1、建设指南数据安全治理北京安华金和科技有限公司2019 年 4 月前言Preface本指南由北京安华金和科技有限公司发起，并负责总体设计，最终解释权归北京安华金和科技有限公司所有。本指南参与起草人：杨海峰、孙铮、刘海洋、李月飞、刘思成、宣淦淼、张志刚。目录Catalog1.范围和目的 12.数据安全治理与传统理念的关系和区别 12.1 数据安全治理概论 12.2 数据安全治理与数据安全防护的关系 12.3 数据安全治理与数据安全能力成熟度模型的区别 22.4 数据安全治理与数据治理的关系 33.数据安全治理体系框架 43.1 能力维度 53.2 执行维度 63.3 场景维度 64.数据安全治理能

2、力维度建设 74.1 组织建设 74.1.1 组织职能设计 74.1.2 组织架构设计 84.1.3 组织架构说明 94.2 治理评估 104.2.1 评估规划104.2.2 评估流程124.2.3 评估内容134.2.4 评估实施174.2.5 治理建议 184.3 制度建设 204.3.1 制度体系框架设计204.3.2 制度体系框架说明204.4 技术建设 214.4.2 技术体系框架说明 225.执行维度建设 225.1 资产梳理 225.1.1 资产分布梳理235.1.2 资产访问梳理235.1.3 资产风险梳理235.2 行为管控 245.2.1 角色定义管控245.2.2 分类分

3、级管控255.2.3 授权行为管控255.2.4 操作行为管控275.3 治理稽核 285.3.1 审计与监控295.3.2 数据流动分析295.3.3 数据访问行为分析295.3.4 异常访问识别与告警296.场景维度建设 306.1 数据分类分级 306.1.1 概述306.2.2 制度规范306.1.3 技术工具316.1.4 参考文件316.2 开发测试场景 316.2.1 概述316.2.2 制度规范316.2.2 技术工具326.2.4 参考文件326.3 数据运维场景 326.3.1 概述326.3.3 技术工具336.3.4 参考文件336.4 数据共享场景 336.4.1 概

4、述336.4.2 制度规范336.4.3 技术工具346.4.6 参考文件346.5 数据分析场景 346.5.1 概述346.5.2 制度规范346.5.3 技术工具356.5.4 参考文件356.6 应用访问场景 356.6.1 概述356.6.2 制度规范356.6.3 技术工具366.6.4 参考文件366.7 特权访问场景 366.7.1 概述366.7.2 制度规范366.7.3 技术工具376.7.4 参考文件377.纠正和优化数据安全治理体系 377.1 纠正措施 387.1.1 纠正措施的制定与实施387.1.2 纠正措施实施情况的跟踪验证387.2 持续优化 387.2.1

5、 能力、意识、培训387.2.3 绩效评价397.2.4 内部审核407.2.5 管理评审42数据安全治理建设指南11.范围和目的本指南使用范围为从事数据安全治理体系建设的企业单位和准备建设数据安全治理体系的企业和政府单位，提供参考。本指南旨在指导企业和政府单位开展数据安全治理体系建设工作，包括能力维度、执行维度、场景维度三个维度建设说明，帮助大家以实际经验为基础，将制度规范与技术工具有效融合，以整体提升数据安全能力为最终目的，本指南具有全面性、先进性、持续性、可落地性的特点。2.数据安全治理与传统理念的关系和区别2.1 数据安全治理概论数据安全治理（DataSecurityGovernanc

6、e简称：DSG）,主要目标是“让数据使用更安全”，只有合理的处理好数据资产的使用与安全，政府与企业才能在新的数据时代稳健而高速发展。围绕“让数据使用更安全”的核心目标，重点关注数据的权限和数据应用的场景，帮助用户完成数据安全治理体系的建设。数据安全治理并非单一产品或平台的构建，而是覆盖数据全部使用场景的数据安全治理体系建设。因此，需要按步骤、分阶段的逐渐完成。数据安全治理并不是一个项目，而更像是一项工程。为了有效实践数据安全治理，形成数据安全的闭环，我们需要一个系统化的过程完成数据安全治理的建设。2.2 数据安全治理与数据安全防护的关系为了更加有效地理解数据安全治理概念与数据安全防护的差异，我

7、们可以做一个比较：差异对比数据安全治理数据安全防护目标方面以数据的安全使用为目标以数据的安全防护，不受攻击为目标对象方面面向内部或准内部人员，以这些人员行为的安全管控为主要对象面向外部黑客，以对外部黑客或入侵者的防控为主要对象理念方面以数据分类分级为基础，以信息合理、安全流动为目标以区域隔离、安全域划分为目标手段方面以信息使用过程的安全管理和技术支撑为手段以边界防护为主要安全手段融合方面安全产品技术和流程管理深度整合管理与技术相对分离当然数据安全治理并非是要取代数据安全防护体系，而是应形成互补关系，数据安全治数据安全治理建设指南2理是在数据安全防护体系的基础上有效地实现对数据使用人员的安全管控

8、；数据安全治理是在网络安全提供的有效边界防御的基础上完成对数据更深层次的安全保障。2.3 数据安全治理与数据安全能力成熟度模型的区别数据安全能力成熟度模型（DataSecurityMaturityModel简称：DSMM），是一套数据安全建设中的系统化框架，是围绕数据的生命周期，并结合业务的需求以及监管法规的要求，持续不断的提升组织整体的数据安全能力，从而形成以数据为核心的安全框架。图 1 数据安全能力成熟度模型模型包含以下三个维度:1.数据生命周期安全：围绕数据生命周期，提炼出数据环境下，以数据为中心，针对数据生命周期各阶段建立的相关数据安全过程域体系。2.安全能力维度：明确组织机构在各数据

9、安全领域所需要具备的能力维度，明确为制度流程、人员能力、组织建设和技术工具四个关键能力的维度。3.能力成熟度等级：基于统一的分级标准，细化组织机构在各数据安全过程域的 5 个级别的能力成熟度分级要求。DSMM 模型与 DSG 理论之间既有相同，又有区别；两个安全体系都强调以数据为中心建立系统化的数据安全治理体系，在数据安全的建设上，都不是强调唯技术论，都强调组织建设、制度流程和技术工具的综合作用。但 DSG 和 DSMM 有以下重要区别：1.DSG 是以数据的分类分级为核心，进行安全策略的设定；DSMM 是以数据的生命周期为核心，寻求安全策略的覆盖；2.DSG 体系化建议了数据使用或服务的人员

10、的角色，根据角色对数据使用的主要场景，数据安全治理建设指南3提供建议的安全措施，以及所要使用的安全工具；而 DSMM 更多的是提供一种评估方法，看数据使用的过程中，企业是否定义了明确的控制措施，并无具体化的推荐；3.在DSG体系中，将安全体系的构建，明确归纳为安全政策的制定，技术支撑平台的建设，安全政策执行有效性的监督，安全政策的改善这一持续循环过程；而 DSMM 对安全成熟度进行了等级化分级，将持续改善定义为最高级别；在 DSG 的理念中，无论在完成了多少的安全建设，持续改善都是一个标准动作。4.DSG 并不会按照数据生命周期的阶段去完成覆盖，因为在 DSG 中并不强调数据的产生和销毁，在

11、DSG 中数据的存在是一种客观事实，数据一旦存在和使用，将不断的扩散，数据无法销毁。5.从本质上讲，DSG 更像一种方法论，帮助企业如何迅速构建一套行之有效的数据安全治理体系；而 DSMM 更像一种评估方法，像一个考试，让企业或监管机构来评价企业当前的安全建设状态。2.4 数据安全治理与数据治理的关系信息系统建设发展到一定阶段，数据资源将成为战略资产，而有效的数据治理才是数据资产形成的必要条件。数据治理是指从使用零散数据变为使用统一数据、从具有很少或没有组织和流程治理到企业范围内的综合数据治理、从尝试处理数据混乱状况到数据井井有条的一个过程。数据治理的作用就是确保企业的数据资产得到正确有效的管

12、理，数据治理从组织架构、原则、过程和规则等方面确保数据管理的各项职能得到正确的履行。数据治理其实是一种体系，是一个关注于信息系统执行层面的体系，这一体系的目的是整合 IT 与业务部门的知识和意见，通过一个类似于监督委员会或项目小组的虚拟组织对企业的信息化建设进行全方位的监管，这一组织的基础是企业高层的授权和业务部门与 IT 部门的建设性合作。从范围来讲，数据治理涵盖了从前端事务处理系统、后端业务数据库到终端的数据分析，从源头到终端再回到源头形成一个闭环负反馈系统（控制理论中趋稳的系统）。从目的来讲，数据治理就是要对数据的获取、处理、使用进行监管（监管就是我们在执行层面对信息系统的负反馈），而监

13、管的职能主要通过以下五个方面的执行力来保证发现、监督、控制、沟通、整合。从严格意义上来看，数据安全治理是数据治理中的一个过程，在今天对数据资产高度重视和个人隐私数据高度监管的年代，数据安全治理更应该是数据治理的一个重要组成部门。但从实际操作上来看，两者之间又有很大的不同：1.从发起部门来看：数据治理主要是由 IT 部门在驱动；数据安全治理主要是由安全合规部门在驱动。当然两者的成功都要涉及到业务、运维和管理部门甚至企业单位最高管理决策层。数据安全治理建设指南42.从目标上看：数据治理的目标是数据驱动商业发展，提升企业数据资产价值。而数据安全治理的目标让“数据使用更安全”，保障数据的安全使用和共享

14、，实质也是保障数据资产价值。3.从工作内容产出上看：数据治理工作产出上，一个核心成果就是数据质量提升，通过数据的清洗和规范的过程，获得有质量的数据。而数据安全治理的重要产出，就是以数据的分类分级为基础，完成企业对数据的合规安全访问政策和措施。4.从数据资产梳理上看：数据治理的资产梳理的主要产出物就是元数据。元数据管理，即赋予数据上下文和含义的参考框架。而数据安全治理中的资产梳理，要明确数据分类分级的标准，敏感数据资产的分布，敏感数据资产的访问状况和授权报告。5.当然，在当前的数据治理中也逐渐在加大对数据安全的要求，但相对而言还属于从属组成部门，并未形成系统化；这就如同数据安全在 IT 建设中的

