数据安全能力建设实施指南V1.0.pdf

数据安全能力建设实施指南 V1.0 (征求 意见 稿 ) 数据安全能力成熟度模型 (DSMM)配套文档 2018-9-29 2 目 录 前 言 . 3 1 范围 . 4 2 规范性引用文件 . 4 3 术语 和定义 . 4 4 缩略语 . 5 5 数据安全能力建设框架 . 5 5.1 数据安全与现有安全体系融合 . 5 5.2 数据安全能力建设框架 . 5 5.3 能力建设框架图说明 . 6 6 数据安全组织建设 . 7 6.1 组织架构设计 . 7 6.2 协同部门数据安全职能 . 9 7 数据安全人员能力 . 11 7.1 数据安全管理能力 . 11 7.2 数据安全运营能力 . 12 7.3 数据安全技术能力 . 12 7.4 数据安全合规能力 . 13 7.5 人员能力与组织架构的映射 . 13 8 数据安全制度流程 . 14 8.1 制度体系架构设计 . 14 8.2 制 度体系架构说明 . 16 9 数据安全技术工具 . 17 9.1 技术工具架构设计 . 17 9.2 技术工具架构说明 . 20 10 数据安全域实施指南 . 20 10.1 数据采集安全 . 20 10.2 数据传输安全 . 29 10.3 数据存储安全 . 33 10.4 数据处理安全 . 38 10.5 数据交换安全 . 45 10.6 数据销毁安全 . 52 10.7 通用安全 . 56 11 参考文献 . 70 3 前 言 本指南 由 阿里巴巴数据安全研究院 发起，统筹规划和发布，最终解释 归口。 某些内容 可能涉及专利，本指南的 发布机构不承担识别这些专利的责任。 本指南 参与 起草 单位： 阿里巴巴（中国）有限公司 （下文简称“阿里巴巴”） ， 杭州数梦工场科技有限公司 （下文简称 “ 数梦工场 ” ） 、杭州安恒信息技术股份有限公司 （下文简称“安恒信息”）、 浙江蚂蚁小微金融服务集团 （下文简称“蚂蚁金服”）、 阿里云计算有限 公司 （下文简称“阿里云”） 。 各章节参与单位及人员 ： 主要章节 起草单位 起草人员 第 5章 数据安全能力建设框架 阿里巴巴数据安全研究院 张迅迪、薛勇 第 6章 数据安全组织建设 阿里巴巴数据安全研究院 陈彩芳 数梦工场 何维 群 第 7章 数据安全人员能力 阿里巴巴数据安全研究院 陈彩芳 蚂蚁金服 陈树鹏 安恒信息 周俊 第 8章 数据安全制度流程 阿里巴巴数据安全研究院 薛勇 第 9章 数据安全技术工具 阿里巴巴数据安全研究院 薛勇 第 10章 PA01、 PA02、 PA03 数梦工场 何维群 第 10章 PA14、 PA15、 PA16、 PA17 数梦工场 毛昱 第 10章 PA04、 PA07、 PA08、 PA09、PA18、 PA19、 PA20、 PA21、 PA25 阿里巴巴数据安全研究院 薛勇 第 10章 PA05、 PA06 安恒信息 周俊 、 徐胜兵 第 10章 PA10、 PA11、 PA12、 PA13 安恒信息 周俊 、 徐胜兵 第 10章 PA22、 PA26、 PA27 蚂蚁金服 陈树鹏 第 10章 PA23、 PA24 阿里云 张敏翀 第 2章和第 10章所有 PA涉及的国家和行业标准 ，以及全文排版校对 阿里 巴巴标准化部 白晓媛 本指南还得到以下单位相关领导和专家们的大力支持，参与了指南的评审并提出宝贵建议： 阿里巴巴 （ 杜跃进 、 张玉东 、 朱红 儒 、 张世长 、 潘亮 、贾雪飞）， 电子四院 （ 胡影 、 张宇光 ） ， 数梦工场 （ 孙晖 ） ， 安恒信息 （ 林明峰 ）， 蚂蚁金服 （ 王心刚 、 王道奎 ） ， 阿里云 （ 岑欣伟 、 张大江 ） 。 4 数据安全能力 建设 实施指 南 1 范围 本指南 依据信息安全技术 数据安全能力成熟度模型 （简称 DSMM） 制定， 以数据为核心， 重点围绕数据生命周期，从组织建设、制度流程、技术工具和人员能力等 四个方面，提供数据安 全能力建设的具体实施指南，为组织数据安全能力建设提供参考。 规划输出系列版本，这次版本以 数据安全能力成熟度三级 为目标，即如何达到 DSMM规定的充分定义级（三级），后续升级版再陆续补充其他级别的 指南 内容。 