數據安全能力建設實施指南

本指南依據《信息安全技術 數據安全能力成熟度模型》（簡稱DSMM）制定，以數據為核心，重點圍繞數據生命周期，從組織建設、制度流程、技術工具和人員能力等四個方面，提供數據安全能力建設的具體實施指南，為組織數據安全能力建設提供參考。

規劃輸出系列版本，這次版本以數據安全能力成熟度三級為目標，即如何達到DSMM規定的充分定義級（三級），后續升級版再陸續補充其他級別的指南內容。

數據安全能力建設工作并非從零開始，大部分組織在此前或多或少已有一些安全體系，基本上是圍繞信息系統和網絡環境開展安全保護工作，主要聚焦在信息安全和網絡安全；而數據安全是以數據為核心，圍繞數據安全生命周期進行建設以提高數據安全保障能力，所以需要與當前安全體系進行融合。在決策層

確定數據安全目標和愿景之后，再由數據安全管理層根據組織的業務發展實際情況討論具體的融合方式。

數據安全能力建設實施指南

數據安全能力建設是一個復合型、需多方聯動型的工作，在開展組織架構建設時，需要考慮組織層面實體的管理團隊及執行團隊，同時也要考慮虛擬的聯動小組，其中業務部門、研發部門、HR、IT、法務等部門均需要參與數據安全建設當中。成立數據安全組織其目的是明確數據安全的政策、落實和監督等工作，以確保數據安全能力建設的有效執行。

設計數據安全的組織架構時，可按照決策層、管理層、執行層、員工和合作伙伴、監督層的組織架構設計。在具體執行過程中，組織也可賦予已有安全團隊與其它相關部門數據安全的工作職能，或尋求第三方專業團隊等形式開展工作。

數據安全能力建設是以法律法規監管要求和業務發展需要為輸入，結合數據安全在組織建設、制度流程和技術工具的執行要求，匹配相應人員的具體能力，組織的數據安全能力建設結果最終以數據生命周期各個過程域來綜合體現。