小白谈数据安全

为什么需要构建数据安全制度管理体系

常言道，工欲善其事，必先利其器。对于一个组织而言，除了有标准的岗位职责，能够落实到实处。

还缺少体系化的指引。例如，笔者在多任务的调研中，就可以发现，大部分单位其实是有基础的信息安全管理制度，但是，对数据安全的制度体系构建，却常常不够重视或者直接忽略。

数据安全制度建设的对象和范围主体对象是数据

言简意赅，我们制度体系的构建，首要的保护主体就是数据。

制度体系的范围

制度体系的设计框架和范围主要有以下几类

· 通用数据安全保障（侧重基础安全、例如物理安全、安全计算环境等）

· 数据全生命周期安全（采集、传输、存储、处理、共享、销毁）

数据安全制度的参考依据

为了更好的指导数据安全的日常工作，我们需要找一个榜样，去参照学习。

那什么是比较合适的参照对象呢？小白我整理了如下这些：

· 数据安全的法律法规（《中华人民共和国数据安全法》、《个人信息保护法》等）

· 数据安全相关的国家、行业标准（GBT 、YDT等文件）

· 业界的最佳实践（金融行业数据分类分级等）

数据安全制度的编制架构

参照ISO 27001国际标准管理内容，可结合单位网络安全管理现状，形成由政策方针、制度规范、操作指南、记录表单等分级、安全的管理制度结构。

数据安全制度的生命周期

其实与其说是数据安全制度的生命周期，倒不如说常规制度的生命轨迹亦如是。

正常的制度都会经历下列的过程，从0到1，从有到持续优化。

主要可以概括为：

· 制度需求产生，编制

· 制度的多方参考，审核

· 制度的最终定稿，发布

· 制度的可执行性，优化（根据实际情况进行制度优化）

数据安全制度建设的思考

虽然制度体系总体框架是已经拟定好了，但还是会有一些需要考虑的问题：

1. 数据的流转是否清晰

2. 是否确定了数据安全制度的使用对象和业务场景

3. 制度编制是否相关方也有参与

4. 数据安全制度的执行力度

5. 数据安全制度的标准框架

数据安全制度建设的建议

1. 前期的数据安全调研很重要

2. 制度建设需要考虑数据的流转（业务连续性）

3. 制度执行程度（需搭配内审内控进行常态化的验证）

4. 常见的架构如下图