2 规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 25069 2010 信息安全技术 术语 GB/T XXXX XXXX 信息安全技术 数据安全能力成熟度模型 (待发布 ) GB/T 35273 2017 信息安全技术 个人信息安全规范 GB/T 35274 2017 信息安全技术 大数据服务安全能力要求 3 术语和定义 GB/T 25069 2010中界定的以及下列术语和定义适用于本文件。 数据安全 data security： 保护数据的机密性、完整性和可用性。 数据安全能力 data security capability： 组织机构在组织建设、制度流程、技术工具以及人员能力等方面对数据的安全保障能力。 成熟度 maturity： 对一个组织的有条理的持 续改进能力以及实现特定过程的连续性、可持续性、有效性和可信度的度量。 成熟度模型 maturity model： 对一个组织机构的成熟度进行度量的模型，包括一系列的代表能力和进展的特征、属性、指示或是模式。成熟度模型提供一个组织机构衡量其当前的实践、流程、方法的能力水平的基准，并设置提升的目标。 数据脱敏 data desensitization： 通过 模糊化等 方法 对原始数据 进行 处理 以 屏蔽 敏感信息 的一种数据保护方法。 数据产品 data product： 直接或间接使用数据的产品，包括但不 限于能访问原始数据，提供数据5 计算、数据存储、数据交换、数据分析、数据挖掘、数据展示等应用的 软件 产品 。 数据处理 data processing： 对原始数据进行抽取、转换、加载的过程，包括开发数据产品或数据分析等。 合规 compliance： 对数据安全所适用的法律法规的遵循。 4 缩略语 下列缩略语适用于本标准： PA 过程域（ Process Area） BP 基本实践（ Base Practice） DSMM 数据安全能力成熟度模型（ Data Security Capability Maturity Model） IAM 身份识别与访问管理（ Identity and Access Management） BYOD 自带设备办公（ Bring Your Own Device） MDM 移动设备管理 （ Mobile Device Management） MAM 移动应用管理 (Mobile Application Management) MCM 移动内容管理（ Mobile Content Management） 5 数据安全 能力建设框架 5.1 数据安全与现有安全体系 融合 数据安全能力建设工作并非从零开始，大部分组织在此前或多或少已有一些安全体系，基本上是围绕信息系统和网络环境开展 安全保护工作， 主要 聚焦在信息安全 和网络安全；而数据安全是以数据为核心，围绕数据安全生命周期进行建设以提高数据安全保障能力，所以需要与当前安全体系进行融合。在决策层确定数据安全目标和愿景之后，再由数据安全管理层根据组织的业务发展实际情况讨论具体的融合方式 。 5.2 数据安全能力建设框架 基于 信息安全技术 数据安全能力成熟度模型 标准能力成熟 度等级 3级要求 ，数据安全能力建设可参考以下实施框架： 6 图 1：数据安全 能力建设框架 5.3 能力建设框架图 说明 整体来看，数据安全能力建设是以法律法规监管要求和业务发展需要为输入，结合数据安全在组织建设、制度流程和技术工具的执行要求，匹配相应人员的具体能力，组织的数据安全能力建设结果最终以数据生命周期 各个 过程 域来综合体现。下面对 合规和业务需求及 四个能力维度的框架设计进行概要说明： 合规和业务需求： 数据安全最终是为组织的业务发展服务的，不能游离于业务之外或独立存在。在满足法律法规要求的前提下，数据安全能力建设须 切合业务发展需要来开展 。 组织建设 ： 指 数据安全 组织 的架构建立、职责分配和沟通协作。 组织可分为决策 层、管理层和执行层等三层结构。其中， 决策 层由参与业务发展决策的高管和数据安全官组成，制定数据安全的目标和愿景 ，在业务发展和数据安全之间做出良好的平衡；管理层 是数据安全核心实体部门及业务部门 管理层 组成 ，负责制定数据安全策略和规划，及具体管理规范；执行层由数据安全相关运营、技术和各业务部门接口人组成，负责保证数据安全工作推进落地。 