标签:指南 需求 数据业务 流程 实践 分析 安全 数据安全
需求分析
- 需求分析是企业建设的必修课,在如今的数字时代,企业的数据安全建设同样也需要进行数据安全需求分析。建立组织业务的数据安全需求分析体系,可用于快速有效地找到组织机构目前最亟需解决的数据安全需求,然后根据具体的需求进行针对性的实现,从而实现企业整体的数据安全建设。
建立负责需求分析的职能部门
- 为了能够更准确、有效、快速地找出组织机构目前最亟需解决的数据安全需求,在条件允许的情况下,组织机构应该设立负责数据安全需求分析管理的部门,并招募相关的管理人员和技术人员,负责为公司提供必要的技术支持,负责在数据业务设计开发等阶段开展数据安全需求分析工作,负责为组织机构制定整体的、有效的数据安全需求分析文档和规范化表达,负责为组织机构建立数据安全需求分析制定流程和审评机制,负责对组织机构内部的数据安全需求分析制定场景进行风险评估,负责为技术人员建立数据业务安全需求分析系统,确保针对需求分析文档所进行的任何操作都会被记录且都可以追踪溯源。除此之外,数据安全需求分析部门还需要为技术人员提供专门的安全意识培训,并推动以上相关要求在组织机构中切实可靠地执行。
明确需求分析岗位的能力要求
- 组织机构在设立了专门负责需求分析管理的岗位之后,还需要招募负责该项工作的专项人员。数据安全需求分析部门的管理人员必须具备良好的数据安全风险意识,熟悉国家网络安全法律法规,以及组织机构所属行业的政策和监管要求,在进行数据安全需求分析管理,以及制定相应的数据安全需求分析流程和评审机制时,能够严格按照《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规和行业规范执行。同时,相关的管理人员还需要具备一定的数据安全需求分析管理经验,拥有良好的数据安全需求分析管理专业知识基础,且通过了岗位能力测试,熟悉主流的数据安全需求分析管理制度、管理流程、管理要求和技术工具,能够根据不同的管理要求和数据安全需求分析场景进行相应的风险评估,能够根据数据安全需求分析管理和审核的整体需求明确应该使用的技术工具。除此之外,数据安全需求分析部门的管理人员还需要能够主动根据行业及政策变化更新相关的知识和技能,具备结合业界标准、合规准则、业务场景制定数据安全需求分析管理制度的能力。
- 数据安全需求分析部门的技术人员必须具备良好的数据安全风险意识,熟悉相关的法律法规及政策要求,熟悉主流厂商的数据安全需求分析挖掘方案,熟悉主流的数据安全需求分析工具及其使用方法,熟悉相关的数据安全需求分析技术知识,拥有一年以上的数据安全需求分析挖掘经验,能够充分理解并执行由管理人员制定的数据安全需求分析管理制度,能够依据国家法律法规标准等分析数据安全合规性需求,能够结合组织机构的战略规划、数据服务业务目标和业务特点明确数据服务安全需求和安全规划实施的优先级,能够主动根据政策变化和技术发展更新自身的相关知识和技能,具备对突发事件进行应急处理的能力。
需求分析岗位的建设及人员能力的评估方法
- 调研访谈
-
数据安全需求分析阶段的调研访谈,主要包含对数据安全需求分析部门管理人员和技术人员的访谈两部分,具体访谈内容如下。
-
对数据安全需求分析管理人员的访谈内容为:确认其在制定整体的数据安全需求分析管理标准及规范性表达上,在明确数据安全需求分析制定流程和评审机制上,在明确数据安全需求文档内容要求上,在明确数据安全需求分析管理场景和管理流程上,在建立组织机构统一的数据安全需求分析系统上,在识别数据服务面临的威胁和自身的脆弱性上,在对数据安全需求分析场景进行风险评估及分析应对措施需求上,在明确数据安全需求分析的管理要求上,在规定统一标准的数据安全需求分析工具上,是否符合相关的法律规定,是否具备足够的能力胜任该职业。同时,调研访谈还应该确认需求分析管理人员是否熟悉相关的数据安全需求分析管理的技术知识。
-