15、关系一样。3.数据安全治理体系框架数据安全治理不仅仅是一套用工具组合的产品级解决方案，而是从决策层到技术层，从管理制度到工具支撑，自上而下贯穿整个组织架构的完整链条。组织内的各个层级之间需要相互协作，对数据安全治理的目标和宗旨达成共识，并从能力、执行、场景三个维度建设数据安全治理体系，以最有效的方式保护信息资源，数据安全治理体系框架如下图：数据安全治理体系框架数据安全治理建设指南5能力维度：完善的组织机构、有针对性和可行的管理制度和规范、全面和先进的数据安全技术，是构建数据安全治理体系的基础。执行维度：针对数据使用的各个场景，需要通过梳理来了解数据资产状况和风险；配合制度规范要求，采用不同的安

16、全技术手段进行数据使用过程中的管控，同时要监控使用过程，对访问行为进行稽核，并不断完善。场景维度：数据安全治理涵盖数据在日常使用过程中面临的各种场景，具体包含开发测试、运维、共享、分析、应用访问、内部特权访问等场景。3.1 能力维度图 3 数据安全治理能力维度图组织建设：组织的职责可划分为数据安全策略的决策、数据的安全管理、数据安全使用的监督三类，根据不同职责分配角色和人员。治理评估：组织在进行规划过程中，应定期通过业务合规性评估手段开展咨询评估工作，对业务系统和数据安全进行全面检测，并对评估结果进行安全能力分析，从而形成业务系统数据安全能力评估报告。制度建设：将制度、规范按照方针政策、制度规

17、范、操作明细、基础模板四类进行分类，形成树状结构，便于管理。技术建设：数据安全技术，支撑制度规范的执行与监控，技术工具建议使用标准的数据安全产品或平台，也可以是自主开发的组件或工具；技术工具应覆盖数据使用的各个场景中的数据安全需求。数据安全治理建设指南63.2 执行维度图 4 数据安全治理执行维度图资产梳理此过程是数据安全治理全维度的基础，因为，只有摸清资产使用部门和角色、数据资产的分布、数据量级、访问权限、数据使用状况，才能够有效的针对数据进行精细化的安全管控。行为管控此过程是结合业务流程，在数据流转中的数据访问、数据运维、数据传输外发、数据存储等各环节做到内外兼顾，并对数据处理/使用环节中

18、的数据进行安全保护。治理稽核稽核是保证数据安全治理规范落地的关键，也是信息安全管理部门的重要职责。因此，此环节是保障数据安全治理的策略和规范能否被有效执行和落地，以及最终实现数据安全治理全流程的闭环。3.3 场景维度图 5 数据安全治理场景维度图数据安全治理的场景，是要明确在数据安全治理的过程中以场景化方式指导安全技术进行落地。所以在场景维度，必须首先分析用户业务场景，包含但不限于如：开发测试、数据数据安全治理建设指南7运维、数据分析、应用访问、特权访问等场景，然后按照能力维度中所梳理的资产、数据、用户、权限等内容导入到场景化，包括早期策略制定前的数据梳理工具，数据访问过程控制中，采用什么样的

19、技术手段帮助实现数据的安全管理过程，以及在后期对数据安全治理工作进行稽核的过程中采用什么样的技术工具进行辅助监管。结合数据安全治理工具帮助完成数据安全治理工作。4.数据安全治理能力维度建设4.1 组织建设数据时代的到来，数据资产价值迅猛增加的同时，数据安全面临的挑战也越来越大，传统的安全部门已不能胜任数据时代下的数据安全相关工作，数据安全工作会涉及业务、IT、运维、开发，甚至财务、法务等诸多部门和环节，因此需要建立对数据状况熟悉的专责部门来负责数据安全治理体系的建设工作。由于数据安全与业务密不可分，因此，在建设数据安全治理体系过程中，从决策到管理，都离不开业务部门的参与和配合。4.1.1 组织

20、职能设计组织职能的设计需要遵循由高到低的完整体系，从决策层、管理层、支持层、监督层来入手进行设计，如下图所示：图 6 数据安全治理职能架构图4.1.1.1 决策层决策层在开展数据安全治理体系建设过程中，负责对数据安全的目标、范围、策略进行决策，决策层属于虚拟组织。决策层应包括如下角色：牵头人：由数据安全部门负责人担任；最高决策人：一般由信息化最高领导担任；成员：业务、IT、运维、开发等部门的负责人。数据安全治理建设指南8决策层具体职责如下：1.数据安全总体方针、策略和目标的制定；2.协调资源；3.各项制度、规范的发布。4.1.1.2 管理层管理层负责数据安全治理体系建设的具体工作，管理层的成员

21、一般由数据安全部门承担，其主要职责如下：1.制度规范的制定；2.执行方案的设计；3.配合监督工作的顺利开展；4.安全手段的配置；5.制度和安全技术的有效性论证；6.协调其它部门的负责人或代表提供配合；7.征询其它部门关于数据安全管控的意见。为保证职责的有效履行，管理层可分成数据安全组和安全管理组两部分，数据安全组偏重于数据安全管理、流程审批、策略制定，安全管理组偏重于安全技术手段。4.1.1.3 监督层监督层是独立的组织，成员不建议由其它部门兼任，一般由审计部门担任，监督层需要定期向决策层汇报当前数据安全状况。监督层主要职责如下：1.统计数据安全制度的落实情况；2.验证安全手段应用的有效性；3

22、.数据访问行为的监控和审计；4.数据违规使用的识别。监督层的工作建议分成内审和外审，内审由内部的部门和人员开展审计工作，外审则聘请第三方公司或团队开展审计工作。4.1.1.4 支持层支持层成员是指来自业务部门和职能部门的人员，以兼职的形式参与，主要负责评估安全手段和制度执行的可行性，提出在业务开展过程中的数据安全需求。4.1.2 组织架构设计为保障数据安全治理体系的持续化建设工作顺利开展，须建立独立的数据安全部门负责数据安全治理建设指南9数据安全相关工作，组织成员应包括业务部的人员（可以兼职），具体设计如下图所示：图 7 数据安全治理组织架构设计图总体说明：数据安全部门是一个独立的部门，需要配

23、合审计部提供审计支持工作，下设数据安全组和安全管理组。4.1.3 组织架构说明数据安全部：接受决策小组的指导和授权，总体负责数据安全治理体系的建设工作，包括制度制定、技术实现、体系运营等工作。数据安全组：负责基于数据的相关工作，数据的使用统一管理，授权审批流程的设计，并参与审批工作。数据安全员：主要负责数据分类分级管理、数据资产管理、数据访问管理，数据访问管理包括数据共享、开发测试、应用访问等场景；权限管理员：主要负责数据授权审批流程的设计，并作为数据管理者参与到流程中，审批通过后，负责数据授权工作；运维管理员：制定数据运维相关制度和规范，数据运维黑白名单管理；业务代表（虚拟）：来自于其它部门

24、的负责人或代表，参与数据使用管控制度和技术执行的评审工作，结合各自业务，提出数据安全管控的建议等。安全管理组：组内角色可分为安全管理员和日志管理员。安全管理员主要负责安全技术的实施工作，根据制度规范，对技术手段进行配置；日志管理员主要负责安全手段在运行过程中日志的统计和管理工作。数据安全治理建设指南10审计部：角色可分为安全审计员和风险分析员。安全审计员主要负责数据的各使用场景是否严格按照既定的制度规范在使用，审计范围包括业务审计和管理审计；风险分析员主要负责利用业务数据技术对数据流动过程中产生的日志进行分析，一方面要发现潜在的风险并及时上报，另一方面为制度体系和安全技术体系的完善提供依据。4

25、.2 治理评估数据安全管理责任部门在建设、运营重要业务系统时，应当首先进行数据安全治理风险评估，坚持“先评估、后治理”的原则，经专业数据安全咨询单位咨询评估，在充分考虑咨询评估意见的基础上作出决策决定。数据安全管理者在进行规划过程中，要充分发挥数据安全咨询的作用，应定期通过业务合规性评估手段开展咨询评估工作，对业务系统和数据安全进行全面检测，并对评估结果进行安全能力分析，从而形成业务系统数据安全能力评估报告，为后续数据安全治理执行维度建设和场景维度建设提供支撑。4.2.1 评估规划4.2.1.1 评估思路作为风险管理的起点,安全风险评估对于了解安全现状,明确安全目标,制定安全对策都具有至关重要

26、的意义。面向业务数据风险评估的实施过程如图1所示。业务对象分类业务数据估计业务威胁识别脆弱性识别风险计算与分析图 8 业务数据风险评估实施过程图数据安全治理评估服务人员（以下简称评估服务人员）应准确结合业务对象进行分类，对业务数据进行梳理、业务威胁进行识别、脆弱性识别，并通过国家相关信息安全评估标准，计算风险生成评估结果。根据风险计算结果针对业务数据安全能力出具治理评估报告和安全治理建议，从而帮助组织建立 3-5 年的业务数据治理安全能力整体规划。在此应建立面向业务风险评估方法将各类业务系统中的数据直接作为安全评估对象,通数据安全治理建设指南11过开展各类调查对业务系统数据风险做出评价。在大型

27、信息系统中,业务系统数量多,评估涉及范围广、难度大,而且不同业务系统的数据各个安全性要素互相覆盖,各自评估将导致评估工作内容的冗余和重复。比如信息系统所在地点的环境安全因素就对所有业务系统产生类似的影响。因此,有必要根据业务特点划分相应的业务类别,在评估过程中对某一类别中有代表性的业务进行重点评估。根据实际经验,业务系统的分类应该咨询业务专家,并充分考虑业务特点如数据安全要求、业务实时性要求、对整个系统的服务范围和影响力等因素。大多数信息系统可以按图 2所示划分为四大类别（这里由于未涉及具体业务系统,故表中的信息并不完整,实际评估工作中的业务分类应该根据实际情况进一步细化）。图 9 系统划分业

28、务类别示例4.2.1.2 评估原则 4.2.1.2.1 关键业务原则数据安全管理责任部门需要以关键业务数据作为评估工作核心，把涉及这些业务数据相关网络、系统、数据，如基础网络、业务网络、应用基础平台、业务应用平台、数据存储平台等作为评估的重点，并且需基于业务创建数据流的图表化呈现。这里有多种技术可用于图表构建。使用数据流图，并添加“信任边界”。每次机密数据需要跨越信任边界时，对于安全性、策略、流程或实施的要求可能会发生变化，因此将会在数据流中识别出威胁。4.2.1.2.2 可控性原则在数据安全风险评估实施过程中，严格按照数据安全治理管理方法对服务过程人员和工具等进行控制，以保证数据安全风险评估

