DCMM标准之数据安全域解读(三):数据安全审计
《数据管理能力成熟度评估模型》(以下简称DCMM)是我国在数据管理领域首个正式发布的国家标准,旨在帮助企业利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。
01—DCMM标准介绍
DCMM是国家标准《GB/T36073-2018 数据管理能力成熟度评估模型》(Data management Capability Maturity Model)的英文简称。
图1 DCMM数据管理能力成熟度评估模型
- 目标:数据战略-引领价值发展方向
- 价值:数据应用-通过运营持续交付价值
- 环境:数据治理-搭建良好的运行环境
- 支撑:
- 数据质量-保证应用质量
- 数据安全-保证应用安全
- 标准:
- 数据架构-技术的标准
- 数据标准-数据的标准
- 建设:数据生存周期-项目全过程遵循标准
DCMM是我国在数据管理领域首个正式发布的国家标准,旨在帮助企业利用先进的数据管理理念和方法,建立和评价自身数据管理能力,持续完善数据管理组织、程序和制度,充分发挥数据在促进企业向信息化、数字化、智能化发展方面的价值。
图 2 数据管理能力成熟度等级
02
—
DCMM数据安全域概述
《数据安全法》第三条对数据方面的基础定义:
- 数据:任何以电子或其他方式对信息的记录。
- 数据处理:对数据的采集、存储、使用、加工、传输、提供、公开等。
- 数据安全:通过采取必要措施,确保数据处于有效保护和合法利用的状态,具备保障持续安全状态的能力。
《个人信息保护法》第四条对个人信息的定义:
- 个人信息:以电子或其他方式记录的与已识别或可识别的自然人有关的各种信息,不包括匿名化之后的信息。
- 个人信息处理:个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。
数据安全保护对象:包括国家层面的重要数据和核心数据、个人层面的个人信息、社会层面的公共数据、组织层面的组织数据等。
GB/T 36073-2018《数据管理能力成熟度评估模型》设置数据安全能力域,包含数据安全策略、数据安全管理、数据安全审计3个能力项,给出5个能力等级标准:初始级、受管理级、稳健级、量化管理级、优化级。
- 数据安全策略:评估组织在制定、宣贯、落实和持续改进指导数据安全活动和策略方面的能力级别。
- 数据安全管理:评估组织在整个数据生存周期中,依据数据安全策略和相关标准,管理数据的分类分级、访问控制、风险管理等数据安全活动方面的能力级别。
- 数据安全审计:评估组织在分析、验证、改进数据安全活动方面的能力级别。
03—数据安全审计能力项
一、概述
数据安全审计是一项管理活动,是就实际数据管理工作细节的分析工作。
数据安全审计为数据安全策略的适宜性、数据安全管理的有效性提供监测和证据,使得数据安全活动形成一个持续改进的闭环。审计工作可能由组织内部或外部审计人员来执行,审计人员必须独立于审计所涉及的数据和流程。
数据安全审计目标:为管理层、数据治理委员以及外部监管机构会提供客观中肯的评价、合理可行的建议。
数据安全审计包括两方面:
- 是否满足数据安全要求的符合性检查;
- 是否达到了数据安全目标的有效性评判。
二、业务驱动
开展内部、外部安全审计工作。协助企业对数据安全问题溯源、发现非法行为与违规操作,优化数据安全策略,升级技术应对措施,制定惩戒措施。
三、建设目标
数据安全审计的建设目标如下:
- 确保组织的安全需求、监管需求得到满足;
解读:当前状态,目前的数据安全措施是否有效满足组织的安全需求和监管需求;
- 及时发现数据安全隐患、问题,改进数据安全措施;
解读:防患于未然,及时发现数据安全隐患(残余风险),提出改进措施;
- 提出数据安全管理建议,促进数据安全的优化提升。
解读:优化提升,通过数据安全管理的持续改进,不断优化和提升数据安全水平。
四、建设过程
数据安全策略声明、标准文档、实施指南、变更请求、访问监控日志、报表输出,以及其他电子和书面记录等形成审计的基础。
另外除了评审现有证据,审计活动还可能包括执行一些测试和检查等,通过一定的工具、命令来评审数据当前的安全性。数据安全审计是一个支持性、可重复的过程,应当有规 律的、高效的持续执行数据安全审计工作。
数据安全审计过程域主要包含以下活动:
