《数据安全实践指南》- 通用安全实践-组织和人员管理

组织和人员管理

组织和人员管理强调的是在数据安全场景下的组织架构改进及人员协作，组织架构改进从上至下包含策略层、管理层和执行层，同时包含监督层，对各流程实例的执行情况和数据操作行为进行审计和监督。

建立负责组织和人员管理的职能部门

基于数据安全的组织和人员管理需求，组织机构需要对当前架构中的策略层、管理层及执行层全维度架构进行自上而下的优化改进，落实数据安全与数据保护的组织整体性原则，并基于此实现相关制度管理。
基于上述思路，组织和人员管理所要做的主要改进和设置具体如下。
（1）策略层
- 应建立组织层面的数据安全领导小组，指定组织机构的最高管理者或授权代表担任小组组长，并明确组长的责任和权力。策略层负责制定组织机构内部数据安全管理的总体目标、方针和策略等，从全局角度把控数据安全风险，就重大数据安全事件或方案进行决策。策略层的实际呈现形式可以是数据安全小组或数据安全委员会，建议由主管数据安全工作的副总裁或同级别领导担任组长，小组成员至少包括网络安全管理、数据安全管理、财务、法务、人力资源及相关业务部门的经理或负责人。人力资源部门担任数据安全小组成员的相关人员应与数据安全小组的其他人员进行有效配合，协助数据安全小组指定大数据系统的安全规划、安全建设、安全运营和系统维护工作的责任部门，并协助确定或招聘组织层面负责人员数据安全培训管理职责的岗位人员，并由该人员负责推进数据安全培训需求的分析及落实方案的制定。
（2）管理层
- 管理层负责按照策略层确定的管理目标、方针和策略制定组织机构内部数据安全管理制度规范并执行，负责数据安全防护技术措施的规划建设和落实，指导协助相关业务部门建立数据安全管理的组织体系并执行管理制度规范。建议成立或指定数据安全管理部门，负责上述管理层工作职责。同时，建议成立由数据安全管理部门、相关业务部门负责人组成的虚拟数据安全管理团队，负责落实相关业务部门的数据安全管理责任，执行数据安全管理制度规范。管理层应在部门层面负责实施数据安全的管理规范和策略等。建议相关业务部门明确数据安全责任人（一般由部门经理或负责人担任）和数据安全管理员，负责数据访问权限审批和异常行为告警处置等数据安全日常运营工作。
（3）执行层
- 执行层应由网络安全管理、数据安全管理、财务、法务、人力资源及相关业务部门的员工组成，并按照数据安全管理制度规范开展日常工作。

明确组织和人员管理岗位的能力要求

策略层：明确组织机构的数据安全工作目标，遴选能够充分理解人力资源管理流程并能够识别出流程中可能存在的数据安全风险，且有能力对相关风险进行把控的组织人员管理者及相关协同成员。
管理层：根据组织机构的数据安全工作目标，制定组织机构内部的数据安全管理制度规范并执行。
执行层：贯彻执行组织机构内部的数据安全管理制度规范，同时组织并开展针对员工入职过程中的数据安全教育，通过培训和考试等手段提升其整体的数据安全意识水平。

组织和人员管理岗位的建设及人员能力的评估方法

调研访谈
组织和人员管理阶段的调研访谈，需要针对策略层、管理层、执行层各层级人员分别进行，具体访谈内容如下。
访谈策略层、管理层、执行层各层级人员，确认组织机构策略层的数据安全工作目标是否明确；管理层人员对组织数据安全工作目标的理解是否到位，对应组织机构内部的数据安全管理制度规范与组织的数据安全工作目标是否相符；执行层是否理解组织机构内部的数据安全管理制度规范并能在日常工作中规范执行，是否有定期组织和开展针对员工入职过程中的数据安全教育，通过培训和考试等手段提升其整体的数据安全意识水平等，如果有条件还可以通过一对一（One-One）的沟通手段抽查部分员工是否具备足够的数据安全意识等。

问卷调查
组织和人员管理能力阶段的问卷调查通常是以安全意识类问卷的形式，调研并确认组织机构整体的数据安全意识水平，从而反向推测组织数据安全工作目标的落实情况。
流程观察
组织和人员管理阶段的流程观察，主要是观察执行层人员的工作流程，并从中寻找可能的问题点和改善点，具体观察内容如下。
以中立的视角观察组织执行层日常数据安全相关工作的流程，并通过调阅组织内部的数据安全管理制度规范确认两者的相符度，同时观察并确认当前组织内部的数据安全管理制度规范是否符合组织数据的操作需求，反推策略层的数据安全工作目标是否明确并符合组织现状。
技术检测
组织和人员管理阶段的技术检测，需要使用技术工具确认实际业务数据的处理是否符合制度规范要求，是否存在数据错误或伪造等情况，制度规范的实际执行覆盖范围是否全面，是否存在因业务人员自行更改规范而导致其失效的情况等。