29、过程中可控和安全。服务可控性：数据安全风险评估服务人员（以下简称评估服务人员）事先与数据安全管理责任部门开展评估工作沟通会，介绍评估服务流程，明确评估对象以及需要数据安全管理责任部门需要配合的工作内容，以确保数据安全风险评估的顺利进行。人员可控性：参与评估的服务人员需要与数据安全管理责任部门签署协议，以保证评估服务的安全性，并且对工作过程中数据和结果数据严格管理，未经授权不泄露给其他单位数据安全治理建设指南12及人员。过程可控性：按照数据安全管理责任部门的要求，成立评估服务团队，由项目组长负责整体管理，以达到数据安全风险评估服务过程可控。工具可控性：评估服务人员使用的工具，会事先与数据安全责任

30、部门沟通，确保工具不对业务及数据造成影响。4.2.1.2.3 最小影响原则评估服务人员对业务系统数据安全风险评估时，首要保障业务系统稳定运行，梳理数据或进行业务调研工作时，与数据安全管理部门沟通并制定应急方案。进行数据库漏洞验证工作时，会避开业务高峰期。4.2.2 评估流程数据安全风险评估的过程如下图所示。图 10 数据安全风险评估过程建立评估对象、风险评估、风险处理和评估决策、启动评估是数据安全风险评估的 5 个基本步骤。1）建立评估对象阶段：确定数据安全风险评估的对象和范围，对涉及业务数据的数据库、服务器、文档等进行相关信息的调查分析，并准备数据风险管理的实施。2）风险评估阶段：根据数据安

31、全风险评估的范围识别数据资产，分析业务系统数据所面临的威胁以及脆弱性，结合采用数据安全控制措施，在技术和管理两个层面对业务系统数据所面临的风险进行综合判断，并对风险评估结果进行等级划分。3）风险处理阶段：综合考虑风险控制的成本和风险造成的影响，从技术、组织和管理数据安全治理建设指南13层面分析业务系统数据的安全需求，提出实际可行的数据安全措施。明确业务系统数据可接受的风险程度，采取接受、降低、规避或转移等控制措施。4）评估决策阶段：包括决策和持续监督两部分。依据评估的结果和处理措施，判断能否满足业务系统数据的安全要求，决策层决定是否认可风险。数据安全管理责任部门对业务部门、业务系统、业务数据相

32、关环境的变化进行持续监督。5）启动评估阶段：在业务系统产生新的安全风险并影响到业务系统数据安全保障级别时，决策层可决定启动新一轮的数据安全风险评估和风险处理。监控审核和沟通咨询贯穿于上述基本步骤，跟踪业务系统和业务数据的安全需求变化，对数据安全风险管理活动的过程和成本进行有效控制。4.2.3 评估内容从数据安全管理角度来看，在目前业务数据应用和安全的环境下，数据安全管理责任部门目前工作的重点是，如何从宏观的视角看管理据安全。当前数据安全管理责任部门最需要的是，如何制定对业务部门数据安全保护能力。这个问题对行业发展以及本单位业务数据安全的上级监管来说，都是至关重要的。4.2.3.1 评估实施目标

33、数据安全风险评估建设需要以业务数据为核心的数据安全治理框架，在框架建立过程中以业务数据安全能力咨询评估为基础、设计出业务数据安全治理总体规划，并建立以数据分类分级方法论，建立以数据分类分级、数据管控、数据行为审计等角度的主动防御措施，落实国家相应的法律、标准和规范要求，严格保障本单位业务数据的安全合规使用。数据安全管理责任部门在有效使用的前提下实现数据安全，建立合理及有效的业务数据安全治理及使用的方法论，通过建立安全管理规范，高效共享、开放数据，并防止数据泄露以及被滥用，形成一套安全的数据服务体系，以数据安全使用为目标，逐步实现以下工作：1）数据安全等级设定数据分级，是指从隐私安全与保护成本的

34、角度出发，对数据资产进行分类和等级划分，进而根据不同需要对数据资产进行重点防护。具体等级定义可分为敏感数据、重要数据、一般数据。2）数据操作人员管理专岗要求：用户按类赋权。用户账号应使用组、角色等组合方式进行权限分配，以方便授权管理和统计。专人要求：用户身份唯一性。每个用户账号的设置，均应对应唯一的使用人，而非一个部门或一个小组。用户账号的使用者应对使用该账号所产生的后果承担相应责任。如果因为某种特定需求而不能实现用户身份的唯一性时，必须有相应的后备控制措施确数据安全治理建设指南14保用户行为的可追溯性和不可抵赖性。3）数据安全使用评审评审根据数据使用方业务发展所需，提出数据需求，包括业务上明

35、确需求目的、使用场景及范围、使用方责任人，技术上明确数据内容、格式、周期、时段、紧急程度等。4）数据使用授权流程授权流程：用户权限需经过申请、审批、开通、变更和删除等环节的相关操作。用户账户申请、注销及变更过程中应有书面或邮件的申请、变更及审批记录。注销流程：用户账户注销时，应对该用户账号进行禁用或删除（一般可先禁用，一段时间如半年后，再删除）。5）数据共享流程制定各类单位内部、外部数据的共享流程，保证各类通道的数据使用安全可控。4.2.3.2 评估范围在确定数据安全风险评估所处的阶段及相应目标之后，即可进一步明确数据安全风险评估范围，内容主要包含：单位全部数据及业务数据等。承载数据的各类数据

36、资产等。业务管理部门、业务责任部门等。业务信息系统、关键业务流程等。在确定数据安全风险评估范围时，结合已确定的目标、部门、人员等实际建设情况，合理定义评估数据和权限范围边界，数据安全风险评估范围边界的划分主要包含：1）业务系统的业务逻辑边界：如生产数据存储系统、公共服务系统、内网业务系统、共享交换系统、容灾备份系统、互联网 APP 系统等。2）数据库系统边界：如数据存储区、互联网接入区、互联网 DMZ 区、专网接入区（分支机构）、核心交换区、共享接入区、业务服务器区、灾备系统区等。3）物理环境边界：如每个区域的接入方式、带宽状况、服务器类型、安全设备类型、安全设备型号等。4）人员管理权限边界：

37、如数据安全管理人员、业务人员、运维人员、测试开发人员、第三方人员等。5）其他：如本单位的网络情况以文字形式描述网络系统采用的架构、分区情况、主要功能等，提供网络拓扑图。4.2.3.3 评估依据根据数据安全风险评估目标以及业务系统调研情况，参考国家、行业、部门标准规范确数据安全治理建设指南15定评估依据和评估方法，参考内容包括：1）国家法律、法规。2）现行国际标准、国家标准、行业标准；3）行业主管单位的业务管理办法和制度；4）信息系统安全等级保护相应的基本要求；5）本单位的数据安全要求；6）系统自身通用型实时或性能要求等。4.2.3.4 评估工具根据业务场景、业务流程和业务数据选择合理的评估工具

38、，评估工具的选择应遵循可控、最小影响等原则，需要包含：1）对数据库脆弱性评估工具，需要具备全面的脆弱性核查与检测能力；2）工具具备全面丰富的数据库缺省口令、弱口令、低安全配置、DBMS脆弱点、补丁漏洞、程序后门、易受攻击代码等类别的知识库；3）工具的检测策略和检测方式不能对业务的正常运转造成影响；4）工具的检测能够按照指定敏感数据特征，对业务系统的数据进行自动的识别，发现敏感数据，并可以根据规则对发现的敏感数据清单进行导出。5）工具可采用自动执行规则的策略模式，自动识别业务系统敏感数据，避免人员的繁琐工作，同时能够持续的发现业务系统产生新的敏感数据。6）工具能够对业务系统数据库中对象的权限进行

39、检测，可分析数据库中的用户的启用状态、权限划分、角色归属等基本信息。7）工具在执行评估检测任务后形成检测报告，报告应支持数据安全风险综合报告、数据风险点检测报告、业务数据详细检测报告等类型；报告中应包含漏洞的来源、CVE/CNNVD 编号、风险级别、漏洞类型、漏洞描述、修复方法等详细内容。8）可采用多种评估工具对同一业务系统数据进行检测，如果出现检测结果不一致的情况，采用人工复检和分析，给出与实际情况最为相符的结果判定。4.2.3.5 评估类别4.2.3.5.1 组织建设评估评估项目组应根据评估目标，对组织建设进行脆弱性识别，需要与组织建设的各职能决策层沟通，明确各职能决策层的工作及责任，确定

40、各职能决策层划分是否合理，如出现不合理情况，应由评估项目组根据业务流程、工作职责等方面，确定组织建设职能决策层人员，由职能部门委派配合人员，并提供数据安全风险评估相关支持工作。4.2.3.5.2 制度体系评估数据安全治理建设指南16数据安全风险评估制度体系方面，根据本单位安全管理要求，对负责业务系统数据库管理和运维部门进行安全管理核查，核查内容涵盖业务数据安全规章制度的合理性、完整性、适用性等。4.2.3.5.2.1 数据安全管理部门安全管理部门指在本单位安全管理机构设置、职能部门设置、岗位设置、人员配置等是否合理，分公是否明确、职责是否清晰、工作是否落实。核查方法包括：通过查阅已发布管理制度

41、、查阅部门活动记录文档、调查询问等。4.2.3.5.2.2 数据安全管理制度数据安全管理策略为本单位实施数据安全管理提供指导意见。安全管理策略核查主要核查安全策略的全面性、合理性。核查方法包括：查看是否存在数据安全管理制度文件，并询问安全管理人员、业务人员、运维人员，分析制度的有效性，识别数据安全管理制度存在的漏洞。4.2.3.5.2.3 人员安全管理人员安全管理包括：人员录用、教育与培训、考核、离岗等内容，以及访客人员的数据访问控制管理。核查方法包括：查阅相关制度及活动记录文件，要求相关人员执行相应的业务流程或数据测试任务，或以访客身份模拟数据安全风险的行为来识别数据安全存在的脆弱性。4.2

42、.3.5.2.4 运维安全管理业务系统数据库运维管理也是保障业务系统正常运行的重要环节，涉及业务系统正常运行和本单位业务的正常运转，包括：物理环境、数据资产、安全设备、存储介质、网络、应用系统、数据库账号/密码、应用账号/密码等安全管理，以及数据库恶意代码防范、安全监控和管理、数据库账号权限变更、数据备份与恢复、安全事件应急预案管理等。核查方法包括：审阅数据库运维相关制度文件、操作手册、运维活动记录、现场查看运维情况、询问运维人员、让运维人员演示相关数据操作等方式，从而识别数据库运维管理脆弱性。4.2.3.6 技术体系评估对于数据安全风险评估技术体系方面的评估，可分为资产发现、风险梳理、安全规

