菜单

数据管理能力成熟度评估模型-数据安全

数据合规管理	概述	数据合规管理是指组织依据法律法规、标准规范、部门规章，建立管理体系、实施技术措施、规范业务的过程。数据合规管理包括构建数据合规清单，建立数据合规机制，实施数据合规审查、数据合规建议、个人信息管理、重要数据管理和数据出境管理等活动。
	过程描述	a）构建数据合规清单，根据国家、行业等外部监管要求，结合组织业务开展对数据合规的需求，构建数据合规清单； b）建立数据合规机制，根据数据合规需求制定系统性管理制度、工作流程和应对措施，规范数据处理各项活动； c）实施数据合规审查，组织制定和执行数据合规管理方案，主要内容包括识别合规风险、实施管理和技术措施、制定合规应急预案等，保障数据处理活动各个阶段合规； d）数据合规建议，组织对数据处理活动进行合规性审查，评估合规制度执行情况，针对合规审查结果，形成具备可操作性改进方案； e）个人信息管理，组织建立个人信息保护制度、管理流程和技术措施，确保个人信息的安全保护和合理利用； f）重要数据管理，组织识别、申报重要数据，建立重要数据保护制度、管理流程和技术措施，确保重要数据的安全保护和合理利用； g）数据出境管理，组织建立数据出境安全管理机制，识别出境数据范围、规模，按规定申报数据出境安全评估。
	过程目标	a）建立一致的数据合规需求； b）建立数据合规管理机制，保障合规管理有效实施； c）提升组织数据处理活动的合规性，重点关注个人信息、重要数据和数据出境等。
	初始级	在项目中明确数据合规需求和机制，在文档中进行描述。
	受管理级	1）在部门层面明确数据合规需求； 2）在部门层面制定数据合规管理制度与流程； 3）在部门层面识别数据合规风险。
	稳健级	1）制定组织统一的数据合规管理制度，明确职责分工、管理流程和管理要求； 2）根据组织数据合规管理的需求，建立数据合规清单； 3）建立数据合规管理团队，通常由法务、技术、数据、业务人员组成，持续跟踪相关法律法规和标准； 4）制定数据合规风险应对策略，包括不同类别合规风险应急预案和合规管理机制等； 5）识别组织内部数据合规问题，开展应急处置或针对性地提出改进措施，并监督执行； 6）组织定期开展针对个人信息、重要数据和数据出境等方面的合规检查，发布数据合规报告； 7）定期开展数据合规管理相关的培训和宣贯。
	量化管理级	1）设定量化指标，跟踪评价数据合规管理过程并持续改进； 2）引入外部机构开展个人信息、重要数据和数据出境等方面的数据合规评估，发布数据合规报告； 3）采用人工智能技术开展数据合规风险分析，提高数据合规管理水平； 4）参与数据合规相关国家标准制定，主导行业标准制定。
	优化级	1）参与数据合规相关国际标准制定，主导国家标准制定； 2）在国际和国家层面分享最佳实践，成为行业标杆。
数据安全防护	概述	数据安全防护是指组织建立保护数据及数据处理活动的过程。数据安全防护包括数据安全等级划分、数据分类分级保护、数据访问控制、数据安全监控、数据加密脱敏、应急响应机制和数据安全风险分析与评估等活动。
	过程描述	a）数据安全等级划分，根据组织的数据安全标准，充分了解组织数据安全防护需求，对组织内部的数据进行等级划分并形成相关文档； b）数据分类分级保护，根据组织制定的数据分类分级标准，围绕数据全生存周期制定并实施针对性防护措施，确保不同等级数据的安全风险可控； c）数据访问控制，制定数据安全防护利益相关者清单，围绕利益相关者需求，对其数据访问和控制权限进行授权； d）数据安全监控，在数据处理活动中对系统和用户身份进行识别，对其行为进行记录和监控； e）数据加密脱敏，在数据应用过程中，根据应用场景确定加密脱敏的策略，保证数据可用性和安全性的平衡； f）应急响应机制，制定数据安全事件应急响应计划，明确报告、处置和恢复流程，进行定期演练； g）数据安全风险分析与评估，基于组织的数据安全需求建立数据安全评估机制，对组织已知或潜在的数据安全风险进行分析，制定防范措施并监督落实。
	过程目标	a）建立全过程的数据安全防护机制，保证数据安全； b）分析潜在数据安全风险，预防风险的发生。
	初始级	1）在项目中进行数据访问控制和数据安全监控； 2）对出现的数据安全问题进行分析和管理。
	受管理级	1）依据数据安全标准在业务部门内部对数据进行分类和安全等级划分； 2）在部门层面识别数据利益相关者需求，进行数据访问控制及数据安全保护； 3）在部门层面进行数据访问和使用等方面的数据安全监控； 4）在部门层面分析潜在数据安全风险，制定预防措施。
