2019年8月30日，《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）简称DSMM（Data Security Maturity Model）正式成为国标对外发布，并已于2020年3月起正式实施。

DSMM将数据按照其生命周期分阶段采用不同的能力评估等级，分为数据采集安全、数据传输安全、数据存储安全、数据处理安全、数据交换安全、数据销毁安全六个阶段。DSMM从组织建设、制度流程、技术工具、人员能力四个安全能力维度的建设进行综合考量。DSMM将数据安全成熟度划分成了1-5个等级，依次为非正式执行级、计划跟踪级、充分定义级、量化控制级、持续优化级，形成一个三维立体模型，全方面对数据安全进行能力建设。

在此基础上，DSMM将上述6个生命周期进一步细分，划分出30个过程域。这30个过程域分别分布在数据生命周期的6个阶段，部分过程域贯穿于整个数据生命周期。

随着《中华人民共和国数据安全法(草案)》的公布，后续DSMM很可能会成为该法案的具体落地标准和衡量指标，对于中国企业而言，以DSMM为数据安全治理思路方案选型，可以更好的实现数据安全治理的制度合规。

"本系列文将以DSMM数据安全治理思路为依托，针对上述各过程域，基于充分定义级视角（3级），提供数据安全建设实践建议，本文作为本系列第二十一篇文章，本文将介绍通用安全过程域的组织和人员管理过程域（PA21）。"

01、定义

组织和人员管理，DSMM官方描述定义为通过建立组织内部负责数据安全工作的职能部门及岗位，以及对人力资源管理过程中各环节进行安全管理，防范组织和人员管理过程中存在的数据安全风险。

DSMM标准在充分定义级对组织和人员管理要求如下：

组织建设

1) 人力资源部门与数据安全部门的人员应能够进行有效配合；

2) 组织应建立组织层面专职的数据安全职能部门和岗位并在职能岗位设计时考虑了职责分离的原则；

3) 应建立组织层面的数据安全领导小组，指定机构最高管理者或授权代表担任小组组长，并明确了组长的责任与权力；

4) 应建立组织内部的监督管理职能部门，负责对组织内部的数据操作行为进行安全监督；

5) 应指定大数据系统的安全规划、安全建设、安全运营和系统维护工作的责任部门；

6) 组织应明确在组织层面人力资源管理中祇担数据安全要求制定和执行的人员或岗位，并与数据安全人员进行有效配合；

7) 应明确组织层面承担人员数据安全培训管理职责的岗位和人员，负责对数据安全培训需求的分析及落地方案的制定利推进。

制度流程

1) 应明确数据安全部门或岗位的要求，明确其工作职责，以及职能部门之间的协作关系和配合机制；

2) 应明确数据安全追责机制，定期对责任部门利安全岗位组织安全检查，形成检查报；

3) 应明确数据服务人力资源安全策略，明确不同岗位人员在数据生存周期各阶段相关的工作范畴和安全管控措施；

4) 应明确组织层面的数据服务人员招聘、录用、上岗、调岗、离岗、考核、选拔等人员安全管理制度，将数据安全相关的要求固化到人力资源管理流程中；

5) 在录用重要岗位人员前应对其进行背景调查，符合相关的法律、法规、合同要求，对数据安全员工候选者的背景调查中也包含了对候选者的安全专业能力的调查；

6) 应明确数据服务重要岗位的兼职和轮岗、权限分离、多人共管等安全管理要求；

7) 应明确针对合作方的安全管理制度，对接触个人信息、重要数据等数据的人员进行审批和登记，并要求签署保密协议,定期对这些人员行为进行安全审查；

8) 在重要岗位人员调离或终止劳动合同前，应与其签订保密协议或竞业协议；

9) 应明确组织内部员工的数据安全培训计划，按计划定期对员工开展数据安全培训；

10) 应明确重要岗位人员的数据安全培训计划，并在重要岗位转岗、岗位升级等环节对相关人员开展培训。

技术工具

1) 应通过技术工具自动化实现了数据安全相关的人力资源管理流程；

2) 应及时终止或变更离岗和转岗员工的数据操作权限，并及时将人员的变更通知到相关方；

3) 员工入职时应按最少够用原则分配初始权限；

4) 应以公开信息口可查询的形式，面向组织全员公布数据安全职能部门的组织架构。

人员能力

1) 负责组织和人员管理的人员应充分理解人力资源管理流程中可对安全风险进行把控的环节；

2) 应开展针对员工入职过程中的数据安全教育，通过培训、考试等手段提升其整体的数据安全意识水平；

3) 负责设置数据安全职能的人员应能够明确组织的数据安全工作目标。

02

实践指南

组织建设

与其他过程域稍显不同，组织和人员管理强调的是在数据安全下的组织架构改进以及人员协作，组织架构改进从上至下包含策略层、管理层和执行层，同时包含监督层，对各流程实例执行情况、数据操作行为进行审计监督。

