數(shù)據(jù)安全策略的實施和管理主要由安全管理員負(fù)責(zé)，與數(shù)據(jù)管理專員和技術(shù)團(tuán)隊協(xié)作。從成熟度來講，對應(yīng)的是五個成熟度。

在《DAMA 數(shù)據(jù)管理知識體系》有這么一句話“任何事情皆可外包，但責(zé)任除外?！?

數(shù)據(jù)安全策略規(guī)劃在《數(shù)據(jù)安全能力成熟度模型》是第一個過程域，其描述是：建立適用于組織數(shù)據(jù)安全風(fēng)險狀況的組織整體的數(shù)據(jù)安全策略規(guī)劃,數(shù)據(jù)安全策略規(guī)劃的內(nèi)容應(yīng)覆蓋數(shù)據(jù)全生存周期的安全風(fēng)險。

從安全能力維度明確了組織在數(shù)據(jù)安全領(lǐng)域應(yīng)具備的能力,包括組織建設(shè)、制度流程、技術(shù)工具和人員能力。五個成熟度，自然也遵循這個安全能力維度，只是不同的成熟度強(qiáng)調(diào)的內(nèi)容不同。我們通過看標(biāo)準(zhǔn)，來簡單看看這個過程域的五個級別。

《DAMA數(shù)據(jù)管理知識體系》提到：組織在制定數(shù)據(jù)安全制度時應(yīng)基于自己的業(yè)務(wù)和法規(guī)要求。制度是所選行動過程的陳述以及為達(dá)成目標(biāo)所期望行為的頂層描述。數(shù)據(jù)安全策略描述了所決定的行為，這些行為符合保護(hù)其數(shù)據(jù)的組織的最佳利益。要使這些制度產(chǎn)生可衡量的影響，它們必須是可審計且經(jīng)審計過的。

數(shù)據(jù)安全策略的實施和管理主要由安全管理員負(fù)責(zé)，與數(shù)據(jù)管理專員和技術(shù)團(tuán)隊協(xié)作。例如，數(shù)據(jù)庫安全性通常是DBA的職責(zé)。

從成熟度來講，對應(yīng)的是五個成熟度。

等級1：非正式執(zhí)行

該等級的數(shù)據(jù)安全能力描述如下:

組織建設(shè):未在任何業(yè)務(wù)中建立成熟穩(wěn)定的數(shù)據(jù)安全制度規(guī)程,僅根據(jù)臨時需求或基于個人經(jīng)驗,考慮了數(shù)據(jù)安全策略和規(guī)劃。

等級2：計劃跟蹤

該等級的數(shù)據(jù)安全能力要求描述如下:

• 組織建設(shè):應(yīng)由業(yè)務(wù)團(tuán)隊具有人員負(fù)責(zé)制定業(yè)務(wù)的數(shù)據(jù)安全策略。
• 制度流程:核心業(yè)務(wù)應(yīng)基于主要的數(shù)據(jù)安全風(fēng)險,建立以數(shù)據(jù)安全生存周期為核心思想的數(shù)據(jù)安全制度體系。
• 人員能力:核心業(yè)務(wù)應(yīng)負(fù)責(zé)該項工作的人員具備對組織執(zhí)行數(shù)據(jù)安全風(fēng)險評估,以及將數(shù)據(jù)安全要求提煉形成制度的能力。

等級3：充分定義

該等級的數(shù)據(jù)安全能力要求描述如下:

(1) 組織建設(shè):組織應(yīng)設(shè)立專職的崗位和人員,負(fù)責(zé)組織數(shù)據(jù)安全制度流程和戰(zhàn)略規(guī)劃的建設(shè)。

(2) 制度流程:

• 應(yīng)明確符合組織數(shù)據(jù)戰(zhàn)略規(guī)劃的數(shù)據(jù)安全總體策略,明確安全方針、安全目標(biāo)和安全原則;
• 應(yīng)基于組織的數(shù)據(jù)安全總體策略,在組織層面明確以數(shù)據(jù)為核心的數(shù)據(jù)安全制度和規(guī)程,覆蓋數(shù)據(jù)生存周期相關(guān)的業(yè)務(wù)、系統(tǒng)和應(yīng)用,內(nèi)容包含目的、范圍、崗位、責(zé)任、管理層承諾、內(nèi)外部協(xié)調(diào)機(jī)制及合規(guī)目標(biāo)等；
• 應(yīng)明確并實施大數(shù)據(jù)系統(tǒng)和數(shù)據(jù)應(yīng)用安全實施細(xì)則；
• 應(yīng)明確數(shù)據(jù)安全制度規(guī)程分發(fā)機(jī)制,將數(shù)據(jù)安全策略、制度和規(guī)程分發(fā)至組織相關(guān)部門、崗位和人員；
• 應(yīng)明確數(shù)據(jù)安全制度及規(guī)程的評審、發(fā)布流程,并確定適當(dāng)?shù)念l率和時機(jī)對制度和規(guī)程進(jìn)行審核和更新；
• 應(yīng)明確組織層面的數(shù)據(jù)安全戰(zhàn)略規(guī)劃,包括各階段目標(biāo)、任務(wù)、工作重點(diǎn),并保障其與業(yè)務(wù)規(guī)劃相適應(yīng)。