43、划、安全聚焦、后期支撑五个部分。五部分内容相互衔接、相互支撑、相互补充，共同为数据安全治理落地提供坚实的基础。4.2.3.6.1 资产发现资产发现的目标是发现数据资产，并结合分类分级原则，形成数据资产分类分级梳理报告。数据资产分类分级梳理报告将为后期工作指明方向和侧重点。4.2.3.6.2 风险梳理数据安全治理建设指南17风险梳理的目标是梳理出静态资产和敏感数据流转中存在的安全威胁。静态资产发现安全威胁以扫描技术为核心，辅以人工验证。敏感数据流转过程中的安全威胁发现，以安全专家经验为核心，最终形成安全威胁梳理报告。4.2.3.6.3 安全规划安全规划的目标是在安全威胁梳理报告和数据资产分类分级

44、梳理报告的基础上抽象出符合政策/行业规范、并能解决安全威胁梳理报告中主要安全问题的整体安全规划报告。完成整体安全规划报告需要充分听取 IT 部门、业务部门、安全部门的意见。4.2.3.6.4 安全聚焦安全聚焦的目标是在整体安全规划报告的框架下，完成对每种资产的安全加固指南和每种安全产品的策略建议。应该形成一系列的数据库安全加固报告、主机安全加固报告、网络安全加固报告、核心软件安全加固报告和各种安全产品的安全策略设置建议，以保障数据安全治理能确实落地。4.2.3.6.5 后期支撑数据安全治理会是一个长期的、动态的工作，所以后期的定期巡检同样也是数据安全治理的核心工作之一。定期巡检可以确定新产生的

45、敏感数据是否严格按照原来数据安全治理框架执行，同时能够发现遗漏的安全问题和违规行为，并及时修正。4.2.4 评估实施数据安全风险评估实施团队由被评估单位与评估机构共同组建，数据安全风险评估小组由被评估单位决策层、数据安全责任部门及评估服务机构组成，并聘请相关专业技术专家和技术骨干组成专家组。数据安全风险评估小组完成评估前表格、文档、检测工具等各项准备工作，进行风险评估技术培训和保密教育，制定风险评估过程管理规定，编制应急预案等。为确保数据安全风险评估工作顺利有效的进行，应采用合理的项目管理机制，主要相关成员角色与职责应包含：1）评估服务方：a）项目组长：是风险评估项目实施方的管理者、责任人，具

46、体工作职责包括：根据项目情况组建评估项目实施团队。根据项目情况与被评估方一起确定评估目标及范围。组织项目组成员对被评估方实施系统调研。根据评估目标、范围及系统调研情况确定评估依据，并组织编写评估方案。负责将项目成果交付被评估方，向被评估方汇报项目成果。b）安全评估人员：是负责风险评估项目中技术与管理方面评估工作的实时人员，具体工作职责包括：数据安全治理建设指南18根据评估目标与评估范围，确定参与系统调研，编写业务系统数据调研报告的技术与管理部分内容。参与编写数据安全风险评估方案将各阶段技术型评估工作成果进行汇总，向被评估方解答评估结果中有技术性、管理性细节问题。2）被评估方：a）项目组长：被评

47、估单位的管理者，具体工作职责包括：与评估服务方组长进行工作协调。组织本单位的项目组成员在风险评估各阶段活动中的配合工作。组织本单位的项目组成员对评估服务方提交的评估信息、数据及文档资料进行确认，并对出现偏离的内容及时进行指证。组织本单位的项目组成员对提交的结果进行审核。参与风险评估项目进行验收。b）项目组员：包含数据安全管理人员、业务人员、运维人员、开发人员等，具体工作职责包括：在项目组长的安排下，配合评估服务人员各阶段工作。参与数据安全评估方案研讨。参与评估服务方提交的评估信息、数据及文档资料的确认，并对出现偏离的内容及时进行指正。参与风险评估项目验收。3）专家组：负责对大型、复杂、敏感的数

48、据安全风险评估项目进行工作指导，具体工作职责包含：帮助评估服务方和被评估单位规划总体工作思路和方向。对出现的关键性疑难问题进行决策。对风险评估结论进行确定。4.2.5 治理建议 4.2.5.1 安全风险赋值通过分析评估数据，充分考虑数据资产风险利用难易程度以及对业务的影响情况，进行风险值计算，识别和确认高、中、低风险，采取 DSG-RC 模型（DataSecurityGovernance-RiskCyclic）对安全漏洞进行风险等级评估。在量化风险的过程中，对每个威胁进行评分，并按照下表进行等级划分计算。【风险=潜在危害+可利用性+困难程度+影响范围+发现程度】数据安全治理建设指南19DSG-

49、RC 模型风险等级风险类别高（3 分）中（2 分）低（1 分）潜在危害获取超级管理员权限；执行数据超批量操作；非法下载文件等等。泄露敏感信息泄露其他信息可利用性操作者可以随意再次攻击；操作者可以随意修改、删除、获取数据。操作者可以重复攻击、修改、删除、获取数据，但有时间或其他条件限制；操作者很难重复攻击或操作数据。困难程度初学者在短期内能掌握数据攻击、访问、操作方法。熟练者才能完成这次攻击；有权限者可通过内网无限制访问、操作数据。漏洞利用条件非常苛刻；数据访问需经过责任部门授权后才能够访问。影响范围所有用户和核心数据，如：默认配置、超级管理员用户、批量数据操作。部分用户和内部敏感数据，如：非默

50、认配置、关键用户、增/删/改数据操作。极少数用户和公开数据，如：个人配置、一般用户、查询数据操作。发现程度在公开区域，漏洞很明显，攻击条件很容易获得；数据可被随意访问、操作、获取。在内部区域，需要深入挖掘漏洞；内部用户能访问到任意数据，可执行任意操作。在公开区域，发现漏洞极其困难；授权用户可访问部分数据，只可执行授权操作。说明：每一项都有 3 个等级，对应着权重，从而形成了一个矩阵。通过数据安全风险评分，对风险情况进行综合分析与评价，风险分析时基于计算出的风险值确定风险等级，风险评价是对业务数据安全风险的综合评价。风险等级划分为低、中、高三个级别，分值情况如下：风险等级对应表：分值等级5-7

51、分低风险8-11 分中风险12-15 分高风险4.2.5.2 风险评估报告当评估服务方获得风险内容及风险等级后，通过数据安全治理分析模型输出风险评估报告，报告内容包含：该风险对单位、业务、系统及数据的影响范围、影响程度，并依据国家的法规标准形成风险评估结论。4.2.5.3 安全整改原则当生成业务数据安全风险评估报告及安全整改建议时，首先应依据国家、行业部门发布的数据安全建设风险处理办法进行加固，如依据等级保护相关要求实施的安全加固工作，应满足等级保护相应等级的安全技术和管理要求。数据安全治理建设指南204.2.5.4 安全整改建议安全整改建议根据业务数据安全风险的严重程度、加固措施难易程度、所

52、投入人员力量及资金成本等因素综合考虑。对于高风险、易于实施的数据安全问题，建议被评估方立即采取安全整改措施。对于高风险、中风险、不便于实施的数据安全问题，建议立即制定安全整改方案，进行实施安全整改建设；整改前对相关安全隐患进行梳理，并做好应急预案。对于高风险、不易于实施的数据安全问题，建议制定限期实施的整改方案，整改前保持对相关数据安全隐患的监控。4.3 制度建设4.3.1 制度体系框架设计为便于管理，制度需要按照体系化的方式进行建设，可以参考 数据安全建设指南-2013数据安全治理体系要求，将制度分为四级，如下图所示：图 11 制度框架设计示例一级文件为方针政策、二级文件为制度规范、三级文件

53、为操作明细、四级文件为基础模板。除一级文件外，其它级别的文件在制定的时候具有唯一上级，同级文档内容不能重复，最终形成树状结构。4.3.2 制度体系框架说明4.3.2.1 一级文件由决策层指导编制并发布，明确数据安全工作的总体方针和纲要，确定开展数据安全工数据安全治理建设指南21作的目标和基本原则，主要内容包括：1.数据安全相关责任的划分；2.数据安全工作的范围、决策机制；3.数据安全工作技术路线。4.3.2.2 二级文件在总体方针的框架下，形成基于数据场景的制度规范，如数据安全管理规范（通用规范）、数据共享管理规范、数据资产管理规范等。二级文件要明确相关角色的权利和义务，面向相关对象（包括人、

54、应用、工具）提出要求。4.3.2.3 三级文件基于二级文件提出的要求，形成具体的执行文件，如脱敏规范、审批流程、审计日志规范等，三级文件是指导技术落地的基础。4.3.2.4 四级文件四级文件是基础辅助类文件，由三级文件在执行过程中产生和沉淀而来，例如：数据权限申请模板、脱敏申请模板、流程审批模板等。4.4 技术建设技术体系框架设计数据安全治理强调的是技术能力的运用，而不是产品的堆积和平台的建设，具有良好的灵活性，目标是将数据安全技术融入到数据使用场景中。图 12 数据安全防护方案设计数据安全治理建设指南224.4.2 技术体系框架说明 4.4.2.1 梳理层面通过人工和工具相结合的方式对数据资

55、产进行梳理，以及访问状况的梳理和风险情况的梳理，全面了解当前数据状况并可以实时监控数据资产的变化情况。采用工具的方式可以减轻工作量，提升准确率和效率。4.4.2.2 管理层面通过建立系统的方式来对数据安全治理过程中的管理工作进行支撑，属于行政类和基础类工具，通过管理层面技术工具的运用，可以使安全管理工作有秩序的开展，屏蔽灰色行为的发生。另外，在发生数据安全事件时，可以有效应对，及时下发策略。4.4.2.3 技术层面技术层面需要从资产加固、行为管控、行为稽核三个方面进行建设。资产加固：主要是对数据库进行安全加固，例如数据加密、虚拟补丁技术等；行为管控：要针对数据使用的各个场景，选用不同的技术工具

56、进行安全管控，例如生产数据应用于开发测试的时候，需要采用静态脱敏技术对数据进行脱敏后再导入目标数据库，同时要采用违规行为识别与阻断技术进行管控，降低数据在开发测试过程中泄露的概率；行为稽核：通过审计技术、行为分析和风险分析辅助稽核工作，保障数据安全治理的策略和规范被有效执行和落地，快速发现异常行为和风险。5.执行维度建设5.1 资产梳理企业或单位在进行数据安全建设时，往往面临数据资产分布状况不清，数据资产使用状况不明，数据资产安全状况未知这三大问题，这使数据安全部门无法开展行之有效的安全建设，也无法制定具有针对性的规章制度。因此本章节从这些问题入手，就如何梳理数据资产的分布状况、使用状况、安全