策略层：

应建立组织层面的数据安全领导小组，指定机构最高管理者或授权代表担任小组组长，并明确了组长的责任与权力。策略层负责制定组织内部数据安全管理的总体目标、方针、策略等，从全局角度把控数据安全风险，就重大数据安全事件或案例进行决策。策略层实际呈现形式可以是数据安全小组或数据安全委员会，建议由主管数据安全工作的副总裁或同级别领导担任组长，小组成员至少包括网络安全管理、数据安全管理、财务、法务、人力资源及相关业务部门的经理或负责人。人力资源部门担任数据安全小组成员的相关人员应与数据安全小组人员进行有效配合，协助数据安全小组指定大数据系统的安全规划、安全建设、安全运营和系统维护工作的责任部门，并协助确定或招聘组织层面承担人员数据安全培训管理职责的岗位人员，并由该人员负责对数据安全培训需求的分析及落地方案的制定利推进。

管理层：

管理层负责按照策略层确定的管理目标、方针、策略制定组织内部数据安全管理制度规范并执行，负责数据安全防护技术措施的规划建设和落地，指导协助相关业务部门建立数据安全管理的组织体系并执行管理制度规范。建 议成立或指定数据安全管理部门，负责上述管理层工作职责。同时，建议成立由数据安全管理部门、相关业务部门负责人组成的虚拟数据安全管理团队，负责落实相关业务部门的数据安全管理责任，执行数据安全管理制度规范。控制层在部门层面负责实施数据安全管理规范、策略等。建议相关业务部门明确数据安全责任人（一般由部门经理或负责人担任）、数据安全管理员，负责数据访问权 限审批、异常行为告警处置等数据安全日常运营工作。

执行层：

执行层由网络安全管理、数据安全管理、财务、法务、人力资源及相关业务部门员工组成，需要按照数据安全管理制度规范开展日常工作。

人员能力

根据上述组织架构改进思路，对应策略层、管理层、执行层应具备以下能力：

策略层：明确组织的数据安全工作目标，遴选能充分理解人力资源管理流程屮可对安全风险进行把控环节的组织人员管理者以及相关协同成员；

管理层：根据组织数据安全工作目标，制定组织内部数据安全管理制度规范并执行；

执行层：贯彻执行组织内部数据安全管理制度规范，同时组织开展针对员工入职过程中的数据安全教育，通过培训、考试等手段提升其整体的数据安全意识水平。

落地执行性确认

针对组织和人员管理能力的实际落地执行性确认，与上述各数据安全生命周期确认方式类似，可通过内部审计、外部审计等形式以调研访谈、问卷调查、流程观察、文件调阅、技术检测等多种方式实现。

制度流程

组织和人员管理目的

组织的数据安全策略、制度流程和技术工具等推进落地终究离不开人的执行，组织内不同部门、不同层级及不同来源的员工，在不同场景下直接和间接地接触数据资产，所以风险始终存在于人身上，需要联合人力资源部在员工的招聘/引进、入职、转岗/调岗、离职等各个环节设置相应的风险控制措施，以降低个人本身问题导致的数据安全风险。

因此，在数据安全组织与人员管理部分的制度流程将主要包含两部分：

1、在职人员工作职责与权限管控

2、人力资源全流程制度规范

在职人员职责与权限管控

在职人员可包含数据安全管理团队以及与数据相关各职能团队，数据安全管理角色包括组织内部的安全管理团队和职能部门。安全管理团队对组织的数据安全全面负责。职能部门是根据业务需求对数据进行收集、分析或使用的具体部门，负责数据收集、分析或使用等的技术实现。职能部门对本部门收集或使用的数据安全负责，细化数据在收集、分析或使用等阶段的安全要求，并推动落实。

数据安全管理团队的职责

安全管理团队的具体职责有：

a) 应确定各种数据的分类分级初始值，制定数据分类分级指南；

b) 应综合考虑相关的法律法规、政策、标准、数据分析技术当前水平、组织所处行业特殊性等，综合评估数据安全分析，制定数据安全基本要求；

c) 建立相应的数据安全管理监督机制，监视数据安全管理机制的有效性；

d) 负责组织的数据安全管理过程，并对外部相关方（如：国家安全的主管部门、数据主体等）负责；

e) 对于组织的数据使用，数据安全管理团队具有相应的权力、职责和管理责任。

职能部门的职责

职能部门在履行其职能时会生成、收集不同数据，持久保存数据并进行分析。职能部门可能涉及一个或多个数据主要阶段，根据涉及的阶段履行相应安全职责。职能部门需要配合安全管理团队来保障数据安全，职能部门的主要职责有：

