12.5 PA24 數據供應鏈安全

12.5 PA24 數據供應鏈安全

12.5.1　過程域描述

通過建立組織機構的數據供應鏈管理機制，防范組織機構上下游的數據供應過程中的安全風險。

12.5.2　數據安全能力等級描述

12.5.2.1　等級1：非正式執行

? 組織建設：未設置專門的數據供應鏈崗位和人員，僅在部分業務系統中開展了對數據供應過程的安全管控。(BP.24.01)

12.5.2.2　等級2：計劃跟蹤

? 組織建設：明確了由實際存在數據上下游供應的業務崗位和人員負責數據供應鏈管理的工作。(BP.24.02)
? 制度流程：與數據上下游的供應方針對具體的數據供應場景簽署了合作協議，在合作協議中明確了對數據的使用目的、供應方式、保密約定等。(BP.24.03)

12.5.2.3　等級3：充分定義

? 組織建設：設置了組織機構整體的數據供應鏈管理崗位和人員，負責制定整體的數據供應鏈管理要求和解決方案。(BP.24.05)
? 制度流程：
1) 建立數據供應鏈安全管理規范，定義數據供應鏈安全目標、原則和范圍，明確數據供應鏈上下游責任和義務、與供應方的合作協議的相關要求、以及組織機構內部的審核原則。(BP.24.06)
2) 與數據上下游供應方簽署合作協議，明確數據供應鏈中數據的使用目的、供應方式、保密約定等。(BP.24.07)
3) 制定供應商數據安全能力評估規范，對數據供應商的數據安全能力進行評估，并將評估結果應用于供應商選擇、供應商審核等供應商管理過程中。(BP.24.08)
? 技術工具：
1) 建立組織機構整體的數據供應鏈庫，用于管理數據供應鏈目錄和相關數據源數據字典，便于及時查看并更新組織機構上下游數據鏈路的整體情況，并用于事后追蹤分析數據供應鏈上下游對法律法規的遵循情況。(BP.24.09)
2) 基于對數據供應鏈的相關記錄，利用技術工具對數據供應鏈上下游的相關方的開展合規性審核和分析。(BP.24.10)

12.5.2.4　等級4：量化控制

? 制度流程：
1） 建立對數據供應鏈上下游的數據服務提供者和數據使用者的行為進行合規性審核的流程，采取措施確保數據供應鏈上下游對數據交換、使用和利用符合法律法規，及數據供應鏈相關數據服務真實可用。(BP.24.12)
2） 定期對數據供應鏈上下游數據活動安全風險和數據安全管理能力進行評估。(BP.24.13)
? 技術工具：
1) 量化組織機構整體的數據供應鏈情況，對上下游數據供應的需求、對象和方式進行分類整理，以及時發現并跟進數據供應鏈管理過程中存在的潛在風險。(BP.24.14)

12.5.2.5　等級5：持續優化

? 制度流程：密切關注在數據供應鏈管理領域的國內外監管動態和行業實踐，及時調整組織機構整體的數據供應鏈管理方案。(BP.24.16)