数据安全能力建设实施指南

本指南依据《信息安全技术 数据安全能力成熟度模型》（简称DSMM）制定，以数据为核心，重点围绕数据生命周期，从组织建设、制度流程、技术工具和人员能力等四个方面，提供数据安全能力建设的具体实施指南，为组织数据安全能力建设提供参考。

规划输出系列版本，这次版本以数据安全能力成熟度三级为目标，即如何达到DSMM规定的充分定义级（三级），后续升级版再陆续补充其他级别的指南内容。

数据安全能力建设工作并非从零开始，大部分组织在此前或多或少已有一些安全体系，基本上是围绕信息系统和网络环境开展安全保护工作，主要聚焦在信息安全和网络安全；而数据安全是以数据为核心，围绕数据安全生命周期进行建设以提高数据安全保障能力，所以需要与当前安全体系进行融合。在决策层

确定数据安全目标和愿景之后，再由数据安全管理层根据组织的业务发展实际情况讨论具体的融合方式。

数据安全能力建设实施指南

数据安全能力建设是一个复合型、需多方联动型的工作，在开展组织架构建设时，需要考虑组织层面实体的管理团队及执行团队，同时也要考虑虚拟的联动小组，其中业务部门、研发部门、HR、IT、法务等部门均需要参与数据安全建设当中。成立数据安全组织其目的是明确数据安全的政策、落实和监督等工作，以确保数据安全能力建设的有效执行。

设计数据安全的组织架构时，可按照决策层、管理层、执行层、员工和合作伙伴、监督层的组织架构设计。在具体执行过程中，组织也可赋予已有安全团队与其它相关部门数据安全的工作职能，或寻求第三方专业团队等形式开展工作。

数据安全能力建设是以法律法规监管要求和业务发展需要为输入，结合数据安全在组织建设、制度流程和技术工具的执行要求，匹配相应人员的具体能力，组织的数据安全能力建设结果最终以数据生命周期各个过程域来综合体现。