57、状况给出建设建议。数据安全治理建设指南235.1.1 资产分布梳理5.1.1.1 目标对用户目标环境中数据资产分布情况进行梳理排查，形成数据资产地图。梳理的内容包括：1.梳理目标环境中存在的数据库数量、类型、版本及详细信息；2.确认数据资产分布情况及数量，需精确到字段、行数级；3.梳理数据库中账户信息及账户对数据资产访问权限。5.1.1.2 技术工具应通过扫描类工具对目标环境中数据资产分布情况进行梳理，工具应具备以下能力：1.通过基于端口、协议类型的扫描手段梳理目标环境中存在的数据库信息；2.通过敏感数据特征匹配技术，梳理数据库中存在的数据资产分布情况及数量；3.通过数据库信息扫描技术，梳理账

58、户及权限信息。5.1.2 资产访问梳理5.1.2.1 目标根据“数据资产分布状况梳理”结果，对数据资产使用情况进行梳理，形成数据资产使用状况报告。可按不同时间段，不同访问源，不同频度，不同使用场景等条件进行数据资产使用情况统计分析，并具备可视化呈现。5.1.2.2 技术工具应使用基于流量、协议、日志解析技术的分析工具，根据数据资产分布地图，对资产使用情况进行梳理，工具应具有如下能力：1.能够对数据访问行为进行审计记录，包括数据访问主体、访问对象、访问工具及过程、访问结果等信息；2.能够对数据访问审计记录进行综合分析，支持多维度统计与多角度钻取；3.能够使用图形、报表等直观形式，对访问结果进行展

59、现。5.1.3 资产风险梳理5.1.3.1 目标对数据资产所在环境的风险状况进行梳理，包括对数据资产存储环境的漏洞状况、安全数据安全治理建设指南24配置及使用隐患等方面进行评估。5.1.3.2 技术工具应使用风险监测工具，对数据资产所在环境进行全面安全状况评估，包括如下内容：1.能够检测数据资产所在环境的漏洞存在情况，判断系统是否进行了足够的升级及补丁更新；2.能够检测数据资产所在环境是否使用或开启了足够的安全配置项；3.能够检测数据资产所在环境是否存在诸如弱口令、缺省口令等人为造成的使用缺陷。5.2 行为管控本章所提到的数据泛指敏感数据，敏感数据的定义可以通过分类分级来明确，也可以自定义范围

60、。针对数据使用的各个场景，通过制度规范和技术工具相配合的方式进行安全管控，实现数据安全治理的目标。在此过程中是要把梳理后的角色、数据资产、数据进行分类分级。5.2.1 角色定义管控角色的定义是所有管控环节的基础，只有科学、有限、全面的角色梳理才能识别所有主体，从而对行为管控提供支撑。以下是两种角色的示例：角色 1：运营系统支撑1）岗位包含举例：业务系统管理、系统运营支撑等细项岗位；2）岗位说明：该类岗位角色主要指各省业务部门负责系统管理及支撑的岗位。3）权限要求：该角色人员负责部门系统帐号、口令的管理，进行相应系统的开发、运营和维护，可以查看相应权限所涉及的客户敏感信息；仅具有查询权限，不应授

61、予增加、删除、修改、批量导入与导出、批量开通与取消、批量下载等针对客户敏感信息的操作权限。角色 2：开发测试1）岗位包含举例：架构管理、系统设计、应用开发、应用测试、项目建设管理等；2）岗位说明：该类岗位主要包括各部门负责涉及客户敏感信息的系统的设计、研发、测试以及项目建设管理人员。3）权限要求：开发测试人员原则上不能接触生产系统数据，开发测试人员仅具有测试系统的操作权限，开发测试系统需要涉及到客户敏感数据信息的内容，原则上使用过期数据或是模糊化处理之后的数据。数据安全治理建设指南255.2.2 分类分级管控通过数据资产梳理、敏感数据发现及梳理、数据资产分级、用户及敏感资产权限梳理。对数据进行

62、全面摸底，分类分级是识别客体数据的主要方法。只有识别客体数据类别级别才可以结合角色进行有限的权限控制。数据分级分类的原因：只有对数据进行有效分类，才能够避免一刀切的控制方式，在数据的安全管理上采用更加精细的措施，使数据在共享使用和安全使用之间获得平衡。数据分级分类的原则：分类：依据数据的来源、内容和用途对数据进行分类；分级：按照数据的价值、内容的敏感程度、影响和分发范围不同对数据进行敏感级别划分。数据分级分类内容示例：信息类别信息项对三方价值事故影响分级定义客户基本资料政企客户资料牟取暴利造成政企客户流失、损失巨大机密数据个人客户资料价值较大造成客户损失、损失大敏感数据各类特殊名单牟取暴利造成

63、投诉、损失大敏感数据身份鉴权信息用户密码牟取暴利造成客户损失、损失巨大机密数据客户通信信息详单价值较大造成投诉、损失大敏感数据账单价值一般损失一般普通数据客户当前位置信息价值较大损失一般敏感数据客户消费信息价值一般损失一般普通数据订购关系价值低无明显损失普通数据增值业务订购关系价值低无明显损失普通数据增值业务信息牟取暴利造成客户损失、损失大敏感数据客户通信内容信息客户通信内容记录牟取暴利客户私密信息泄露，损失巨大机密数据移动上网内容及记录价值低损失一般普通数据增值业务客户行为记录价值低客户私密信息泄露，损失大敏感数据领航平台交互信息牟取暴利损失一般敏感数据5.2.3 授权行为管控授权的准备工作

64、，要指定专人进行授权的管理结合角色、数据、分类分级结果，进行权数据安全治理建设指南26限的划分和分配。以下是示例：业务帐号授权管理:1.业务系统的应用帐号应该由业务部门主管，业务部门必须制定岗位角色和权限的匹配规范，提供岗位角色和权限对应的矩阵列表,确保职责不相容。2.业务部门需指定专人（业务管理员）负责所管辖业务系统的帐号权限分配，明确所管辖业务系统的帐号权限申请审批流程。3.业务管理员应将所管辖业务系统的岗位角色权限矩阵变更申请及应用层帐号权限变更申请提交主管领导审批，严格限制系统关键功能和超级帐号的授权。4.业务管理员需要定期组织业务系统帐号使用情况的检查稽核，确认业务系统中用户身份的有

65、效性、帐号创建的合法性、权限的合理性，对存在的问题提出整改要求。运维帐号授权管理：1.系统运维支撑部门应指定专人（系统帐号管理员）负责运维帐号和权限的管理工作，制定岗位角色和权限的匹配规范，提供岗位角色和权限对应的矩阵列表,确保职责不相容；2.运维人员应向上一级主管提出帐号权限申请，系统帐号管理员应按照权限最小化原则分配运维人员的帐号权限。3.系统帐号管理人员要定期对系统帐号使用情况、权限、口令等进行检查稽核，确认帐号、权限的有效性，并对存在的问题进行整改。第三方帐号授权管理：1.对于外部人员需使用涉敏感信息系统帐号的情况，应和第三方厂商签订相关的安全保密协议，以保证第三方厂商能够遵守我方的安

66、全管理要求。2.禁止第三方人员使用内部员工的系统帐号访问系统，第三方人员帐号在系统中统一管理。3.第三方人员应该使用单独的帐号，禁止多个第三方人员使用同一个帐号。4.禁止第三方人员掌握系统管理员权限，禁止第三方人员拥有创建系统帐号的权限、查询涉及客户敏感信息、控制网元的权限或者超出工作范围的其它高权限帐号。5.特殊情况下，第三方人员若需要获得系统管理员权限，应临时授权,工作完成后及时收回权限。6.应参照运维人员帐号管理要求，定期对第三方帐号、权限、口令进行严格检查稽核。7.各公司应对第三方帐号申请、回收、授权、有效期等环节进行严格管理，并制定管理办法，确保第三方人员发生离职或岗位变动时能及时清

67、理其帐号。数据安全治理建设指南275.2.4 操作行为管控操作的准备要基于资产梳理结果，结合角色、数据、授权进行数据的操作风险识别和控制。以下是示例：1、业务人员对客户敏感信息操作的管理1）涉及客户敏感信息的批量操作（批量查询、批量导入导出、批量为客户开通、取消或变更业务等），必须遵循相应的审批流程，通过业务管理部门审核；2）业务人员因业务受理、投诉处理等情况下需要查询或获取客户信息时，应遵循如下要求：a.涉及客户普通资料的查询，服务营销人员要获得客户的同意，并且按照正常的鉴权流程通过身份认证。鉴权一般采取有效证件或服务密码验证，并保留业务受理单据。b.涉及客户敏感信息的查询，客户接触人员只能

68、在响应客户请求时，并且客户自身按照正常流程通过身份鉴权的情况下，协助客户查询；禁止客户接触人员擅自进行查询；查询需保留业务受理单据。c.除客户接触外的业务人员，因投诉处理、营销策划、经营分析等工作需要查询和提取客户敏感信息的，业务管理部门应建立明确的操作审批流程，定期进行严密的事后稽核与审查。d.对敏感数据的批量操作，需要在指定地点、指定设备上进行操作，相关设备必须进行严格管控，对于该设备的打印、拷贝、邮件、文档共享、通讯工具等均需进行严格管控，防止数据泄露。2、运维人员对客户敏感信息操作的管理1）运维支撑部门需制定并维护业务系统层角色权限矩阵，明确生产运营、运行维护、开发测试等岗位对客户敏感

69、信息的访问权限。2）运维支撑人员因统计取数、批量业务操作对客户敏感信息查询、变更操作时必须有业务管理部门的相关公文，并经过部门领导审批。3）运维支撑人员因应用优化、业务验证测试需要查询、修改客户敏感信息数据，必须利用测试账号进行各项测试，不得使用客户账号。4）运维支撑人员因系统维护进行客户敏感信息的数据迁移（数据导入、导出、备份）必须填写操作申请，并经过部门主管审批。5）严禁运维支撑人员向开发测试环境导出客户敏感信息，对需导出的信息必须经过申请审批，并进行脱敏化处理。6）对敏感数据的批量操作，需要在指定地点、指定设备上进行操作，相关设备必须进数据安全治理建设指南28行严格管控，对于该设备的打印