制度流程： 指 数据安全具体管理制度体系的建设和执行，包括数据安全方针和总纲、数据 安全管理规范、数据安全操作指南和作业指导，以及相关模板和表单等。 7 技术工具： 指 与制度流程相配套并保证 有效 执行的技术和工具， 可以是独立的系统平台、工具、功能或算法技术等。需要综合所有安全域 进行 整体规划和实现，且要 和组织的业务系统和信息系统等进行衔接 。 包括适用于所有安全域的通用技术工具，和部分阶段或安全域试用的技术工具。 人员能力 ： 指为实现以上组织、制度 和技术工具的 建设和执行其 人员应具备的能力。 核心能力 包括数据安全管理能力、数据安全运营能力、数据安全技术能力及数据安全合规能力。 根据不同数据安全能力建设维度匹配 不 同人员能力 要求。 6 数据安全 组织建设 数据安全 能力建设 是一个复合型、需多方联动型的工作，在开展组织架构建设时，需要考虑组织层面实体的管理团队及执行团队，同时也要考虑虚拟的联动小组，其中业务部门、研发部门、 HR、 IT、法务等部门均需要参与数据安全建设当中。成立数据安全组织其目的是明确数据安全的政策、落实和监督 等工作 ，以确保数据安全 能力 建设 的有效执行。 6.1 组织架构设计 设计 数据安全 的组织 架构 时 ， 可 按照 决策层、 管理 层、 执行 层、员 工 和合作伙伴、 监督 层的组织架构设计。在具体 执行 过程中， 组织 也 可 赋予已 有安全团队 与其它相关 部门 数据安全 的 工作职能 ， 或寻求第三方专业团队等形式开展工作 ， 组织架构图如下： 图 2：数据安全组织架构图 6.1.1 决 策层 决策层是数据安全管理工作的决策机构， 建议由数据 安全官及其它高层 管理 人员组成，数据安全官 是组织内数据安全的最终负责人。数据安全官应 能参与到组织 的 业 务 发展 决策，因为业务的发展和数据安全是密不可分 。除数据安全官 外 ， 其它 高层管理人员对于数据安全的重视和决策是非常重要的， 决策层也 需要 其它 业务、法务、研发等 高管 共同组成，形成定期的沟通运作机制， 其主要工作职责包括： 8 1) 制定组织的数据安全目标和愿景； 2) 对 数 据安全策略 和规划， 制度 与规范等 进行 发布 ； 3) 为 组织的 数据 安全建设的提供必要的资源； 4) 对公司 的 重大数据安全事件 进行协调和决策； 6.1.2 管理层 管理层是数据安全组织机构的第二层， 基于组织 决策层 给出的 策略 ，对 数据安全实际工作制定详细方案，做好业务发展与数据安全之间的平衡。在组织中承上启下，做好数据安全全面落地工作，是组织内开展数据安全工作最核心的部门 或岗位， 部分工作可能需要 组织 外部专业资源共同来履行。其主要工作职责包括： 1) 结合合规监管要求 和 业务发展需求 ， 制订数据安全整体 解决方案 并 组织 实施 ； 2) 制定数据安全管理策略 和规划，统 一 数据安全管理规范 体系等 ； 3) 建立 监控审计 机制 ：数 据 安 全 工 作 和 监 督 审 计 机 制 ，推 动 并 协 助 执 行 组 织 的 建 立 ，监 督 工 作有效开展 ； 4) 对组织内人员能力开展 数据安全 技术培训 和意识宣导 ，逐 步 提 升 数 据 安 全 工 作 人 员 的 能 力 水平 和 组织内人员安全意识 ； 5) 制定数据安全决策层 、管 理 层 、 执行 层 、监 督 层 等 的 运作机制， 保障数据安全工作在内部保持信息通畅、运作顺利 ； 6) 保持 外部组织的沟通 ， 包括国家及行业监管、第三方咨询服务商（安全咨询、安全厂商）以认证、测评机构（认证及认可、安全测评机构）等。 6.1.3 执行 层 执行 层与管理层是紧 密配合的关系，其职责 主要聚焦每一个数据安全场景，对设定的流程进行逐个实现。 执行 层主要包括数据 安全专职人员和 各业务部门的数据安全 接口 人员、风险管理人员、数据owner等 ，其 主要 工作 职责主 要 包括： 1) 负责 数据安全风险的评估 和改进 ； 2) 负责 数据安全运营 工作 ，如：数据权限授权、数据共享、数据下载等审批； 3) 负责 数据安全事件的跟进和处理； 4) 协助数据安全管理团队展开数据治理工作，如数据分类分级工作； 5) 负责 数据安全专案项目管理和实施。 