數(shù)據(jù)安全策略的實施和管理主要由安全管理員負責，與數(shù)據(jù)管理專員和技術(shù)團隊協(xié)作。從成熟度來講，對應的是五個成熟度。

在《DAMA 數(shù)據(jù)管理知識體系》有這么一句話“任何事情皆可外包，但責任除外?！?

數(shù)據(jù)安全策略規(guī)劃在《數(shù)據(jù)安全能力成熟度模型》是第一個過程域，其描述是：建立適用于組織數(shù)據(jù)安全風險狀況的組織整體的數(shù)據(jù)安全策略規(guī)劃,數(shù)據(jù)安全策略規(guī)劃的內(nèi)容應覆蓋數(shù)據(jù)全生存周期的安全風險。

從安全能力維度明確了組織在數(shù)據(jù)安全領域應具備的能力,包括組織建設、制度流程、技術(shù)工具和人員能力。五個成熟度，自然也遵循這個安全能力維度，只是不同的成熟度強調(diào)的內(nèi)容不同。我們通過看標準，來簡單看看這個過程域的五個級別。

《DAMA數(shù)據(jù)管理知識體系》提到：組織在制定數(shù)據(jù)安全制度時應基于自己的業(yè)務和法規(guī)要求。制度是所選行動過程的陳述以及為達成目標所期望行為的頂層描述。數(shù)據(jù)安全策略描述了所決定的行為，這些行為符合保護其數(shù)據(jù)的組織的最佳利益。要使這些制度產(chǎn)生可衡量的影響，它們必須是可審計且經(jīng)審計過的。

數(shù)據(jù)安全策略的實施和管理主要由安全管理員負責，與數(shù)據(jù)管理專員和技術(shù)團隊協(xié)作。例如，數(shù)據(jù)庫安全性通常是DBA的職責。

從成熟度來講，對應的是五個成熟度。

等級1：非正式執(zhí)行

該等級的數(shù)據(jù)安全能力描述如下:

組織建設:未在任何業(yè)務中建立成熟穩(wěn)定的數(shù)據(jù)安全制度規(guī)程,僅根據(jù)臨時需求或基于個人經(jīng)驗,考慮了數(shù)據(jù)安全策略和規(guī)劃。

等級2：計劃跟蹤

該等級的數(shù)據(jù)安全能力要求描述如下:

• 組織建設:應由業(yè)務團隊具有人員負責制定業(yè)務的數(shù)據(jù)安全策略。
• 制度流程:核心業(yè)務應基于主要的數(shù)據(jù)安全風險,建立以數(shù)據(jù)安全生存周期為核心思想的數(shù)據(jù)安全制度體系。
• 人員能力:核心業(yè)務應負責該項工作的人員具備對組織執(zhí)行數(shù)據(jù)安全風險評估,以及將數(shù)據(jù)安全要求提煉形成制度的能力。

等級3：充分定義

該等級的數(shù)據(jù)安全能力要求描述如下:

(1) 組織建設:組織應設立專職的崗位和人員,負責組織數(shù)據(jù)安全制度流程和戰(zhàn)略規(guī)劃的建設。

(2) 制度流程:

• 應明確符合組織數(shù)據(jù)戰(zhàn)略規(guī)劃的數(shù)據(jù)安全總體策略,明確安全方針、安全目標和安全原則;
• 應基于組織的數(shù)據(jù)安全總體策略,在組織層面明確以數(shù)據(jù)為核心的數(shù)據(jù)安全制度和規(guī)程,覆蓋數(shù)據(jù)生存周期相關的業(yè)務、系統(tǒng)和應用,內(nèi)容包含目的、范圍、崗位、責任、管理層承諾、內(nèi)外部協(xié)調(diào)機制及合規(guī)目標等；
• 應明確并實施大數(shù)據(jù)系統(tǒng)和數(shù)據(jù)應用安全實施細則；
• 應明確數(shù)據(jù)安全制度規(guī)程分發(fā)機制,將數(shù)據(jù)安全策略、制度和規(guī)程分發(fā)至組織相關部門、崗位和人員；
• 應明確數(shù)據(jù)安全制度及規(guī)程的評審、發(fā)布流程,并確定適當?shù)念l率和時機對制度和規(guī)程進行審核和更新；
• 應明確組織層面的數(shù)據(jù)安全戰(zhàn)略規(guī)劃,包括各階段目標、任務、工作重點,并保障其與業(yè)務規(guī)劃相適應。