70、、拷贝、邮件、文档共享、通讯工具等均需进行严格管控，防止数据泄露。3、数据抽取管理1）各数据需求部门由指定人员担任数据分析员，负责该部门的数据提取需求。2）为确保数据安全，数据管理员不得将取数结果交付给非需求人员。非数据管理员不接收取数申请，也不得将提取数据直接发给相关需求人员。3）数据分析员应对所提需求所涉及的客户信息进行审核并对需求内容做详细描述，数据管理员有责任进行复核并尽量减少客户敏感信息的提取。4）数据提取部门不得将数据提取结果直接发给需求人员，数据提取结果必须为受控文档，并在指定平台上进行编辑和处理，不得存放在指定平台外的任何主机上。5）受控文档是指采用加密、授权、数字水印、数字签

71、名等技术手段对文档进行安全保护后的文档。6）数据提取的检查稽核必须由专人负责，检查稽核人员应每月对日常数据提取情况进行检查稽核。7）公检法等司法机关为满足司法取证等需要查询客户信息时，应提交正式介绍信并进行留存，由相关主管领导批准后，方可提交业务支撑部门查询相关数据。5.3 治理稽核1）安全检查主要分为操作稽核、合规性检查、日志审计、例行安全检查与风险评估。2）数据安全管理责任部门针对安全检查过程中发现的突出问题，牵头协调各部门提出改进方案，并要求相关部门落实解决，并对改进措施落实情况进行跟踪检查。3）操作稽核是对操作日志与工单等原始凭证进行比对，分析查找违规行为。4）合规性检查重点是依据本管

72、理规范要求进行检查，检查相关要求的落地情况。5）日志审计，对所有日志按关键功能、关键角色、关键帐号、关键参数，进行审计检查。及时发现异常时间登录、异常 IP 登录、异常的帐号增加和权限变更、客户信息增删改查、批量操作等敏感操作。6）例行安全检查是指运维支撑部门对所负责维护的系统进行的常规性安全检查，包括漏洞扫描、基线检查等。7）风险评估侧重通过白客渗透测试技术，发现深层次安全问题，如缓冲区溢出等编程漏洞、业务流程漏洞、通信协议中存在的漏洞和弱口令等等。风险评估以各系统的运维支撑部门自评估为主、数据安全管理责任部门抽查相结合的方式进行。由于应用体系对违规行为控制的不足，会导致内部人员或黑客人员通

73、过看似正常访问的方式对数据安全造成威胁。数据安全治理建设指南29数据安全风险分析是基于数据流动过程中的日志信息，进行深入的分析，从而掌握数据在应用体系内是如何流动的，通过与实际应用场景的结合，以及对正常访问行为特征的分析，形成大量的规则和模型，增强数据安全风险的感知能力。通过数据安全风险分析还可以掌握数据安全措施执行的有效性，为安全措施的完善提供依据。风险行为举例：一段时间内重复查询客户信息几百次；长时间不登录的账号突然对数据进行访问，且访问敏感数据；同一个账号通过多个 IP 终端使用；一段时间内该账号频繁修改敏感数据；某条信息一段时间内高频率被访问；5.3.1 审计与监控审计与监控一般是采用

74、工具的方式来实现，是面向审计人员、安全管理人员、运维人员针对数据风险状况、运行状况提供监控的能力，具有日志采集的能力。审计工具的采用，可以满足国家或行业的法律法规要求。审计工具应具备日志采集、日志的合规存储和检索、应用关联、报表生成等能力。5.3.2 数据流动分析通过数据流动日志信息的解析，绘制数据流动大图，可以使安全风险分析员直观的掌握当前的数据流动情况，从而知道谁在通过什么方式连接了哪个数据库，访问了哪类数据，访问量多少。5.3.3 数据访问行为分析由于访问日志的捕捉点范围广、信息量大，对于安全风险分析员来讲并不利于发现潜在的数据安全风险。通过对访问日志的分析，以访问者为对象（账号、应用、

75、终端），针对某类数据（如有必要也可以考虑针对某项数据），从访问频率、访问时间、操作类型等多个维度进行统计分析，逐渐绘制和完善行为画像，行为画像可以通过蛛网图、趋势图进行展现，提升异常访问的发现能力。5.3.4 异常访问识别与告警形成数据访问行为画像后，即可对访问行为进行对比，从访问频率、访问时间、操作类型等维度对访问行为进行对比分析，从而得出匹配度，对于超出事先设定好的偏离值的访问数据安全治理建设指南30行为，通过告警的方式发出通知，确保第一时间采取应急工作。异常访问自动发现可以帮助安全风险分析员在大规模的数据访问过程中发现风险，由于日志采集的完整性，因此可以生成精确的风险报告，为风险行为追责

76、、追溯提供依据。异常访问自动发现能力可以帮助安全风险分析员在大规模的数据访问过程中发现异常行为，降低安全风险分析员的工作量，提升安全工作的有效率。6.场景维度建设通过能力维度建设、执行维度建设的基础，来支撑和应用在场景维度建设工作。有些用户业务中包含如下单个场景，也有组合型场景，甚至未列举出的新场景，请根据下列场景建设吸收经验，基于自身业务角度进行场景维度的设计。6.1 数据分类分级6.1.1 概述数据分类级是数据保护工作中的一个关键部分，是建立统一、准确、完善的数据架构的基础，是实现集中化、专业化、标准化数据管理的基础。数据分类分级可以全面清晰地厘清数据资产，确定应采取的数据安全防护策略和管

77、控措施，在保证数据安全的基础上促进数据开放共享。数据分类分级工作需要由精通业务的团队和安全团队来开展，需要事先制定好分类分级的原则和方法。数据分类分级工作随着业务的变化也会发生变化，因此，数据管理部门需要通过系统化的方式来进行自动化、统一化的管理。6.2.2 制度规范XX 企业数据分类分级指引主要内容如下：1.管理数据分类分级工作的角色及职责；2.数据范围；3.分类分级流程阶段；4.数据分类的原则和方法；5.数据定级的规则和方法；6.数据分类分级审核流程；7.数据类别级别变更策略和流程。数据安全治理建设指南316.1.3 技术工具1.需要通过人工或工具的方式完成分类分级工作，分类分级工具应具备

78、如下能力：能够依据分类分级标准，创建数据分类分级模型；能够通过模型分析数据，形成数据资产分类分级清单；能够对数据资产分类分级清单进行统计分析和展现。2.建立数据分类分级管理系统，功能包括分类分级审核流程、清单管理、变更管理等。6.1.4 参考文件GB/T10113-2003 分类与编码通用术语GB/T22240-2008 信息安全技术信息系统安全等级保护定级指南DB52/T1123-2016 政府数据数据分类分级指南（贵州省地方标准）JR/T0158-2018 证券期货业数据分类分级指引6.2 开发测试场景6.2.1 概述在业务系统开发、测试过程中，免不了需要使用生产数据。由于生产数据包含了大

79、量的敏感数据，且在开发测试时对数据的使用具有灵活性的特点，如果不采取必要的安全管控措施将极易发生数据泄露的风险。采取数据全量脱敏的方式可以有效防止数据泄露，但在实际场景中，开发测试时难免要使用部分原始数据，由于开发测试环境的安全措施不完善，这些数据一旦导入开发测试环境中，还是会发生数据泄露的风险，因此，如何对开发测试环境中的数据进行有效管控也是需要重点考虑的。6.2.2 制度规范XX 企业系统开发测试使用数据的安全要求主要内容如下：1.基本原则；2.数据范围；3.数据提取流程；4.数据提取角色和职责；5.数据使用申请审批流程，申请时需要明确用户、应用、使用周期、使用范围等；6.数据脱敏策略和规

80、则。数据安全治理建设指南326.2.2 技术工具1.通过静态脱敏工具对生产环境中的数据按指定策略和规则进行处理，选择静态脱敏工具时要考虑其灵活性；2.通过自动化工具实现生产数据向开发测试环境迁移，减少人工参与，降低泄露风险；3.通过静态梳理工具对开发测试环境下的数据资产分布情况定期进行梳理，时刻掌握数据资产的变化情况，及时发现超期使用等现象；4.通过动态梳理工具对开发测试环境下的数据使用状况进行梳理，及时发现违规使用行为，并通过告警的方式通知安全团队；5.通过审计工具对开发测试环境下的数据操作进行全面的审计，记录操作行为，及时发现违规操作，同时起到事后追溯的依据。6.2.4 参考文件信息安全技

81、术信息系统等级保护基本要求 2.0（送审搞）国家电网公司营销专业客户敏感信息脱敏规范（2017-12）DB52/T1126-2016政府数据数据脱敏工作指南（贵州省地方标准）6.3 数据运维场景6.3.1 概述由于业务的需要，运维人员需要对数据进行修改、优化、备份、恢复、迁移等操作，数据运维人员为完成运维工作，一般情况下会拥有很高的数据权限，运维人员的违规操作和误操作是造成数据安全问题的最大风险点。对于数据运维安全，除了要通过管理手段对运维人员进行约束，还需要通过一些技术手段来加强数据安全管控。在数据运维过程中，如何能够不让运维人员看到权限以外的数据，如何对敏感数据进行保护，通过什么方式对运维

82、行为进行识别和记录，自动判断合规性，并且在发生数据安全事件时，能够追溯。6.3.2 制度规范XX 企业数据运维安全管理规范主要内容如下：1.数据运维角色和职责，保证“岗责一致”；2.数据运维权限的分配机制；3.运维人员变更、运维权限变更的流程；4.运维行为的审批流程；5.运维人员身份认证策略；数据安全治理建设指南336.运维行为的监控与审计要求；7.针对运维人员的数据遮蔽策略。6.3.3 技术工具1.通过梳理工具定期对运维账号信息和权限信息进行梳理，确定其在合理的范围内；2.通过动态脱敏技术对敏感数据进行遮蔽处理，防止数据泄露；3.通过数据安全网关对运维操作进行管控，数据安全网关应具备如下能力

83、：具有运维行为的识别能力，能够判断违规操作和误操作,并进行告警或阻断；对运维人员的身份进行认证，包括访问终端 IP、工具、账号信息等；4.通过审计技术对运维操作进行采集并记录，用于风险分析和行为追溯。5.对于 DBA 等高权限访问时，通过协议解析技术对异常的行为进行识别，并进行阻断；通过数据库透明加密技术对数据库进行加固，权限管理独立于数据库，防止高权限用户越权，获取到数据，高权限用户访问数据需要经过审批；6.建设运维审批系统，流程化管理运维操作权限，并与数据安全网关对接。6.3.4 参考文件无6.4 数据共享场景6.4.1 概述通过数据共享可以使数据的价值提升，加快企业和政府的信息化服务。由