	稳健级	1）组织对数据进行全面的安全等级划分，分析各级数据的安全防护需求，明确数据安全防护责任部门； 2）根据外部监管要求识别数据范围，能清楚地分析外部监管对数据的安全防护需求； 3）围绕数据生存周期，了解组织内利益相关者的数据安全防护需求，对数据进行安全授权和安全保护； 4）能对数据生存周期进行安全监控，及时了解可能存在的安全隐患； 5）对不同的数据使用对象实施数据脱敏和加密等技术措施； 6）定期开展数据安全风险分析与评估活动，开展风险分析和评价，形成数据安全风险清单，编制数据安全风险评估报告并进行风险处置； 7）定期汇总和分析组织内部数据安全问题，形成数据安全知识库； 8）定期总结数据安全防护工作，在组织层面发布数据安全防护工作报告； 9）制定数据安全事件应急响应计划，明确报告、处置和恢复流程，并定期演练； 10）新的项目建设中能按数据安全要求进行数据安全等级划分和数据安全控制等； 11）定期开展数据安全相关培训和宣贯，提升组织人员数据安全意识。
	量化管理级	1）设定量化考核指标，定期开展数据安全防护考核，推动落实数据安全防护要求； 2）采用人工智能技术支撑数据分类分级、异常行为监控、加密脱敏和安全态势感知等工作，提高数据安全防护的效率； 3）参与数据安全防护相关国家标准制定，主导行业标准制定。
	优化级	1）建立数据安全联合防护机制，协同做好数据流通过程中的安全防护； 2）参与数据安全防护相关国际标准制定，主导国家标准制定； 3）在国际和国家层面分享最佳实践，成为行业标杆。
数据安全审计	概述	数据安全审计是一项控制活动，负责定期分析、验证、讨论、改进数据安全管理相关政策、标准和活动。数据安全审计包括制定审计制度，开展过程审计、开展规范审计、开展合规审计、开展供应商审计，发布数据安全审计报告等活动。
	过程描述	a）制定审计制度，明确审计范围、策略和工具等内容，形成一套系统性和规范化的管理机制和技术手段； b）开展过程审计，分析实施规程和实际做法，推动数据安全目标、策略、标准、指导方针和预期结果相一致； c）开展规范审计，评估现有标准和制度是否适当，是否与业务要求和技术要求相一致； d）开展合规审计，检索和审阅组织个人信息保护、重要数据和数据出境等相关监管法规要求，对组织符合监管法规要求的情况进行验证； e）开展供应商审计，评审合同和数据共享协议，推动供应商切实履行个人信息保护等数据安全义务； f）发布数据安全审计报告，向高级管理人员、数据管理专员及其他利益相关者报告组织内的数据安全状态，提出改进工作建议。
	过程目标	a）组织的合规要求和监管要求可有效执行； b）及时发现数据安全隐患，改进数据安全措施； c）提出数据安全管理建议，促进数据安全管理工作的优化提升。
	初始级	1）与组织信息化安全审计合并进行，没有独立的数据安全审计； 2）按外部监管的要求开展审计工作。
	受管理级	1）评审数据安全标准与策略对业务部门数据安全管理需要的符合程度； 2）评估数据安全管理措施对数据安全管理标准与策略的符合程度； 3）规范数据安全审计流程和相关文档模板。
	稳健级	1）在组织层面统一数据安全审计的流程、模板和规范，征求利益相关者的意见； 2）建立数据安全审计团队，具备数据安全审计专业知识，熟悉相关法律法规、标准规范和行业最佳实践； 3）制定数据安全审计计划，定期开展数据安全审计工作； 4）评审数据安全标准与策略对业务和外部监管需求的符合程度； 5）评审数据安全相关岗位、职责、流程设置和执行情况； 6）评审数据安全等级划分情况； 7）评审项目开展过程中的数据安全管理工作情况； 8）定期发布数据安全审计报告，包括数据安全对业务和经济的影响并分析影响数据安全的根本原因，基于审计结果提出改进建议。
	量化管理级	1）内部审计和外部审计相结合，协同推动数据安全工作的开展； 2）采用人工智能技术支撑数据收集与分析，提升数据安全审计质量和效率； 3）参与数据安全审计相关国家标准制定，主导行业标准制定。
	优化级	1）数据安全审计是组织审计工作的重要组成，能推动数据安全标准和策略的优化及实施； 2）参与数据安全审计相关国际标准制定，主导国家标准制定； 3）在国际和国家层面分享最佳实践，成为行业标杆。

最近修改: 2026-01-24