
数据安全管理委员会或数据安全管理小组本身不仅是安全战略、安全规范和安全流程的制定者,也是安全战略、规范和流程的受众。
在 DGPC 这个机构在框架中一般称为DGPC 团队,或 Data Stewards, :This is a virtual organization whose members are collectively responsible for defining principles, policies and procedures that govern key aspects of data classification, protection,use and management.
① 制定数据分类、保护、使用和管理的原则
② 制定数据分类、保护、使用和管理策略
③ 制定数据分类、保护、使用和管理的过程
该团队的组成是:IT,human resources,legal and finance departments as well as business groups and the marketing department—in short,any group with a stake in collecting,processing,using and managing personally identifiable information (PII),intellectual property,trade secrets and other types of confidential information.(IT、所有与人、知识产权、私人信息相关的部门,如人力资源、法律事务、财务、业务和市场部门)
二、机构五大责任
正式数据安全管理机构的建立标志着数据安全管理工作组织的正式启动,不断完善组织内数据安全标准的制定、数据安全技术的引入和数据安全系统的建设。数据安全管理机构成立后,应当履行以下职责:
(1)制定数据分级分类原则
数据分类原则往往是数据安全管理机构成立后需要解决的核心问题。只有制定合理有效的分类原则,才能明确核心敏感数据、次要敏感数据和公共共享数据,并在此基础上设置不同的共享策略和原则。
(2)数据安全使用(管理)规范的制定
数据安全使用规范的制定,标志着数据安全治理已进入规范化阶段,具有可靠的进化框架。
在这一阶段的早期阶段,应完成敏感数据的分布、内部角色和数据的使用。在此基础上,了解不同类型的敏感数据是如何被相关者使用的。
在中期,要完成基于现状的安全分析,明确日常合理合法行为;明确风险和违法行为;在特定情况下明确数据访问的审批结构。
***,要明确有序地将这些角色和访问过程的控制要求定义为整个组织认可的文件,并以官方形式正式发布。
(3)导入数据安全治理技术
人类历史上积累的数据***资产和财富,数据安全规范的实施,不可能依靠人工完成,任何依靠人工的方式,都是不可想象的。
必须引入大量的现代技术和工具,帮助完成数据梳理、控制、行为监控和风险预警。
(4)监督执行数据安全使用规范
信息部门作为数据安全管理的核心机构,在制定数据安全管理规范后,最重要的职责是监督规范的实施,处理异常和风险行为。
数据安全管理中的相关业务和使用部门的职责是在本部门实施安全管理规范。
(5)数据安全治理的不断演进
数据安全管理不是一蹴而就的。有了之一阶段的框架,我们应该完成安全管理规范和技术支持平台的演变,根据实施中面临的风险状况、安全事件、组织结构调整、业务系统启动等。
三、数据安全管理受众
数据安全管理者的另一个关键角色是数据安全的受众,包括数据安全策略、规范和流程的执行者和管理者;数据用户、管理者、维护者和分发者。事实上,大多数数据利益相关者都属于数据安全管理的受众。
与数据相关的常见组织部门包括:
安全管理部门:安全制度制定、安全检查、技术引进、事件监控处理 业务部门:业务人员安全管理、业务人员行为审计、业务合作伙伴管理 运维部门:运维人员行为准则与管理、运维行为审计、运维第三方管理 其他:第三方外包、人员、采购、审计等部门
数据安全管理中不同角色的职责一般包括: 安全管理部理部门:政策制定者、检查审计管理、技术导入 业务部门: 操作维护、开发测试、生产支持
四、组织框架举例
以 *** 部门数据安全治理组织框架为例:
图1某 *** 部门数据安全治理组织框架图
图2 运营商数据安全管理的相关组织和角色结构图
以运营商构建的数据安全管理组织框架为例:业务管理部、信息安全部、运维支持部、企业信息部、审计部等部门是直接接触数据的核心部门,无论是借助数据进行正常业务工作,还是信息数据安全保护,还是参与数据测试、开发、共享和维护,都承担了数据安全保护的义务和责任,这些观众的日常工作行为需要在既定的数据安全策略和规范下进行,遵循数据安全过程,共同参与数据安全管理。
五、结语
人或团队是所有工作的核心。只有确定数据安全管理的组织结构和角色分工,才能进一步明确权责,形成科学合理的管理秩序,进而确保数据安全管理能够有序推进。
【本文是51CTO专栏作者“安华金和”请联系原作者转载原稿
戳这里,看作者更好的文章
版权声明
本文仅代表作者观点,不代表本站立场。
本文系作者授权发表,未经许可,不得转载。