(3) 技術(shù)工具:應(yīng)建立數(shù)據(jù)安全策略規(guī)劃的系統(tǒng),通過該系統(tǒng)向組織全體員工發(fā)布策略規(guī)劃的解讀材料,以便于策略規(guī)劃的落地推進(jìn)。

(4) 人員能力:

• 負(fù)責(zé)制定數(shù)據(jù)安全總體策略和戰(zhàn)略規(guī)劃的人員應(yīng)了解組織的業(yè)務(wù)發(fā)展目標(biāo),能夠?qū)?shù)據(jù)安全工作的目標(biāo)和業(yè)務(wù)發(fā)展的目標(biāo)進(jìn)行有機(jī)結(jié)合;
• 負(fù)責(zé)制定數(shù)據(jù)安全制度和規(guī)程的人員應(yīng)具備信息安全管理體系建設(shè)的知識,并具備良好的規(guī)范撰寫能力;
• 負(fù)責(zé)推廣數(shù)據(jù)安全策略規(guī)劃的人員應(yīng)能夠以員工和相關(guān)方易理解的方式,通過培訓(xùn)等宣導(dǎo)形式對數(shù)據(jù)安全管理的方針、策略和制度進(jìn)行有效傳達(dá)。

等級4：量化控制

該等級的數(shù)據(jù)安全能力要求描述如下:

(1) 制度流程：

• 在組織架構(gòu)發(fā)生重大調(diào)整或數(shù)據(jù)服務(wù)業(yè)務(wù)發(fā)生重大變化時,應(yīng)及時評估數(shù)據(jù)安全制度與規(guī)程的實施效果,并將效果反映到安全制度和規(guī)程文件的修訂過程中;
• 應(yīng)對數(shù)據(jù)安全制度和規(guī)程進(jìn)行體系化的評估,制定數(shù)據(jù)安全能力提升計劃;
• 應(yīng)對數(shù)據(jù)安全戰(zhàn)略規(guī)劃進(jìn)行評估,確保數(shù)據(jù)安全總體策略、安全目標(biāo)和戰(zhàn)略規(guī)劃內(nèi)容的合規(guī)性。

(2) 人員能力:負(fù)責(zé)該工作的人員能夠應(yīng)及時評估策略規(guī)劃的實施效果,并根據(jù)實施效果修訂數(shù)據(jù)安全策略規(guī)劃文件。

等級5：持續(xù)優(yōu)化

該等級的數(shù)據(jù)安全能力要求描述如下:

(1) 制度流程:應(yīng)持續(xù)跟進(jìn)國內(nèi)外在數(shù)據(jù)安全領(lǐng)域的管理標(biāo)準(zhǔn)和技術(shù)發(fā)展,并關(guān)注組織所在行業(yè)的發(fā)展動態(tài)及組織自身的業(yè)務(wù)發(fā)展方向,及時對數(shù)據(jù)安全策略規(guī)劃進(jìn)行調(diào)整和改進(jìn)。

(2) 技術(shù)工具:

• 應(yīng)建立數(shù)據(jù)安全規(guī)劃動態(tài)調(diào)整機(jī)制,通過信息化系統(tǒng)執(zhí)行對數(shù)據(jù)安全規(guī)劃的動態(tài)管理;
• 應(yīng)參與國際、國家或行業(yè)相關(guān)標(biāo)準(zhǔn)制定。在業(yè)界分享最佳實踐,成為行業(yè)標(biāo)桿。

(3) 人員能力:負(fù)責(zé)該工作的人員應(yīng)能夠持續(xù)跟蹤國內(nèi)外數(shù)據(jù)安全政策、標(biāo)準(zhǔn)、產(chǎn)業(yè)趨勢、新技術(shù),并能夠?qū)M織的數(shù)據(jù)安全策略規(guī)劃實現(xiàn)持續(xù)優(yōu)化。

數(shù)據(jù)安全包括安全策略和過程的規(guī)劃、建立與執(zhí)行，為數(shù)據(jù)和信息資產(chǎn)提供正確的身份驗證、授權(quán)、訪問和審計。在制定數(shù)據(jù)安全策略中，DAMA國際則讓我們考慮利益相關(guān)方、政府法規(guī)、特定業(yè)務(wù)關(guān)注點(diǎn)、合法訪問需求、合同義務(wù)等幾個方面。