1. 过程审计
过程审计要求组织策划并建立一套完整、有效的评测体系,通过分析现有的规程和做法,确定数据安全策略、标准、目标、指导方针等落实情况,明确数据安全目标的实现程度。
过程审计不限于:
- 信息系统日志管理策略的控制要求及其执行记录;
- 加密设备管理的控制要求及其执行记录;
- 数据安全制度学习培训的控制要求及其执行记录;
- 数据分级标准、分级列表、数据分级安全控制要求及其执行记录。
2. 规范审计
规范审计:评估现有的数据标准和规程是否与实际的数据安全管控措施的业务要求和技术要求保持一致。
规范审计不限于:
- 数据安全主管部门、岗位及职责的适宜性;
- 数据安全管理制度、流程的充分性;
- 数据的分类与分级标准和不同等级数据的保护要求的匹配性。
3. 法规审计
合规审计:组织应该整理外部数据安全要求及法律法规等外部监管需求。评审组织的数据安全标准与策略和数据安全管理措施是否符合监管法规要求。
合规审计不限于:
- 是否对法规动态进行跟踪分析,根据结果完善内部规章制度;
- 项目立项方案安全方面纳入的执行情况,项目方案是否有等保测评的验收要求;
- 项目应用系统是否满足等保标准要求;
- 项目立项是否预留安全测试费用、等保测评费用;
- 主机服务器层面是否使用双因子认证技术进行身份校验;
- 应用系统层面是否使用双因子认证技术进行身份校验;
- 项目中是否采用信息创新技术、产品(可信验证中间件、软件等);
- 项目中是否采用国产密码相关技术、产品、服务;使用的国产密码产品是否通过国密密码局相关产品证书。
4. 供应商审计
供应商审计:组织评审与供应商等内外部利益相关者签订的合同、协议等,确保组织内外部利益相关者履行数据安全义务。
供应商审计不限于:
- 合同协议:供应商合同、协议是否对数据安全的义务和权利做出规定。
- 安全培训:项目组成员参加合作伙伴安全保密线上培训课程、考核。
- 保密承诺函:要求项目组成员签署《项目保密承诺函》并备案。
5. 审计报告发布
组织汇总审计过程发现的问题,编制数据安全审计报告,组织内部发布,使得利益相关者了解组织内数据安全情况。
审计报告分为内部审计和外部审计:
- 内部审计报告:各业务部门对数据安全进行自我检查的报告;风控部门对数据安全进行全面检查的报告;审计部门对数据安全进行专项审计的报告。
- 外部审计报告:聘请第三方对数据安全进行专项审计的符合性或技术性检查报告。
6. 数据安全建议
审核方结合企业实际给出数据安全的设计、操作和合规方面的建议。
组织相关部门和人员对相关问题进行根因分析、制定纠正措施和预防措施并且落实。
审计方在下一个周期的审计内验证措施的有效性,形成良性闭环管理机制。
五、标准条款
度量标准应包含以下内容:【条款解读因篇幅原因不详细说明,见知识星球文档】
- 级别 1:初始级
条款1)与组织信息化安全审计合并进行,没有独立的数据安全审计;
条款2)根据外部或监管的需要进行审计。
2. 级别 2:受管理级
条款1) 检查数据安全管理标准与策略是否能够满足各业务部门数据安全管理的需要;
条款2) 评价数据安全管理的措施是否能够是按照数据安全管理标准与策略的要求来进行开展;
条款3) 规范数据安全审计的流程和相关的工作文档模板。
3. 级别 3:稳健级
条款1) 在组织层面统一了数据安全审计的流程、相关文档模板和规范,并征求了利益相关者的意见;
条款2)制定了数据安全审计计划,可定期开展数据安全审计工作;
条款3) 评审数据安全标准与策略对业务、外部监管的需求;
条款4) 评审数据安全管理岗位、职责、流程的设置和执行情况;
条款5)评审组织数据安全等级的划分情况;
条款6) 评审新项目开展过程中的数据安全管理工作情况;
条款7)定期发布数据安全审计报告。
4. 级别 4:量化管理级
条款1) 内部审计和外部审计相结合,协同推动数据安全工作的开展;
条款2) 数据安全审计报告包括数据安全对业务、经济的影响并分析影响数据安全的根本原因,提出数据安全管理工作的改进建议;
条款3) 数据安全的管理流程、制度能根据数据安全审计来进行优化提升,实现数据安全管理的闭环。
5. 级别 5:优化级
条款1) 数据安全审计是组织审计工作的重要组成,数据安全审计能推动数据安全标准和策略的优化及实施;
条款2) 在业界分享最佳实践,成为行业标杆。
腾讯云开发者