对数据安全需求分析技术人员的访谈内容为:确认其是否具有一年以上的数据业务安全需求分析挖掘经验;是否熟悉国家相关法律法规等标准要求以用于分析数据安全的合规性需求;是否充分理解了组织机构内部的数据安全管理业务;是否能够结合组织机构的战略规划、数据服务业务目标和业务特点,明确数据服务安全需求和安全规划实施的优先级;是否能够准确地实施由管理人员建立的数据安全需求分析系统,以保证对所有的数据业务的安全需求分析过程都能进行有效追溯。
- 问卷调查
- 数据安全需求分析阶段的问卷调查通常是以纸面问卷的形式,向公司数据安全需求分析部门的技术人员调研该部门管理人员的工作情况,具体调研内容如下。
- 数据安全需求分析管理人员是否制定了针对组织机构内部的、有效的数据安全需求分析管理制度及流程;是否明确制定了数据安全需求分析的流程和评审机制;是否明确定义了数据安全需求分析文档的内容要求;是否建立了承载数据业务的安全需求分析系统,以保证记录下所有数据业务的安全需求分析过程都能够进行有效的追踪溯源;是否可以识别数据业务所面临的威胁以进行风险评估;是否依据了国家的相关法律法规对数据安全的合规性需求进行了严格规范的分析;是否规定了在不同数据业务场景下应使用的技术工具。
- 流程观察
-
数据安全需求分析阶段的流程观察,主要是观察公司数据安全需求分析部门管理团队和技术团队两方的工作流程,并从中寻找可能的问题点和改善点,具体观察内容如下。
-
以中立的视角观察公司数据安全需求分析管理人员的工作流程,包括在为公司制定整体的数据安全需求分析管理策略和要求时,为组织机构建立数据安全需求分析的制定流程和评审机制时,为不同的数据业务场景提供安全风险评估和应对措施需求时,为技术人员建立数据业务安全需求分析系统时,为技术人员制定统一的数据安全需求分析管理工具并制定相应的标准操作流程时,是否可以识别出其中可能存在的数据安全风险、可能面临的威胁和自身的脆弱性,是否贴合组织机构的内部框架,是否满足不同业务场景的安全需求,是否符合国家相关法律法规的要求。
-
以中立的视角观察公司数据安全需求分析技术人员的工作流程,包括在对数据业务中的安全需求分析进行挖掘和审核时,对数据安全需求分析系统进行审计操作以确认系统已记录下所有数据业务进行需求分析的申请、过程和相关安全方案时,实施由管理人员制定的数据安全需求分析标准制度以确保安全需求的有效指定和规范化表达时,是否可以识别出其中可能存在的安全风险,方法流程是否符合标准规范和国家相关法律法规的要求。
- 技术检测
- 数据安全需求分析阶段的技术检测,需要使用技术工具检测数据安全需求分析管理、需求分析挖掘的工作流程是否符合安全规范与法律规定;检测数据安全需求分析系统是否能够正常工作,是否可以准确记录针对数据业务进行需求分析的所有操作,包括需求申请、需求分析、提出解决方案等,以便在出现突发情况时组织机构能够准确进行追踪溯源;检测数据安全需求分析的制定流程和评审机制是否正常,是否符合国家相关法律法规标准,核心的安全诉求是否能够得到满足。
明确需求分析的目的和内容
- 数据安全需求分析的目的是通过建立针对组织业务的数据安全需求分析体系,分析组织内数据业务的安全需求,确保核心数据与资源的保密性、完整性和可用性。
- 组织机构需要根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等相关法律法规和行业规范,制定数据安全需求分析流程并建立安全审计机制,以及制定数据安全需求分析文档及规范化表达要求,保证需求分析的各个阶段都能够有序、可控地进行。除此之外,组织机构还需建立数据业务安全需求分析系统,记录下所有数据业务进行需求分析的申请流程、分析过程和相关安全方案,以保证能够对所有数据业务的安全需求分析过程进行有效追溯。
制定安全需求分析流程
- 组织人员应结合业务和数据的实际情况,明确数据业务的安全需求,并在数据业务安全需求分析系统上提出相应的需求分析申请。经上级领导审批后,提报数据安全需求分析部门审批。