a) 确定本部门数据的最终分级；

b) 根据本部门涉及的数据主要阶段，明确和细化本部门数据在收集、存储、使用等过程中的具体安全要求，并有效实施；

c) 配合安全管理团队处置安全事件；

d) 根据要求安全使用数据。

权限管控

数据安全中权限管理是访问控制的重要部分，其最重要的作用是依据业务需求以及安全需求，尽量使业务相关方有访问对等资源并进行被授权的操作。

权限管理需要遵循以下几个重要原则：

1. 权限最小化原则

权限最小化原则，也称最小授权原则或者最小特权原则，要求确保主体仅被授予执行任务和完成工作所必需的权限。权限最小化原则需要充分考虑主体的角色定义和岗位职责，结合业务场景分析主体在系统内的访问内容、方式、权限级别、时间限制等约束条件，并根据安全策略释放最契合业务需求又不多余的权限。

2. 权限多人负责原则

权限多人负责原则，指重要的权限、重要业务不要安排一个人单独管理，实行两人或多人相互制约的机制，一方面可以通过多级授权来监督权限的使用，另一方面可以通过双人复核来保障权限的严格控制和流程的准确无误。

3. 职责分离原则

职责分离原则是相对于不相容的权限来说的，要求不相容的权限要形成相互制约的关系。一般至少要求区分为系统管理员（管理用户和系统配置）、业务操作员（进行业务操作和业务配置）、审计员，形成相互监督、相互制约的关系。

人力资源全流程制度规范

人力资源全流程规范覆盖包含招聘、入职、在职、转岗、离职等全方位环节。

招聘：背景调查

人资资源应对员工候选人背景调查，根据法律法规、行业道德准则要求等方面进行；同时若涉及数据安全岗位候选人还应增加能力胜任相关调查能力。

背景调查是指通过从外部求职者提供的证明人或以前工作的单位那里搜集资料，来核实求职者的个人资料的行为，是一种能直接证明求职者情况的有效方法。背景考察既可在深入面试之前也可在其后进行。这将花费一定的时间和财力，但一般仍值得去做。

奖惩措施

将员工在职期间在数据安全方面的义务和职责纳入人力资源激励和惩罚的范畴，具体激励、处罚方式和额度可基于组织现有行政管理制度规范进行扩展覆盖。

技术工具简述

针对组织和人员管理的技术落地，主要涉及三方面：

通过技术工具自动化实现了数据安全相关的人力资源管理流程：人力资源管理系统；

员工新入职、在职、转岗、离职权限控制：访问控制；

以公开信息口可查询的形式，面向组织全员公布数据安全职能部门的组织架构：OA系统、企业内部门户。

技术工具的方法和原理

人力资源系统

人力资源管理系统可在招聘、入职、转岗/调岗、离职，以及培训考试和绩效考核等子系统或环节，将数据安全控制要求植入，作为必须的审批或确认步骤。

人力资源系统一般包含以下模块：

1、组织管理模块

2、人事信息管理模块

3、招聘管理模块

4、劳动合同模块

5、培训管理模块

6、考勤管理模块

7、绩效管理模块

8、福利管理模块

9、工资管理模块

访问控制

访问控制是数据安全的一个基本组成部分，它规定了哪些人可以访问和使用公司信息与资源。通过身份验证和授权，访问控制策略可以确保用户的真实身份，并且拥有访问公司数据的相应权限。访问控制还适用于限制对园区、建筑、房间和数据中心的物理访问。

访问控制可以保护组织的客户数据、个人可识别信息和知识产权等机密信息，避免落入攻击者或内部无关人员手中。如果没有一个强有力的访问控制策略，组织就会面临数据从内部和外部泄漏的风险。

访问控制通过验证多种登录凭据以识别用户身份，这些凭据包括用户名和密码、PIN、生物识别扫描和安全令牌。许多访问控制系统还包括多因素身份验证，多因素身份验证是一种需要使用多种身份验证方法来验证用户身份的办法。验证用户身份后，访问控制就会授予其相应级别的访问权限以及与该用户凭据和 IP 地址相关的允许的操作。

访问控制主要有四种类型。组织通常会根据其独特的安全和合规要求，选择行之有效的方法。这四种访问控制模型分别是：自主访问控制 (DAC)、强制访问控制 (MAC)、基于角色的访问控制 (RBAC)以及基于属性的访问控制 (ABAC)。关于上述访问控制技术的具体描述，之前我们已在8.3节《数据正当使用》的技术工具部分进行过详细描述，此处不再赘述。

OA系统、企业内部门户

OA系统、企业内部门户等方式均可以公开信息口可查询的形式，面向组织全员公布数据安全职能部门的组织架构。关于OA系统、企业内部门户等技术的具体描述，我们已在《数据安全策略规划》的技术工具部分进行过详细描述，此处不再赘述。