通过对各项安全过程所需具备安全能力的量化,可供组织机构评估每项安全过程的实现能力。安全能力从组织建设、制度流程、技术工具及人员能力四个维度展开。
a) 组织建设:数据安全组织机构的架构建立、职责分配和沟通协作。
b) 制度流程:组织机构关键数据安全领域的制度规范和流程落地建设。
c) 技术工具:通过技术手段和产品工具固化安全要求或自动化实现安全工作。
d) 人员能力:执行数据安全工作的人员的意识及专业能力。
(1)组织建设
从承担数据安全工作的组织机构建设应具备的能力出发,从以下方面进行能力的级别区分:
a) 数据安全组织架构对组织业务的适用性;
b) 数据安全组织机构承担的工作职责的明确性;
c) 数据安全组织机构运作、沟通协调的有效性。
(2)制度流程
从组织机构在数据安全层面的制度流程建设,以及制度流程的执行情况出发,从以下维度进行能力的级别区分:
a) 数据生命周期关键控制节点授权审批流程的明确性;
b) 相关流程制度的制定、发布、修订的规范性;
c) 安全要求及流程落地执行的一致性和有效性。
(3)技术工具
从组织机构用于开展数据安全工作的安全技术、应用系统和自动化工具出发,从以下维度进行能力的级别区分:
a) 数据安全技术在数据全生命周期过程中的利用情况,针对数据全生命周期安全风险的检测及响应能力;
b) 利用技术工具对数据安全工作的自动化支持能力,对数据安全制度流程的固化执行能力。
(4)人员能力
从组织机构内部承担数据安全工作的人员应具备的能力出发,从以下维度进行能力的级别区分:
a) 数据安全人员所具备的数据安全能力是否能够满足复合型能力要求(对数据相关业务的理解力以及专业安全能力);
b) 数据安全人员的数据安全意识以及关键数据安全岗位员工的数据安全能力的培养。