84、于在数据时代下数据的重要性非常突出，在共享过程中需要采取必要的安全管控措施，保证数据在合理、安全的前提下进行共享和交互。数据共享包括内部共享、与监管部门共享、与其它企业或其它政府部门共享、与社会公众共享等场景，由于共享场景的复杂性和数据范围的不确定性普遍存在，因此，对数据共享过程进行安全管控时需要考虑针对性和灵活性。数据共享的方式包括通过接口直接访问数据和直接提取两种。通过提取的方式进行共享时，数据可能不再受到本单位数据安全治理体系的保护，因此需要对数据进行脱敏的同时还需要增加数据标识，起到溯源的作用。6.4.2 制度规范XX 企业数据共享安全管理规范主要内容如下：1.数据范围；数据安全治理建

85、设指南342.共享范围和原则，例如共享数据范围最小化原则、数据脱敏范围最大化原则等；3.共享的审批流程，明确数据需求者身份、共享方式、共享周期、使用目的等；4.共享方式，明确各共享场景下采用的共享方式；5.数据共享过程的审计监控要求；6.数据共享脱敏原则和策略；7.数据溯源要求。6.4.3 技术工具1.数据共享通过接口方式访问数据，需要通过动态脱敏技术进行脱敏处理，保证数据使用范围最小化，降低数据泄露风险；2.数据共享通过提取方式时，需要通过静态脱敏工具对数据进行脱敏处理，同时，通过数据水印技术对数据进行标识化处理，用于溯源；3.通过数据安全网关工具对访问源身份和权限进行识别，工具应具备如下能

86、力：数据的鉴权能力；访问源的身份识别能力，包括访问源 IP、访问工具、访问终端设备特征等；6.4.6 参考文件信息安全技术政务信息共享数据安全技术要求（征求意见稿）6.5 数据分析场景6.5.1 概述数据分析能够为业务和决策提供支撑，数据分析对数据的使用具有范围广、频率高的特点，有时还需要将数据从各数据库中提取出来，导入数据分析应用的环境下，如果不进行有效的安全管控，在数据分析过程中极易发生数据泄露风险。采用脱敏的方式对数据进行处理后再用于数据分析可对数据进行有效保护，但数据分析的结果将用于决策和业务分析，应该使用真实数据。作为数据安全管理人员应该对数据分析的特征进行分析，有针对性的进行管控，

87、做到如何在不影响数据分析的情况下，对数据进行保护，降低数据泄露风险的发生，并且要对数据分析过程进行监控。6.5.2 制度规范XX 企业数据分析数据安全管理规范主要内容如下：1.数据范围；2.数据安全管理的角色和职责；数据安全治理建设指南353.数据使用的审批流程；4.数据脱敏策略；5.数据提取的流程。6.5.3 技术工具1.需要将数据提取，导入数据分析应用的环境时，应通过静态脱敏工具对数据进行脱敏处理，同时通过数据水印技术对数据进行标识化处理，防止泄露。静态脱敏工具要具有灵活的配置能力，即能满足数据分析的需要，还可以保证数据最大范围的脱敏保护；2.通过接口方式直接访问数据时，需要通过动态脱敏技

88、术对数据进行脱敏处理，降低泄露风险；3.通过审计技术对分析过程进行日志抓取，对数据分析过程进行监控，及时发现风险。6.5.4 参考文件GB/T35273-2017信息安全技术个人信息安全规范6.6 应用访问场景6.6.1 概述传统的方式是为应用配置数据库账号和权限，直接访问数据，这种方式不能实现细粒度的数据权限控制，加之没有进行脱敏处理，极易发生数据泄露风险。因此，需要采取相应的安全措施，防止数据泄露问题的发生。如何能够在不影响业务的正常访问，同时在不改造应用和数据库的情况下，实现数据的细粒度管控和脱敏处理，是数据安全工作考虑的重点。6.6.2 制度规范XX 应用系统敏感数据访问安全管理规范主

89、要内容如下：1.敏感数据范围；2.身份认证的策略，包括用户层、应用层；3.哪些应用能访问哪些数据，是否需要脱敏；4.脱敏原则和算法；5.基于访问场景的脱敏策略；6.应用访问数据的审批流程；7.建议建立按级别脱敏的机制，便于实施，脱敏级别分为四级为宜，不同级别针对相同数据的脱敏规则不同，并指出适用场景。数据安全治理建设指南366.6.3 技术工具1.建议应用系统访问数据采用数据 API 方式，启到能够对数据细粒度控制的作用；2.通过动态脱敏技术对应用系统访问数据的过程中进行脱敏处理，降低数据泄露风险发生的可能；3.通过数据权限系统，实现用户、应用、数据的授权关联和授权审批；4.通过数据安全网关对

90、访问者（用户、应用）进行身份识别和权限鉴别，对规则使用进行告警或阻断；5.通过 USBkey、动态令牌、生物识别等手段加强对用户的认证；6.6.4 参考文件国家电网公司营销专业客户敏感信息脱敏规范（2017-12）DB52/T1126-2016政府数据数据脱敏工作指南（贵州省地方标准）6.7 特权访问场景6.7.1 概述任何用户根据经营的重点，都会存在高敏感数据，例如医院的明星就诊信息、公安人口库中的省部级领导信息等。对于这类数据安全管控，首先需要将其识别出来，然后再通过剔除或遮蔽的手段进行保护。关于权限的问题，如果与常规数据的权限放在一起，则容易暴露高敏感数据的特征。因此，高敏感数据的权限配

91、置要独立建立，控制使用范围，再通过脱敏手段对高敏感数据进行处理，可有效防止高敏感数据的泄露。另外，在对高敏感数据进行管控的同时，还需要考虑不能影响正常业务的访问和使用。6.7.2 制度规范XX 企业高敏感数据安全管理规范主要内容如下：1.高敏感数据的定义和特征描述；2.高敏感数据管理角色和职责；3.高敏感数据安全保护的原则、方法；4.高敏感数据使用的审批流程；5.高敏感数据使用的权限策略；6.在各个数据使用场景下高敏感数据的使用要求，如：在某场景下不允许使用高敏感数据，在某情况下需要通过审批才能使用高敏感数据；数据安全治理建设指南377.当发生高敏感数据泄露时的应急策略。6.7.3 技术工具1

92、.通过数据库加密技术对高敏感数据特征进行加密，防止随意使用；2.应用查询到高敏感数据的时候，通过动态脱敏技术进行遮蔽、部分遮蔽、剔除处理后再返回给应用端；3.运维人员访问到高敏感数据的时候，通过动态脱敏技术对高敏感数据进行屏蔽，确因工作需要，要对高敏感数据进行操作，需要提交申请，审批通过后即可操作；4.通过 ES 系统进行检索的时候，需要在检索程序中加载过滤组件，用于剔除高敏感数据；5.数据通过提取的方式向外共享时，需要在脱敏系统中安装过滤组件，在脱敏过程中自动屏蔽高敏感数据，如确有需要，则需要通过申请审批后，才能进行提取；6.建立独立的权限管理系统，专门负责高敏感数据的授权管理；7.通过审计

93、日志随时关注高敏感数据的使用状况。6.7.4 参考文件GB/T35273-2017信息安全技术个人信息安全规范JR/T0068-2012网上银行系统信息安全通用规范7.纠正和优化数据安全治理体系数据安全没有绝对的安全，只是在某一时期相对安全。因此，数据安全治理体系的建设也并非一次可以完成，需要根据信息化建设的变化和政策的要求持续不断的完善，来应对可能发生的数据安全风险，满足政策的要求。对当前的数据资产情况进行进一步的梳理，看是否有增加的资产或访问角色；对稽核的情况进行梳理，看是否有未纳入管理的数据访问行为；观测最新的相关安全规范的变化情况，看是否有需要新增或移除的外部安全策略；了解新的业务系统

94、或组织结构，看数据的访问权限和行为方式是否改变；根据以上情况，改组当前的数据安全组织结构，修订当前的数据安全策略和规范，持续保证安全策略的落地。为了消除在数据安全治理体系运行中发现的不符合项，必须及时采取纠正性措施。为此，应采取措施找到问题的原因，消除引发问题出现的根源，防止其再次发生。持续不断的优化数据安全治理过程，从而整体提升企业或政府的数据安全防护能力。数据安全治理建设指南387.1 纠正措施7.1.1 纠正措施的制定与实施（一）不符合事项发生后应由责任部门及时予以纠正。同时应积极地对可能存在的同类问题进行查找，做到举一反三。（二）原因分析由不符合事项责任部门组织进行。在进行原因分析时，

95、应力求全面、深入地查找，突出重点和主要的因素；要在管理方面、技术方面和更深的层次上多找原因，必要时召开分析会来进行原因分析。（三）各责任部门在分析出不符合事项的产生原因后，必须为消除不符项的原因或潜在的原因，防止不符项的再发生，必须采取有效措施或制定解决计划。所提出纠正措施，需填写纠正措施计划表，并提交直属负责人或管理者代表进行评审，以评价采取纠正措施的有效性、必要性、可行性和需求，对风险、效益及成本进行权衡，并做出决策。7.1.2 纠正措施实施情况的跟踪验证（一）用户相关部门应对纠正或预防措施的实施情况进行跟踪验证。如期完成的填写跟踪验证记录，对逾期未能实施或完成的，应责成责任部门限期完成和

96、验证。（二）纠正措施的相关记录由数据安全管理小组收集和保存，并作为管理评审输入资料。7.2 持续优化通过对内部审核等各项监测活动结果的分析，采集内外部与数据安全管理有关的信息，为体系的持续改进提供输入信息。通过管理评审，识别管理体系改进的需求，识别偏离数据安全目标的原因或现行体系在适应环境方面的差距，制定改进的具体措施寻找改进的机会，明确具体的改进计划。实施改进措施并验证其结果，并保留实施过程和结果的相关记录。7.2.1 能力、意识、培训公司制定岗位职责说明，明确对数据安全相关各职位角色的能力、技能和经验要求，并对因此而需要提供的培训和教育进行约定，从而使与数据安全治理管理相关的人员均能胜任其

97、职位。数据安全治理管理小组和内部审核小组成员必须接受和能及时了解公司已发布的数据安全管理方针和相关策略文件。数据安全治理体系各流程、业务负责人必须熟悉公司数据安全方针及已发布的相关政策。数据安全治理建设指南39每年通过外部培训、内训等方式保证相关人员有足够的技能来维护数据安全治理体系的运行。公司的数据安全培训内容包括（但不限于）：A 数据安全基本意识；B 公司既定的数据安全方针、策略、程序和规章制度；C 数据安全专业技能；D 特殊岗位的资格要求。7.2.2 沟通机制公司沟通机制包括但不限于以下方式：A 各类工作会议；B 电话沟通；C 电子邮件；D 各类评审活动；E 其他管理活动等。管理者代表应