明确组织和人员流程管理的目的

组织机构的数据安全策略、制度流程和技术工具等的落实和推进离不开工作人员的执行。由于组织机构内不同部门、不同层级及不同来源的员工，其工作难免需要在不同场景下直接或间接地接触数据资产，因此数据安全风险始终离不开工作人员本身，组织和人员管理部门需要联合人力资源部门在员工的招聘/引进、入职、转岗/调岗、离职等各个环节设置相应的风险控制措施，以降低个人本身问题所导致的数据安全风险。
在职人员的工作职责与权限管控。
人力资源全流程制度规范。

明确在职人员的工作职责与权限管控

在职人员可包含数据安全管理团队，以及与数据安全管理相关的各职能团队，数据安全管理角色包括组织内部的安全管理团队和职能部门。安全管理团队对组织的数据安全全面负责。职能部门是根据业务需求对数据进行收集、分析或使用的具体部门，主要负责数据收集、分析或使用等技术的实现。职能部门对本部门收集或使用的数据安全负责，细化数据在收集、分析或使用等阶段的安全要求，并推动落实。
1.数据安全管理团队的职责
- 应确定各种数据的分类分级初始值，制定数据分类分级指南。
- 应综合考虑相关的法律法规、政策、标准、数据分析技术的当前水平、组织所处行业的特殊性等，综合评估数据安全分析技术，制定数据安全基本要求。
- 建立相应的数据安全管理监督机制，确保数据安全管理机制的有效性。
- 负责组织机构的数据安全管理过程，并对外部相关方（比如，国家安全主管部门、数据主体等）负责。
- 对于组织的数据使用，数据安全管理团队具有相应的权力、职责和管理责任。
2. 职能部门的职责
职能部门在履行其职能时会生成和收集不同的数据，持久保存数据并进行分析。职能部门可能会涉及一个或多个数据的主要阶段，并根据涉及的阶段履行相应的安全职责。职能部门需要配合安全管理团队的工作来保障数据安全，职能部门的主要职责包含以下内容。
- 确定本部门数据的最终分级。
- 根据本部门涉及的数据安全生命周期中的主要阶段，明确和细化本部门数据在收集、存储和使用等过程中的具体安全要求，并保证这些要求能够得到有效实施。
- 配合安全管理团队处置安全事件。
- 根据组织规定的要求安全使用数据。
3. 权限管控
数据安全中的权限管理是访问控制的重要部分，其最重要的作用是根据组织业务和数据安全的需求，确保各业务相关方均是在获得相应的授权之后才能够进行对应资源的访问操作。
权限管理需要遵循以下几个重要原则。
- （1）权限最小化原则
  权限最小化原则，也称最小授权原则，或者最小特权原则，要求确保主体仅被授予执行任务和完成工作所必需的最小权限。权限最小化原则需要充分考虑主体的角色定义和岗位职责，结合业务场景分析主体在系统内的访问内容、方式、权限级别、时间限制等约束条件，并根据安全策略释放最契合业务需求又不多余的权限。
- （2）权限多人负责原则
  权限多人负责原则，指的是重要的权限和业务不要只安排给一个人单独管理，而应实行两人或多人相互制约的机制，一方面可以通过多级授权来监督权限的使用，另一方面可以通过双人复核来保障权限的严格控制和流程的准确无误。
- （3）职责分离原则
  职责分离原则是相对于不相容的权限来说的，其要求不相容的权限要形成相互制约的关系。一般至少要求区分为系统管理员（管理用户和系统配置）、业务操作员（进行业务操作和业务配置）和审计员三类权限职责，以形成相互监督、相互制约的关系。

