=Start=
缘由:
2023年1月17日,人力资源社会保障部办公厅就《数据安全工程技术人员国家职业标准(征求意见稿)》等4个职业标准向社会公开征求意见。
2023年3月20日,人力资源社会保障部办公厅、中央网信办秘书局工业和信息化部办公厅共同颁布《数据安全工程技术人员国家职业标准》。
简单整理一下前段时间看到的国家出的标准,方便后面随时查阅和做标记。
正文:
参考解答:
数据安全工程技术人员国家职业标准(2023 年版)
1.职业概况
1.1 职业名称
数据安全工程技术人员
1.2 职业编码
2-02-38-12
1.3 职业定义
从事数据安全需求分析挖掘、技术方案设计、项目实施、运营管理等工作的工程技术人员。
1.4 专业技术等级
本职业共设三个等级, 分别为: 初级、中级、高级。
1.5 职业环境条件
室内, 常温。
1.6 职业能力特征
具有较强的学习能力、计算能力、表达能力及分析、推理和判断能力。
1.7 普通受教育程度
大学专科毕业。
……
2. 基本要求
2.1 职业道德
2.1.1 职业道德基本知识
2.1.2 职业守则
(1) 遵纪守法, 爱岗敬业。
(2) 勤奋进取, 忠于职守。
(3) 认真负责, 团结协作。
(4) 爱护设备, 安全操作。
(5) 诚实守信, 讲求信誉。
(6) 勇于创新, 精益求精。
2.2 基础知识
2.2.1 基础理论知识
(1) 计算机硬件基础知识。
(2) 计算机软件基础知识。
(3) 操作系统基础知识。
(4) 网络基础知识。
(5) 数据库基础知识。
(6) 数据结构基础知识。
2.2.2 技术基础知识
(1) 网络安全知识。
(2) 密码技术知识。
(3) 数据分类分级知识。
(4) 数据质量管理知识。
(5) 数据处理活动安全管理知识。
(6) 数据采集与数据预处理知识。
(7) 数据计算与数据存储知识。
(8) 数据运营与技术指导知识。
(9) 数据分析与挖掘知识。
(10) 软件设计与开发知识。
(11) 应急响应管理知识。
2.2.3 相关法律、法规、 标准知识
(1) 《中华人民共和国劳动法》 相关知识。
(2) 《中华人民共和国民法典》 相关知识。
(3) 《中华人民共和国网络安全法》 相关知识。
(4) 《中华人民共和国数据安全法》 相关知识。
(5) 《中华人民共和国个人信息保护法》 相关知识。
(6) 《中华人民共和国密码法》 相关知识。
(7) 《中华人民共和国保守国家秘密法》 相关知识。
(8) 《中华人民共和国刑法》 相关知识。
(9) 《关键信息基础设施安全保护条例》 相关知识。
(10) 《数据出境安全评估办法》 相关知识。
(11) 其他数据安全相关法律法规、管理规定、标准相关知识。
2.2.4 其他知识
(1) 保密管理知识。
(2) 环境保护知识。
(3) 文明生产知识。
(4) 劳动保护知识。
3. 工作要求
本《标准》对初级、中级、高级的专业能力要求和相关知识要求依次递进,高级别涵盖低级别的要求。
| 职业功能 | 工作内容 | 专业能力要求 | 相关知识要求 |
|---|---|---|---|
| 数据安全管理 | x | x | x |
| 数据安全工程规划设计和建设实施 | x | x | x |
| 数据安全技术开发与运维 | x | x | x |
| 数据安全监测与应急处置 | x | x | x |
| 数据安全评估 | x | x | x |
3.1 初级
3.2 中级
3.3 高级
4. 权重表
4.1 理论知识权重表
| 项目/专业技术等级 | 初级(%) | 中级(%) | 高级(%) |
|---|---|---|---|
| 基本要求-职业道德 | 5 | 5 | 5 |
| 基本要求-基础知识 | 20 | 10 | 5 |
| 相关知识要求-数据安全管理 | 25 | 20 | 10 |
| 相关知识要求-数据安全工程规划设计和建设实施 | 15 | 20 | 15 |
| 相关知识要求-数据安全技术开发与运维 | 15 | 15 | 15 |
| 相关知识要求-数据安全监测与应急处置 | 10 | 15 | 25 |
| 相关知识要求-数据安全评估 | 10 | 15 | 25 |
| 合计 | 100 | 100 | 100 |
4.2 专业能力要求权重表
| 项目/专业技术等级 | 初级(%) | 中级(%) | 高级(%) |
|---|---|---|---|
| 数据安全管理 | 40 | 25 | 20 |
| 数据安全工程规划设计和建设实施 | 15 | 20 | 20 |
| 数据安全技术开发与运维 | 20 | 20 | 15 |
| 数据安全监测与应急处置 | 15 | 20 | 20 |
| 数据安全评估 | 10 | 15 | 25 |
| 合计 | 100 | 100 | 100 |
5. 附录
5.1 术语定义
- 数据资产
被保护的数据。 - 数据载体
用于存放和传输数据的媒体。 - 数据处理
包括数据的收集、存储、使用、加工、传输、提供、公开等。 - 数据安全
通过采取必要措施, 确保数据处于有效保护和合法利用的状态, 以及具备保障持续安全状态的能力。 - 数据安全评估
针对数据收集、存储、使用、加工、传输、提供、公开等活动, 根据相关法规标准要求, 按照风险分析的方法, 分析数据相关活动存在的安全风险。