98、每年召集各业务和部门负责人、风险责任人、数据安全治理管理小组召开管理评审会议，对风险评估的情况和数据安全体系运行的情况做总结、回顾以及对有待改进和优化的方面进行讨论和表决。通过电话、邮件及会议的方式，相关部门应定期和第三方供应商、客户进行沟通，就合同、SLA 履行的情况及出现的事故进行沟通协商，对工作进行总结并对下一阶段工作内容进行讨论。当公司发生重大事件、重大业务变化、重大 IT 基础设施变更时，各相关方应通过各类工作会议的形式进行沟通交流，保证公司业务能够顺利开展。7.2.3 绩效评价7.2.3.1 监控，度量，分析和评价用户通过数据安全绩效考核和体系控制措施有效性测量的方式来对已经建立并

99、实施的数据安全治理体系进行监督和度量（如：将单位财务部门和审计部门加入到绩效评价过程，并生成相应评价指标）。在体系运行期间，通过有效的检查、监督和反馈，保证体系一方面有威慑力另一方面能够始终满足既定的方针策略，满足用户的业务需求。7.2.3.1.1 数据安全绩效考核用户根据自身特点及数据安全管理方针和数据安全目标，制定相应的数据安全绩效指标，设定度量频率及度量方法。并每年对考核指标进行测量。年末将全年的度量结果汇总成为 数数据安全治理建设指南40据安全绩效考核表，在管理评审会议中对度量结果进行讨论并制定相应的改进和优化措施。7.2.3.1.2 控制措施有效性测量数据安全治理体系控制措施有效性测

100、量是实现用户数据安全治理体系目标的重要保障机制，有效性测量工作必须紧密结合数据安全方针，实现控制措施的可监督和可测量。控制措施有效性测量工作主要针对公司在数据安全工作中采取的各类控制措施设置报告要求和测量项目。数据安全管理小组在每年管理评审前开展对数据安全治理体系控制措施的有效性测量工作，有效性测量应得到管理者代表的审批。有效性测量工作按照控制措施有效性测量统计表要求的内容和时间要求完成相应指标的测量。并将结果记录到控制措施有效性测量统计表中。作为数据安全管理体系管理评审的重要输入，为数据安全治理体系的改进提供决策依据。7.2.4 内部审核体系内部审核即公司内部数据安全治理体系审核，它是由公司

101、内部组织，为确保体系的持续适用性、充分性和有效性，所进行的确定数据安全管理活动和有关结果是否符合计划的安排以及这些安排是否能够有效地实施的有系统的、独立的检查。公司定期实施体系内部审核，确定体系相关控制目标、控制措施、流程和程序是否：符合数据安全建设指南标准和相关法律法规的要求；符合已识别确认的数据安全需求；被有效实施和维护；按照预期运行。7.2.4.1 内审准备（一）内部审核计划制定A 每年至少进行一次覆盖公司全范围的数据安全治理体系内审活动。B 内审小组组长负责编制年度内审计划。C 审核范围应覆盖数据安全建设指南标准各项要求。D 体系内审活动应与其它安全检查、审计活动紧密结合，充分利用资源

102、，尽可能地减少对部门正常工作的影响。E 在下列情况下，内审小组组长可以提出申请，经管理者代表批准后，可追加进行内审活动：某部门的数据安全事件频发时；有重大数据安全事件发生时；外部审核之前。数据安全治理建设指南41（二）成立内部审核小组A 管理者代表或公司管理层根据被审核部门特点及其工作性质，从公司内部审核员队伍中推选具有资格的合适人选担任内审小组组长，由内审小组组长负责本次审核的具体组织工作。B 由内审小组组长从相关部门中选派具有内审员资格并且与被审核部门无直接干系者担任审核组成员，并根据内审计划适当地分工。（三）收集并审阅有关文件和记录A 内审小组组长根据内部审核计划进行审核分工和时间安排。

103、B 应在审核前下发本次内部审核计划到受审核部门负责人，事先约定该次审核的所有被访谈的角色。C 审核组成员根据分工任务编制内部审核检查表。D内审小组依据内部审核计划，收集与被审核部门数据安全管理活动有关的文件和资料，并进行审阅。E 审核员在做文件审核与现场审核时需做好记录。（四）内审首次会议A 内审小组组长主持召开内审首次会议。首次会议出席人员还包括内审小组成员、受审核部门的负责人及陪同人员。B 由内审小组组长介绍本次审核的目的、依据、范围、方法、规定及日程安排等。C 内审小组组长指定专人负责参会人员的签到与会议纪要。7.2.4.2 实施现场审核（一）现场收集客观证据A 内审员按照审核日程安排和

104、内部审核检查表内容要求，到审核现场进行逐项检查。B 在检查过程中，审核员应做必要的文件查阅，检查现场，收集证据，检查质量管理和数据安全治理体系的运行情况。C现场发现问题时应与该项工作的负责人员进行确认，以保证不符合项能够完全被理解，有利于后期采取正确的纠正措施。（二）确认不符合项A 内审小组对内审中收集的客观证据进行充分讨论，确定符合项与不符合项；B 当实际执行的客观证据不足以证明相关流程被执行时，审核员可据此开具不符合项；C 内审小组依据问题可能造成的影响程度和范围，确定不符合项的性质（严重或一般不符合项）。D 确定不符合项时，审核员应以数据安全建设指南标准以及相关体系文件制度为依据，以运行

105、记录和现场事实为证据，保持客观公正。数据安全治理建设指南42E 内审员负责填写内部审核整改计划。7.2.4.3 内审末次会议（一）内审小组组长主持召开内审末次会议；（二）内审小组全体成员、受审核部门负责人和陪同人员参与内部审核末次会议；（三）内审小组组长说明内部审核的不符合项报告和分类，并按重要程度的次序宣读不符项内容；（四）内审小组就各个不符合项回答受审核部门提出的问题，并对受审核部门应采取的纠正预防措施提出整改建议；（五）受审核部门负责人对内审发现表中的不符合项进行确认；（六）内部审核小组长指定专人负责参会人员的签到与会议记录。7.2.4.4 编制内部审核报告（一）审核结束后，内审小组应编

106、写内部审核报告和体系内审整改计划，如实反映审核结果，提交管理者代表审批。（二）内部审核报告经批准后，由内审小组组长将内审报告发放至相关受审部门。7.2.4.5 跟踪验证（一）受审核部门接到体系内审整改计划后，应及时分析原因，及时制定纠正措施以及完成期限并填写纠正措施计划表，报部门负责人审批。（二）受审核部门实施纠正措施，跟踪纠正预防措施的执行情况。（三）纠正措施预定日期已到或接到纠正措施已完成时，相关内审员应至受审核方，参与验证该纠正措施完成效果的验证评审。该内审员在完成纠正措施的有效性验证后，应在纠正措施计划表中签字予以确认，并更新体系内审整改计划。关闭后的纠正措施计划表交由数据安全管理小组

107、归档。7.2.5 管理评审公司最高管理者或体系管理者代表必须按计划的时间间隔对现行的数据安全治理体系进行评审，以确保数据安全治理体系的适宜性、充分性和有效性。7.2.5.1 管理评审频次与时机按策划的间隔时间，每年（12 个月内）至少进行一次管理评审，可以在内审后进行，也可以根据需要增加评审。数据安全管理组编制“年度管理评审计划”，并汇报管理者代表审批。数据安全治理建设指南43当出现下列情况之一时，可适时增加评审或对某一体系进行独立评审，编制相应的评审计划：A 公司组织机构、方针目标、资源配置发生重大变化时；B 发生重大服务质量、数据安全与职业健康安全事故/事件或顾客有连续投诉时；C 安全实施

108、社会需求或发生重大变化时；D 即将进行第三方审核及法规规定的审核时；E 审核结果发现有多起严重不符项时。7.2.5.2 管理评审计划数据安全管理小组在管理评审实施前一个月编制 管理评审计划，汇报管理者代表批准。管理者代表提前一周发出经审批通过的管理评审计划，主要内容包括：评审目的、时间、依据、内容及参加评审的部门和人员。相关部门和人员接到“管理评审计划”后，按要求准备好评审材料。管理评审输入资料及工作报告（各部门提交管理评审资料），在规定时间内提交给数据安全管理小组。这些输入资料包括：A 以往管理评审的后续跟踪措施；B 体系内部审核的结果；C 本年度风险评估的结果；D 年度数据安全绩效指标达成

109、情况；E 年度体系控制措施有效性测量的结果；F 年度数据安全事件及处置情况；G 来自客户或利益伙伴的反馈；H 可用于改善体系有效性的技术、产品或程序；I 改进的建议。7.2.5.3 管理评审管理者代表主持管理评审会，各部门负责人报告管理体系在本部门的运行情况。数据安全小组报告公司的体系运行情况。会议参加者对输入进行客观评价。管理者代表对评审内容做出评价与结论并提出改进的要求，确定责任部门制定纠正和预防措施及完成时间等，内容应包括：A 体系及其过程有效性的改进，包括对质量方针和目标、数据安全方针和目标、组织结构、过程控制等方面的决定和措施；B 与顾客要求有关的产品/服务的改进；C 有关资源需求配

110、置的决定，包括基础设施、文件资料、人员、资金等；数据安全治理建设指南44D 控制措施有效性测量方法的改进；E 风险评估和风险处置计划的更新；F必要时修改影响数据安全的规程和控制措施，以响应内部或外部可能影响体系的事态，包括以下的变更：业务要求安全要求影响现有业务要求的业务过程法律法规要求合同义务风险级别和/或接受风险的准则会议结束后，由数据安全管小理组依据管理评审的会议记录和管理评审的输出，编写 管理评审报告，经管理者代表审核批准后发至相关部门执行。本次管理评审的输出可作为下次管理评审的输入。管理评审报告包括评审目的、时间、评审的内容、改进与建议、会议主持人和参加的部门/人员等。7.2.5.4 改进建议的落实管理者代表和数据安全管理组指导责任部门，对改进项目分析原因、制定纠正与预防措施，填写纠正措施计划表，并制定专人落实。如果评审结果引起体系文件的更改，执行文件记录控制管理规定。管理评审产生的相关记录和措施由数据安全管理小组按照文件记录控制管理规定的要求进行归档。