<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    GB/T37988-2019 信息安全技術數據安全能力成熟度模型
    展開或關閉
    前言
    前言
    引言
    引言
    1 范圍
    范圍
    2 規范性引用文件
    規范性引用文件
    3 術語和定義
    術語和定義
    4 縮略語
    縮略語
    5 數據安全能力成熟度模型架構
    5.1 成熟度模型架構圖 5.2 安全能力維度 5.3 能力成熟度等級 5.4 數據安全過程
    6 數據采集安全
    6.1 PA01 數據分類分級 6.2 PA02 數據采集告知同意 6.3 PA03 數據源鑒別及記錄 6.4 PA04 數據質量管理
    7 數據傳輸安全
    7.1 PA05數據傳輸加密 7.2 PA06網絡可用性管理
    8 數據存儲安全
    8.1 PA07存儲介質安全 8.2 PA08邏輯存儲安全 8.3 PA09數據備份和恢復
    9 數據處理安全
    9.1 PA10 數據脫敏 9.2 PA11 數據分析安全 9.3 PA12 數據正當使用 9.4 PA13 數據處理環境安全
    10 數據交換安全
    10.1 PA14數據導入導出安全 10.2 PA15數據共享安全 10.3 PA16數據發布安全 10.4 PA17數據接口安全
    11 數據銷毀安全
    11.1 PA18數據銷毀處置 11.2 PA19介質銷毀處置
    12 通用安全
    12.1 PA21 數據安全策略規劃 12.2 PA21 人力資源安全 12.3 PA22 合規管理 12.4 PA23 數據資產管理 12.5 PA24 數據供應鏈安全 12.6 PA25 元數據安全 12.7 PA26 終端數據安全 12.8 PA27 監控與審計
    附錄A(資料性附錄)能力成熟度等級描述與通用實踐
    A.1 概述 A.2 能力成熟度等級1—非正式執行 A.3 能力成熟度等級2—計劃跟蹤 A.4 能力成熟度等級3—充分定義 A.5 能力成熟度等級4—量化控制 A.6 能力成熟度等級5—持續優化
    附錄B(資料性附錄)能力成熟度等級評估方法
    B.1 能力成熟度等級綜合判定參考方法 B.2 能力成熟度等級維度與數據安全過程域維度之間的映射關系
    附錄C(資料性附錄)能力成熟度等級評估流程和模型使用方法
    C.1 能力成熟度等級評估流程 C.2 能力成熟度模型使用方法
    參考文獻
    參考文獻

    12.2 PA21 人力資源安全

    GB/T37988-2019 信息安全技術數據安全能力成熟度模型 /

    12.2 PA21 人力資源安全

    12.2.1 過程域描述

    通過對人力資源管理過程中各環節的安全管理,降低在組織機構內部的員工和第三方員工的管理過程中存在的安全風險。

    通過建立組織機構內部負責數據安全工作的職能部門及崗位,并明確職能部門及崗位承擔的數據安全責任,防范人員管理過程中存在的安全風險。

    12.2.2 等級描述

    12.2.2.1 等級1: 非正式執行

    ? 組織建設:

    1) 未設立專門的人力資源安全管理崗位,僅在部分業務系統中,進行組織機構的人力資源安全管理。(BP.21.01)

    2) 未設立正式的數據安全職能部門/崗位,數據安全責任僅在特定的業務系統中由相關人員承擔。(BP.21.02)

    ? 制度流程:未形成固定的人力資源安全管理制度,僅根據人力資源中的各環節的臨時需求來開展相關的安全工作。(BP.21.03)

    12.2.2.2 等級 2: 計劃跟蹤

    ? 組織建設:

    1) 設立了人力資源團隊內負責安全管理的專職/兼職的崗位和人員。(BP.21.04)

    2) 在關鍵的業務環節設立了數據安全職能,實現對關鍵數據安全風險的有效管理。(BP.21.05)

    ? 制度流程:

    1) 建立了正式的針對數據安全違規的紀律處理過程,并將相關的違規風險對入職的員工及合作的第三方人員執行數據安全相關的風險意識宣貫。(BP.21.06)

    2) 對員工的候選者從法律法規、行業道德準則等層面執行背景調查。(BP.21.07)