- 数据安全需求分析部门收到需求分析申请后,应组织相关人员开展数据安全需求分析评审会议。参与评审的人员需要充分理解组织机构内部的数据安全管理业务,并依据国家法律法规及相关标准等要求,分析数据安全合规性需求。评审的内容应包括识别需求申请中可能存在的数据安全风险、可能面临的威胁和自身的脆弱性、是否贴合组织机构的内部框架,是否满足不同业务场景的安全需求,是否符合国家相关法律法规的要求等。除此之外,评审人员还需要结合组织机构的战略规划、数据服务业务目标和业务特点,明确数据服务安全需求和安全规划实施的优先级。
- 对于不可行的数据安全需求申请,评审会议应否决实施,并由数据安全需求分析部门在数据业务安全需求分析系统上执行否决需求的操作;对于评审可行的数据安全需求申请,数据安全需求分析部门会在数据业务安全需求分析系统上录入实施期限并确认需求审核。
- 对于已经完成安全规划实施的数据安全需求,数据安全需求分析部门需要对数据安全需求分析文档进行收集与归档操作。
建立安全审计机制
- 数据业务安全需求分析的各个阶段都需要加入安全审计机制,严格、详细地审计需求分析过程中的相关信息,以方便后续问题的排查分析和安全事件的取证溯源。同时,数据安全需求分析部门还需要设置专人对需求分析相关的日志记录定期进行安全审计,发布审计报告,并跟进审计中发现的异常。
使用技术工具
- 在进行数据安全体系建设的过程中,组织机构中的每个人都应该具有提出数据安全需求的权利,数据安全体系建设方应根据各人提出的相关需求进行合理评估,以完善整体数据安全体系,因此需要建立公共的数据业务安全需求分析系统,该系统需要记录所有数据业务需求分析的申请记录、分析过程和结果以及相关的安全方案,以保证能够对所有数据业务安全需求分析过程进行有效追溯。
- 数据安全需求分析的流程包括需求的获取、分析与建模、确认等步骤,主要涉及权衡分析、质量度量、风险评估、可行性评估、变更控制、缺陷分析,以及需求分析工具构建等内容,因此数据安全需求分析系统应具备获取用户需求申请、需求分析、安全方案同步等功能。数据安全体系在该基础之上进行用户认证和授权管理,不同权限的用户可使用的功能模块不同。
- 为了便于进行需求分析,组织机构需要保证不同需求的提交人员在提交需求申请时,能够准确表达其需求,为此,可在安全需求分析系统中制定明确的《需求申请表》,提交人员需要按照《需求申请表》填写申请内容
- 在收到按上述标准填写的《需求申请表》之后,产品经理需要对该需求申请进行评估,主要是评估如下两方面的内容。
- 是否与产品目标一致。
- 成本和效益分析。
- 在评估完需求申请之后,需求分析管理人员将对已确认需要开发的需求进行优先级评估排序,并更新到安全需求分析系统上。当确认需要对相关的需求进行开发时,产品经理需要从功能和设计上细化需求申请,将申请表中的需求分解成几个功能,形成需求分析说明文档。需求分析说明文档应对原型设计及开发需求进行说明。在细化需求的过程中,产品经理需要反复与需求提交者或项目团队沟通,确定需求的实现目标。对需求进行细化分析之后,还需要对需求进行验证,通过需求评审的方式,由利益相关方验证需求是否准确和完整。需求分析管理人员需要根据评审意见修订需求分析说明和原型设计。完全确定需求之后,需求分析管理人员需要将相关记录提交到安全需求分析平台,并移交给开发团队,商定需求解决的时间节点。上述过程整体实现了需求分析的一个闭环,且所有需求分析的操作过程在安全需求分析平台上均有迹可循。
技术工具的使用目标和工作流程
- 需求提交:支持业务系统相关人员能够在统一的安全需求分析系统上提交标准化要求的需求。
- 需求分析:工作流将提交的需求转交给相关的产品经理,产品经理对需求进行分析之后,将分析后的结果反馈到安全需求分析系统上。若需求成立,则确定需求的解决方案及实现的时间节点,在后续产品开发的过程中,实时更新相关需求的进度;若不成立,则说明相关原因。
- 需求获取-评估需求-细化需求-验证需求-产品开发-需求结束。
标签:指南,需求,数据业务,流程,实践,分析,安全,数据安全 来源: https://www.cnblogs.com/autopwn/p/16451710.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。