5.2 参考文献
[1] GB/T 37973—2019 《信息安全技术 大数据安全管理指南》 相关知识
[2] GB/T 37988—2019 《信息安全技术 数据安全能力成熟度模型》 相关知识
[3] GB/T 39725—2020 《信息安全技术 健康医疗数据安全指南》 相关知识
[4] GB/T 39477—2020 《信息安全技术 政务信息共享数据安全技术要求》 相关知识
[5] GB/T 42014—2022 《信息安全技术 网上购物服务数据安全要求》 相关知识
[6] GB/T 42012—2022 《信息安全技术 即时通信服务数据安全要求》 相关知识
[7] GB/T 42015—2022 《信息安全技术 网络支付服务数据安全要求》 相关知识
参考链接:
数据安全工程技术人员国家职业标准(征求意见稿)
http://www.mohrss.gov.cn/xxgk2020/fdzdgknr/jcgk/zqyj/202301/P020230117567138096977.pdf
数据安全工程技术人员国家职业标准(2023 年版)
https://www.jswx.gov.cn/fwhd/tzgg/202303/W020230329636683080237.pdf
数据安全国家职业标准启动征求意见:新职业的要求有哪些?
https://www.secrss.com/articles/51287
数据安全工程技术人员国家职业标准-2023年版(高清原文无水印)安全从业者能力提升必读指引
https://mp.weixin.qq.com/s/jPsuZrj9v_Tua7YHOJDlBw
=END=
《“[read]数据安全工程技术人员国家职业标准”》 有 4 条评论
数据安全岗位技能要求及工作职责讨论 | 总第192周
https://mp.weixin.qq.com/s/if9_Ugd0CO_LXfgupV97Hg
`
话题:一直有个疑虑,“数据安全岗位”到底是属于偏技术岗位还是偏管理岗位?工作内容应不应该包含法务合规范畴?工作职责的边界到底是什么?技术岗应该具备哪些数据安全技术技能?
A1:既有技术也有管理,只了解管理的上限比较低。
A2:管理、技术、合规、运营,这4个能力在数据安全团队都要有吧。不同分工侧重不同。前段时间不是正好国家出了标准《数据安全工程技术人员国家职责标准》,可以参考下。
Q:管理和合规放一起会不会好些?
A3:我看到重心只搞数据安全管理和合规的,做得其实很辛苦,要兼顾很多,还需要背一定的责任,除非这公司是监管导向的。没技术团队支撑,不能提供让业务看到价值的数据安全解决方案,就很难做。
A4:管理也是要靠平台的。纯人工管理肯定很累,有系统支撑就容易多。如果技术能力能跟上会更好。但是目前企业在安全工作分工上,我感觉数据安全技术这块,可能更多让安全技术团队承接。目前数据安全团队做的最多的确实就是管理和合规这2块。数据安全管理和数据安全解决方案都能提供,影响力会大些。尤其是提供贴近业务的数据安全解决方案,才能跟业务同盟。
Q:不知道大家工作中遇没遇到这样的事,数据安全需求,业务产品听不懂、也不想听,技术研发同学能听懂能认可,但是技术研发听产品的需求。这类偏技术的数据安全产品需求,其实挺难推进。几乎没有研发经验的人员去沟通,说都说不明白。
目前能有一些实践收效的是把一些数据安全问题需求转化为产品需求(产品能听懂的)可以正常推进排期,然后再技术方案过程中与研发沟通对齐目前以及本次解决啥问题(聚焦),再不断对研发PUA(除三观之外的,数据安全观),包括精简的API安全评估手段方案(包含toC ToB To内部),稍微好一些,至少面上能和业务产品和研发融洽一些,不是见面就怼。
A16:我这边实践碰到的处理方式:
安全高层强势,让产研出方案,安全只提要求,审核方案;
安全内部技术合规数据安全结合,通过技术安全人员了解需求和要求后,和产研沟通方案,有时候会要给产研一些建议或者实践方式,来适配业务看是否可应用(有些产研相对被动)。
A17:我们碰到不多。更多的是开发排期排不过来。其实安全就是个业务方。所以直接把需求给到产品经理侧推动完善PRD就可以了。但是偏技术类的需求,一般性产品不接的,我们直接对接开发。举个例子,比如数据库敏感字段加密。日志脱敏。这种把产品经理loop进来没有意义。
A18:如果研发流程安全与合规有参与,提需求就行了。然后技术层面,正常安全提需求,研发出方案,安全确认。也有时候研发想不到技术实现方案,那就我们做技术方案,没办法得有一方往前走,事情才能推动。
A19:有可能是业务听不懂,也不想听,或者不想负责。与他无关是一切的祸首。
A20:**这种事只能是与负责人对齐目标,下面执行。**我们之前也是对接开发,但是复盘发现,有些是系统性问题,如果从业务产品侧出发并水平展开,处理起来很高效,并且防范性较好。这块我想补充一下,产品需要懂原则,可以不懂技术实现。数据加密、数据脱敏、数据去标识化,未来这些问题会从技术转为产品需求。感觉是需要逐步统一沟通字典的。
`
八字真言:虚事做实,实事做虚 | 总第191周
https://mp.weixin.qq.com/s/z_-ej0MFQa0_ovQ68ABmXA
`
提个问题:安全上老板总是以解决点的问题为基调,不愿意基于业务建立长远的规划去投入,认为没发生就无需投入,能省则省。如何突破?