    3) 明確定義了組織機構的數據安全相關崗位和職責。(BP.21.08)

    12.2.2.3 等級 3: 充分定義

    ? 組織建設:

    1) 人力資源部門的人員與組織機構內的數據安全部門的人員進行有效的配合。(BP.21.10)

    2) 基于組織機構的數據安全方針及策略,充分定義了組織機構內部正式的數據安全職能部門/崗位,數據安全的職能框架包括但不限于:(BP.21.11)

    a) 數據安全規范及標準:負責組織機構內數據安全相關的規范制度和詳細標準的制定,為組織機構數據安全相關工作的開展提供依據和要求。

    b) 數據安全技術及產品:負責組織機構內數據安全技術的應用、數據安全產品的開發和部署,建立整體的技術防護及應急保障體系。

    c) 數據安全監控及審計:負責建立組織機構內的數據安全風險管理體系,對數據全生命周期的安全風險進行審計,從風險的預防、發現、跟進等環節實現對風險的有效管理。

    d) 數據安全宣傳與促進:負責面向組織機構內全體人員普及和培訓數據安全相關知識,通過多種形式推廣數據安全的風險防范思路和方法,提高組織機構內全體人員的數據安全意識,促進數據安全工作的具體落地。

    e) 數據安全合作與交流:負責與監管機構進行持續的溝通,并在行業內交流數據安全的實踐經驗、開展相關合作以促進行業的整體發展。

    f) 信息系統安全管理:負責信息系統的安全規劃、安全建設、安全運營和系統維護工作,實現基礎信息系統的安全管理。

    3) 組織機構層面建立數據安全領導小組,指定機構最高管理者或授權代表擔任小組組長,并明確組長責任與權力。(BP.21.12)

    4) 職能崗位設計時考慮了職責分離的原則,并建立組織機構內部監督管理職能部門,對組織機構內部的數據安全管理的相關職能崗位的操作行為進行安全監督管理。(BP.21.13)

    ? 制度流程:
    1) 對員工的候選者的背景調查中也包含了對候選者的專業能力的調查。(BP.21.14)
    2) 制定了與員工、第三方人員的標準的合同協議,以約束相關人員與組織的數據安全責任。(BP.21.15)
    3) 固化員工轉崗、離職的人力資源流程,將數據安全相關的環節固化到涉及的人力資源流程中,從而及時將人員的變更及時通知到相關方。(BP.21.16)
    4) 制定正式員工激勵和處罰的制度,并將員工在職期間在數據安全方面的義務和職責納入人力資源激勵和懲罰的范疇。(BP.21.17)
    5) 制定數據安全職能的工作規范,以明確各職能崗位之間的協作關系,明確了各職能崗位的運行配合機制。(BP.21.18)
    ? 技術工具:
    1) 通過技術化手段將人力資源安全相關的流程通過技術工具自動化實現。(BP.21.19)
    2) 在組織機構以公開信息且可查詢的形式面向全員公布數據安全職能部門的組織架構。(BP.21.20)
    ? 人員能力:
    1) 負責人力資源安全管理的人員應充分理解人力資源管理流程中可對安全風險進行把控的環節。(BP.21.21)
    2) 固化了針對員工、第三方人員入職過程中的數據安全教育環節,通過培訓、考試等手段提升整體的數據安全意識水平。(BP.21.22)

    12.2.2.4 等級 4: 量化控制

    ? 組織建設:
    1) 對數據安全職能的運行效果以量化指標的形式進行定期的統計和衡量,并根據量化的結果優化調整數據職能崗位的設置。(BP.21.24)
    2) 定期評估在當前組織職能架構下,數據安全的職能崗位與業務職能崗位之間的關系是否平衡,是否能夠保證安全需求在業務中的有效落地和推廣。(BP.21.25)

    12.2.2.5 等級 5: 持續優化

    ? 組織建設:持續優化組織機構的數據安全職能設置,以實現整體業務目標的優化。(BP.21.27)
    ? 制度流程:持續優化人力資源安全相關的流程,以保證符合業務發展的實際情況。(BP.21.28)

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    地球胖頭魚
    1.3k 聲望
    暫無個人描述~
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类