12.1 PA21 數據安全策略規劃

12.1 PA21 數據安全策略規劃

12.1.1　過程域描述

建立適應于組織機構數據安全風險現狀的組織機構內部整體的數據安全策略規劃，數據安全策略規劃的內容應實現對數據全生命周期風險的覆蓋。

12.1.2　等級描述

12.1.2.1　等級1: 非正式執行

? 組織建設：未設立制定組織機構的數據安全策略規劃的崗位和人員。(BP.20.01)

12.1.2.2　等級 2: 計劃跟蹤

? 組織建設：已設立崗位和人員負責數據安全策略規劃的制定工作。(BP.20.03)
? 制度流程：針對組織機構內部主要的數據安全風險制定了相應的策略規劃。(BP.20.04)

12.1.2.3　等級 3: 充分定義

? 組織建設：已設立專職的崗位和人員負責組織機構的數據安全策略規劃的建設，既包括對數據安全策略規劃的制定崗位和人員，也包括對數據安全策略規劃的推廣崗位和人員。(BP.20.06)
? 制度流程：
1) 由組織機構的數據安全管理層依據組織機構的業務要求和相關法律法規的約束定義組織機構數據安全管理的頂層方針、策略，并傳達給員工和相關方。(BP.20.07)
2) 基于組織機構的數據安全方針，組織機構建立了以數據為核心的體系化的數據安全制度體系。(BP.20.08)
3) 建立策略規劃的評審、發布流程，并確定適當的頻率和時機對策略規劃進行更新，以確保其持續的適宜性和有效性。(BP.20.09)
? 技術工具：建立了數據安全策略規劃的運營管理技術工具，通過該平臺面向組織機構全體員工發布對策略規劃的落地解讀材料，以便于策略規范的落地推進。(BP.20.10)
? 人員能力：
1) 負責數據安全頂層方針、策略制定的人員了解組織機構的業務發展目標，并能夠將數據安全工作的目標和業務發展的目標進行有機的結合。(BP.20.11)
2) 負責數據安全策略規劃編寫的人員具備信息安全管理體系建設的知識，并有良好的規范撰寫能力。(BP.20.12)

12.1.2.4　等級 4: 量化控制

? 制度流程：對數據安全制度流程的有效性進行持續評估，識別出偏差原因，并反饋到相關制度流程的修訂更新。(BP.20.14)

12.1.2.5　等級 5: 持續優化

? 制度流程：持續跟進國內外在數據安全領域的管理標準更新和技術發展，并關注組織機構所在行業的發展動態及組織機構的業務發展方向，評估對組織機構的數據安全策略規劃的影響，并執行有效的改進工作。(BP.20.16)