A1:老板不觉得事后补救的成本会远大于事前预防,所以就不愿意投入了吧。
A2:公司不一定要突破。公司面临各种风险,也要赚钱,有的风险会让他亏钱,这种要内生前置解决,降低治病成本;有的风险是莫须有的,会让他不健康,但医生让他健康作息,他也只想加班赚钱,他接受了。**安全战略得和业务战略匹配,明确整体规划,急难险重,优先级,不能超前。**最后如果公司拖了安全后腿,可以换个平台施展。
在做风险评估的时候,如果某一项风险5年都不发生一次,领导也没有应对极端场景的诉求,那这个风险就不需要去缓解。
当然了,类似断供风险,低频高危,领导真的不care,发生了,死了,那就死了。
A3:长远规划是建立在已识别到的暂时未发生的事情上,那么未来1-2年能做好且在一定程度上可规避未来可能发生的风险,却舍不得投入。比如数据安全持续沉淀,业务安全等。
A4:从某种程度上来说,安全从业人员的居安思危是老板需要的,他想知道,现在做了这么多,还会发生哪些风险,哪些最危险,他能不能承受,然后他也会做出决策。
但是**怎么说服领导,怎么获取信任,怎么获得话语权,这个是管理学的话题,不是科学不是实践,有科学研究和没科学研究的成功率是相近的,说明它因人而异无法照搬,我觉得也是本群相对最需要补的一块能力,却无法通过分享交流获得这个能力,因为这个的起点是,你的领导是什么类型的决策者,但大家没法公开说这个。**
有的老板在想网络战了怎么办,脱钩了怎么办,有的老板在想明年利润达不到这个数我就不能冲击上市了。他们的风险偏好一定是迥异的。
A5:以后做安全先给老板来个类似投资风险测评,确认是激进的还是保守的风格。选择老板!
A6:就算不做,汇报中也会识别老板性格。不管啥安全体系,第一章永远是战略、组织、获得支持,但他不会告诉你怎么获得支持。
一句话抽象总结:虚的东西要实做,实的东西要虚做,也只有这样才可能把事情做好。
Q:最近碰到辛苦大半月的项目设备被上级砍掉了大半,怎么向上管理?我发现是这样的,领导都很重视安全,都知道安全很重要,具体到落地的时候,就是这个这么贵,有必要吗?有那么危险吗?发生风险概率多少?
