查看“DCMM数据安全管理”的源代码

=== 概述 ===
数据安全管理是在数据安全标准与策略的指导下,通过对数据访问的授权、分类分级的控制、监控 数据的访问等进行数据安全的管理工作,满足数据安全的业务需要和监管需求,实现组织内部对数据生 存周期的数据安全管理。

=== 过程描述 ===
过程描述如下:

* 数据安全等级的划分.根据组织数据安全标准,充分了解组织数据安全管理需求,对组织内部 的数据进行等级划分并形成相关文档;
* 数据访问权限控制,制定数据安全管理的利益相关者清单,围绕利益相关者需求,对其数据访 问、控制权限进行授权;
* 用户身份认证和访问行为监控,在数据访问过程中对用户的身份进行认证识别,对其行为进行 记录和监控;
* 数据安全的保护,提供数据安全保护控制相关的措施,保证数据在应用过程中的隐私性;
* 数据安全风险管理,对组织已知或潜在的数据安全进行分析,制定防范措施并监督落实.

=== 过程目标 ===
过程目标如下:

* 对组织内部的数据进行分级管理,重点关注数据的管理需求;
* 对数据在组织内部流通的各个环节进行监控,保证数据安全;
* 分析潜在的数据安全风险,预防风险的发生.

=== 能力等级标准 ===
能力等级标准如下:

==== 第1级:初始级 ====

# 在项目中进行了数据访问授权和数据安全监控;
# 对出现的数据安全问题进行分析和管理

==== 第2级:受管理级 ====

# 依据数据安全标准在业务部门内部对数据进行安全等级的划分;
# 业务部门内部进行了数据利益相关者需求的识别.并进行数据访问授权以及数据安全 保护;
# 业务部门内部进行了数据访问、使用等方面的监控;
# 业务部门内部对潜在数据安全风险进行了分析.制定了预防措施.

==== 第3级:稳健级 ====

# 组织对数据进行了全面的安全等级划分,每级数据的安全需求能清晰定义,安全需求的责任部门明确;
# 根据外部监管定义数据范围,能清楚的定义外部监管对数据的安全需求;
# 围绕数据生存周期,了解组织内利益相关者的数据安全需求,并对数据进行了安全授权和 安全保护;
# 能对数据生存周期进行安全监控,及时了解可能存在的安全隐患;
# 对于不同的数据使用对象.通过数据脱敏、加密、过滤等技术保证数据的隐私性;
# 定期开展数据安全风险分析活动,明确分析要点.制定风险预防方案并监督实施;
# 定期汇总、分析组织内部的数据安全问题,并形成数据安全知识库;
# 新的项目建设中能按照数据安全要求进行数据安全等级划分、数据安全控制等;
# 定期开展数据安全相关培训和宣贯,提升组织人员数据安全意识

==== 第4级:量化管理级 ====

# 定义了数据安全管理的考核指标和考核办法,并定期进行相关的考核;
# 定期总结数据安全管理工作,在组织层面发布数据安全管理工作报告;
# 重点数据的安全控制可落实到字段级,明确核心字段的安全等级和管控措施.

==== 第5级:优化级 ====

# 能主动预防数据安全风险,并对已发生的数据安全问题进行溯源和分析;
# 在业界分享最佳实践,成为行业标杆.