6.1.4 员工和合作伙伴 9 范围包括组织内部人员 和 有合作的第三方的人员， 须 遵守并执行组织内对数据安全的要求 ， 特别是 共享 敏感数据 的 第三方，从协议 、 办公环境、 技术工具方 面等做好约束和管理。 员工和合作伙伴 主要职责是： 1) 履行组织对数据安全的要求，部署数据安全工具； 2) 通过培训、考试、案例学习 等 提升 数据 安全意识； 3) 提升数据安全风险识别的能力，能结合业务判断数据安全风险，并降低风险发生； 4) 对组织内风险及时申报，不断协助管理团队提升数据安全防护能力 。 6.1.5 监督 层 数据安全 监督 层 负责定期监督审核管理小组 、 执行小组 ， 员工和 合作伙伴 对数据安全政策 和管理要求 的执行情况，并且向 决策层 进行汇报， 监督层人员 必须 具备独立性，不能与其它 管理小组 、 执 行小组 等 人员 共 同兼任， 建议 由组织内部的审计部门担任。 其 主要 职责包括： 1) 对数据安全制度落地执行情况监督； 2) 对数据安全工具执行有效性监督； 3) 对数据安全风险开展监控与审计； 6.2 协同 部门 数据 安全职能 数据安全组织和组织内多个部门之间有非常紧密的关系，在组织架构的顶层设计层面，业务部、 IT部、法务部、 HR、研发部、风控部、公关部等部门需要参与到策略方向及重大事件的决策中；在实际数据安全业务开展层面，从平台底层设计到流程制定实施、安全工具部署、人员安全管控、数据安全合规、对外披露等方面均需要深度介入和协作。 同时， 需要 数据安全管理层制定与各部门之间的数据安全工作机制，目的是 为了保障 数据安全工作顺利开展，过程中的争议得到解决，如数据安全安全团队与业务方、法务以及合作伙伴之间的日常工作交流、争议与问题解决等事项。 这些职能部门所涉及的数据安全工作在第十章节会有更详细的 描述 ，这 里 主 要 列 举 了 一 部 分 组 织 部 门在数据安全 能力建设 上可能会涉及的协同工作 ，具 体部门名称 在 不同组织内可能 会 有差异，具体以实际情况为主 。 6.2.1 业务部门数据安全职能 10 业务部门在组织内主要职能是拓展业务，保障业务持续发展，但是同时需要兼顾数据安全风险问题。在业务开展过程 中，主要会涉及以下几方面的数据安全联动工作，对于较为复杂大型的组织，考虑业务内部有一名数据安全接口人经过培训、赋能等工作（兼职）开展以下相关工作： 1) 业务新增：大部分场景主要涉及数据采集合规，需要由数据安全组织及法务合规部门，联合开展新增业务的数据安全风险评估。 2) 业务运营：可能涉及数据批量查询、下载、分析和处理，过程中做好岗位权限管理，保障数据最小化使用的原则。 3) 业务外部合作：当与外部产生合作，可能涉及数据共享、交换等场景，需要数据安全组织或数据安全接口人开展数据共享、数据披露的风险评估，避免敏感数据外泄等风 险；同时接收外部合作的数据时，与合规部门联合做好数据来源合法的控制等措施。 4) 数据安全事件：当业务部门内部发生数据安全事件时，业务负责人需要联合数据安全组织及时调查和处理，降低事件影响面及影响程度。并举一反三，改进业务流程机制，降低数据安全风险。 5) 其他数据安全执行工作，风险上报等职能。 6.2.2 人力资源部门数据安全职能 人员资源部门主要负责企业内部人员招聘、管理等工作，在人员入职、调岗、离职等过程中，做好人员完整链路的数据安全协同工作，同时需要对数据安全违规人员进行处罚设置及处理。具体数据安全工作职能详见 10.x的 PA21的详细解读。 6.2.3 IT部门数据安全职能 IT部门主要实现组织内信息化的工作，过程中涉及到多个数据安全相关的管理工作，一般由数据安全组织制定策略制度，由 IT部门开展执行落地。主要数据安全职能包括： 1) 服务器、硬盘、 PC等介质的安全管理 ； 2) 终端安全的防护措施部署 ； 3) 高风险软件、云盘、通信工具等软件的管理策略执行 。 6.2.4 法务部门数据安全职能 法务部门主要负责政策法律、合作协议等相关事项，其中数据安全个人隐私的政策法规逐步出台和完善，结合实际业务组织开展内部的数据安全合规工作至关重要。具体开展时，可利用外部专业机构， 作为职能补充。主要会涉及到联动的数据安全工作职能包括： 1) 组织内部开展数据安全个人隐私保护合规专项，并联合多部门完成合规。 2) 对数据供应链的合作伙伴，在合作协议中拟定数据安全相关管理要求。 3) 对组织内部开展数据安全合规政策的解读和培训。