A14:管理学问题,没有通解。还是要对症下药,**汇报只是临门一脚,是所有环节的最后一环。更多的,是要在规划、日常沟通中下功夫的。**零碎时间的闲聊,效果挺好的。比如多和领导吃饭沟通。平时不沟通,汇报放大招,领导不挑战,那就有鬼了。
A15:日常沟通中下功夫这方面确实做得不到位,看见领导“绕着走”。
A16:很形象了,很多IT人员,在食堂碰到领导了,找个其他桌子吃饭;在电梯看到领导了,赶紧等下一趟。本来都是沟通的机会,却没有抓住。有这种想法的,说明其没有切肤之痛,又或者安全风险发生后的成本在可接受预期之内。
**最重要你得搞清楚领导认为什么是重要的,什么才是安全。而不是你到处教育他什么是你认为的安全。**很多人沟通时候把领导当傻子,觉得领导就是不懂,我要把我这套灌输给你,让你理解。那这种就只能呵呵了。
A17:可以从领导的上级关心的安全方向以及他关心的安全方向相结合,来推动安全工作,效果会好一点。比如要采购灭火器,让你证明这地方发生火灾的概率,有一套科学的方法论证或数学模型啥的。然后对标同行, 我们的差距是什么,什么时候能达到人家的标准。
A18:这要前提领导懂安全,领导砍掉的做好记录作为已知的风险延后,等待一个机会再提出来看看领导什么意思,还是决策不要就顺着,毕竟决策和责任在领导。
**有时候,让一些事情发生,再跟进。别着急预防。**
`
炼石整理:300页幻灯片图解数据安全风险评估(附下载)
https://mp.weixin.qq.com/s/YMeM37dh3c0GJSMRHzQ2_g
`
为指导网络数据安全风险评估工作,发现数据安全隐患,防范数据安全风险,依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规,参照数据安全相关国家标准,全国信息安全标准化技术委员会在组织编制国家标准的同时,编制了《网络安全标准实践指南——网络数据安全风险评估实施指引》(信安秘字〔2023〕70号,以下简称“实践指南”),用于指导开展网络数据安全风险评估工作,于2023年5月29日正式发布。
网络数据安全风险评估实施指引
一、范围
二、术语定义
三、风险评估概述
3.1 评估思路
3.3 评估流程
3.2 评估内容
3.4 评估手段
四、评估准备
4.1 明确评估目标
4.2 确定评估范围
4.3 组建评估团队
4.4 开展前期准备
4.5 制定评估方案
五、信息调研
5.1 数据处理者调研
5.2 业务和信息系统调研
5.3 数据资产调研
5.4 数据处理活动调研
5.5 安全措施调研
六、风险识别
6.1 数据安全管理
6.2 数据处理活动
6.3 数据安全技术
6.4 个人信息保护
七、综合分析
7.1 梳理问题清单
7.2 风险分析与评价
7.3 提出整改建议
八、评估总结
8.1 评估报告
8.2 风险处置
`
如何构建数据安全运营指标体系,有效量化和指导数据安全运营工作?
https://www.secrss.com/articles/57843
`
# 数据安全运营指标体系建设价值
当前数据安全运营过程之中存在诸多问题。第一,缺乏缺乏方向和目标,缺少明确、可量化的指标体系,数据安全运营需要做到什么程度,要达到怎样目标并没有明确概念,导致数据安全运营缺乏方向和动力,无法有效地支持业务发展;第二,缺乏可见性和可度量性,无法通过数据和事实来展示和证明自己的工作成果,缺少直接有效地向上级或者利益相关方汇报和沟通的方式方法;第三,缺乏可控性和可持续性,无法通过规划和执行来驱动和改进自己的工作流程,应对复杂多变的数据安全环境能力缺失;第四,缺乏可信任性和可交付性,无法建立良好的合作关系。
数据安全运营指标体系是一套用于评估和改进数据安全运营能力和效果的标准和方法。首先,基于运营指标体系,可提高数据安全运营可见性和可度量性,使得数据安全运营不再是一个黑箱或者空话,而是可通过数据和事实来展示和证明;其次,可提高数据安全运营可控性和可持续性,使得数据安全运营不再是被动或一次性的工作,而是可通过规划和执行来驱动和改进;最后,可提高数据安全运营可信任性和可交付性,使得数据安全运营不再是一个孤立或无用的工作,而是可通过沟通和协作来支持和赋能业务。具体可实现以下目的:
1.明确数据安全运营目标和范围,对齐和赋能业务价值;
2.量化数据安全运营输入和输出,提升风险管理能力;
3.优化数据安全运营流程和方法,提升技术结合能力;
4.验证数据安全运营效果和水平,满足内外部需求与要求。
# 数据安全运营指标体系建设内容
数据安全运营指标体系是一种用于评估和指导数据安全运营能力的方法,体系从不同维度、内容来构建和应用。根据不同数据安全运营目标和场景,可选择合适的指标体系来进行数据安全运营规划、执行、监控和改进。本体系包含风险维度、能力维度与价值维度三方面。
风险维度-主要关注数据安全运营过程中面临的各种风险,包括数据泄露、数据篡改、数据丢失、数据滥用等,以及风险对业务和法律的影响。风险维度指标包括风险识别率、风险评估准确性、风险治理效果、风险收敛率等。
能力维度-主要关注数据安全运营所需的各种能力,包括技术能力、管理能力与人员能力等,以及这些能力对数据安全运营支撑和提升作用。能力维度指标包括技术覆盖率、技术准确率、技术召回率、技术鲁棒性、管理规范性、管理效率、人员素质、人员满意度等。
价值维度-主要关注数据安全运营对业务价值的贡献,包括保障业务正常运行、提升业务信任度、增强业务竞争力等,以及这些价值量化和展示方式。价值维度指标包括业务可用性、业务满意度、业务增长率、业务收入等。
`