(3) 技術(shù)工具:應建立數(shù)據(jù)安全策略規(guī)劃的系統(tǒng),通過該系統(tǒng)向組織全體員工發(fā)布策略規(guī)劃的解讀材料,以便于策略規(guī)劃的落地推進。

(4) 人員能力:

• 負責制定數(shù)據(jù)安全總體策略和戰(zhàn)略規(guī)劃的人員應了解組織的業(yè)務發(fā)展目標,能夠?qū)?shù)據(jù)安全工作的目標和業(yè)務發(fā)展的目標進行有機結(jié)合;
• 負責制定數(shù)據(jù)安全制度和規(guī)程的人員應具備信息安全管理體系建設的知識,并具備良好的規(guī)范撰寫能力;
• 負責推廣數(shù)據(jù)安全策略規(guī)劃的人員應能夠以員工和相關方易理解的方式,通過培訓等宣導形式對數(shù)據(jù)安全管理的方針、策略和制度進行有效傳達。

等級4：量化控制

該等級的數(shù)據(jù)安全能力要求描述如下:

(1) 制度流程：

• 在組織架構(gòu)發(fā)生重大調(diào)整或數(shù)據(jù)服務業(yè)務發(fā)生重大變化時,應及時評估數(shù)據(jù)安全制度與規(guī)程的實施效果,并將效果反映到安全制度和規(guī)程文件的修訂過程中;
• 應對數(shù)據(jù)安全制度和規(guī)程進行體系化的評估,制定數(shù)據(jù)安全能力提升計劃;
• 應對數(shù)據(jù)安全戰(zhàn)略規(guī)劃進行評估,確保數(shù)據(jù)安全總體策略、安全目標和戰(zhàn)略規(guī)劃內(nèi)容的合規(guī)性。

(2) 人員能力:負責該工作的人員能夠應及時評估策略規(guī)劃的實施效果,并根據(jù)實施效果修訂數(shù)據(jù)安全策略規(guī)劃文件。

等級5：持續(xù)優(yōu)化

該等級的數(shù)據(jù)安全能力要求描述如下:

(1) 制度流程:應持續(xù)跟進國內(nèi)外在數(shù)據(jù)安全領域的管理標準和技術(shù)發(fā)展,并關注組織所在行業(yè)的發(fā)展動態(tài)及組織自身的業(yè)務發(fā)展方向,及時對數(shù)據(jù)安全策略規(guī)劃進行調(diào)整和改進。

(2) 技術(shù)工具:

• 應建立數(shù)據(jù)安全規(guī)劃動態(tài)調(diào)整機制,通過信息化系統(tǒng)執(zhí)行對數(shù)據(jù)安全規(guī)劃的動態(tài)管理;
• 應參與國際、國家或行業(yè)相關標準制定。在業(yè)界分享最佳實踐,成為行業(yè)標桿。

(3) 人員能力:負責該工作的人員應能夠持續(xù)跟蹤國內(nèi)外數(shù)據(jù)安全政策、標準、產(chǎn)業(yè)趨勢、新技術(shù),并能夠?qū)M織的數(shù)據(jù)安全策略規(guī)劃實現(xiàn)持續(xù)優(yōu)化。

數(shù)據(jù)安全包括安全策略和過程的規(guī)劃、建立與執(zhí)行，為數(shù)據(jù)和信息資產(chǎn)提供正確的身份驗證、授權(quán)、訪問和審計。在制定數(shù)據(jù)安全策略中，DAMA國際則讓我們考慮利益相關方、政府法規(guī)、特定業(yè)務關注點、合法訪問需求、合同義務等幾個方面。