制定人力资源全流程制度规范

人力资源全流程制度规范包含人员招聘，入职，在职，转岗，离职等全方位环节。
招聘：背景调查
- 人力资源应负责对员工候选人的背景进行调查，从法律法规、行业道德准则要求等方面进行调查；同时，若涉及数据安全岗位候选人，则还应增加胜任能力方面的调查。
- 背景调查是指通过从外部求职者提供的证明人或以前工作的单位那里搜集资料，来核实求职者个人资料的真实性，是一种能够直接证明求职者实际情况的有效方法。背景考察既可以在深入面试之前也可在其后进行，虽然需要花费一定的时间和财力，但付出的代价往往是值得的。
- 通过背景调查，组织机构可以证实求职者的教育和工作经历、个人品质、交往能力、工作能力等信息。简而言之，背景调查就是用人单位通过第三者对应聘者展示的入职条件和工作能力等相关信息进行核实验证的方法。这里的第三者主要是指应聘者原来的雇主、同事，以及其他了解该应聘者的人员，或者是能够验证应聘者提供资料准确性的机构和个人。
- 完成一次背景调查，组织机构共有三种选择：一种是自主调查，即由组织机构的人力资源部门凭借个人的渠道与网络核实应聘者提供的工作信息；另一种则是委托猎头公司调查；除此以外，还有一种方法，即与专业的第三方雇前调查机构合作，聘用专业的调查团队进行入职背景调查。
- 以下岗位应重点关注背景调查结果。
- 数据安全等安全技术岗位。对组织而言，安全人员往往掌握着大量权限，其工作也会大量接触公司的核心业务，因此安全人员需要对组织拥有更高的忠诚度，以免出现由于人员问题而导致的各类安全事件。
- 与资金安全有关的专业岗位，如会计、出纳、投资等岗位。出于对资金安全的考虑，企业会对这类岗位的工作人员进行背景调查，以了解这些准员工的工作能力和诚信状况，以及是否有犯罪记录。
- 能够接触核心技术的职位，如技术总监和研发团队成员。企业招聘这类人员时通常会非常谨慎，花费一定的人力财力对拟录用者进行犯罪记录、诚信状况等的背景调查是很有必要的。
  中高层管理岗位。那些涉及企业运营战略，以及需要把握核心客户资源的职位，如销售总监、客户主管或运营总监，他们对于企业的日常运营，甚至未来发展顺利与否都有举足轻重的影响，大多数企业都会对中高层岗位聘用者做背景调查。
入职：培训+考核
- 针对新入职的员工，人力资源应根据其岗位特性及工作内容的敏感程度提供不同级别和内容的数据安全培训及制度宣贯，并在试用期内搭配对应考核的学习要求，通过考核确认该人员对制度的掌握情况和工作执行能力，从而降低因人员而导致的数据安全违规风险，同时提升人岗匹配性。
- 培训可通过新员工集中培训、视频直播培训和录播学习培训等多种方式来完成，并通过办公自动化等内部系统确保人员通知和参与到位。
- 对于不同层级和岗位的数据安全要求，考核的内容应具备不同的难度，涉及不同的方案，考核一般是通过在线系统来完成的，组织机构可基于考核结果或考评要求确认人员的掌握能力。
在职：定期培训宣贯+考核
- 员工在职期间，人力资源部门应协同数据安全管理部门定期开展数据安全意识培训、数据安全制度培训等培训宣贯工作，并辅以对应的考核内容，可按季度、半年度或年度的方式安排定期培训宣贯和考核认证，持续确保在职人员的数据安全意识及制度理解能力，将安全意识宣贯常态化，从而持续确保组织人员对数据安全制度的遵从性。
转岗：工作交接+权限回收
- 对于工作人员转岗的情况，人力资源部门应协助相关人员进行在职期间转岗的工作交接，并于交接完成后立即回收该工作人员的权限，以及对已落到办公终端本地的数据进行清理，以确保该工作人员已不再具备原有岗位职责的任何权限和遗留数据，并在确认此结果之后，根据相关人员的新岗位职责，重新赋予对应的权限，即在职人员在转岗过程中，对应权限应经过清空-评估-授予的过程，以确保对应人员的权限仅符合后向职责，从而避免人员多次转岗过程中的权限累加所造成的权限蔓延问题。
离职：数据交接、防泄露与权限回收
- 针对离职人员，人力资源应关注其提出离职到正式离职期间的工作交接情况，并确认数据交接是否完整，以及对应人员有无数据外传和复制等疑似数据泄露的行为；同时在确认交接完成后，立即进行权限回收、账号冻结和对已落到办公终端本地的数据进行清理等工作，从而保证其权限和账号均已不可用，同时可根据离职人员工作岗位的特殊性和敏感性等，与部分高敏感人员协商和签署离职后的竞业协议等具有法律效力的文件。
奖惩措施
- 将员工在职期间在数据安全方面的义务和职责纳入人力资源激励和惩罚的范畴，激励或处罚的具体方式和额度可基于组织现有行政管理制度规范进行扩展。

使用技术工具

技术工具自动化实现了数据安全相关的人力资源管理流程：使用人力资源管理系统。
员工入职、在职、转岗、离职的权限控制：使用访问控制技术。
以公开信息口可查询的形式，面向组织全员公布数据安全职能部门的组织架构：使用办公自动化系统和企业内部门户网站。

人力资源系统

人力资源管理系统可在招聘、入职、转岗/调岗、离职，以及培训考试和绩效考核等子系统或环节中，植入数据安全的控制要求，作为必须的审批或确认步骤。
- （1）组织管理模块
- 主要用于实现对公司组织结构及其变更的管理；对职位信息及职位间工作关系的管理，即根据空缺的职位配备相应的工作人员；按照组织结构进行人力规划，并对人事成本进行计算和管理，支持生成机构编制表和组织结构图等。
- （2）人事信息管理模块
- 主要用于实现对员工从试用、转正直至解聘或退休整个过程中各类信息的管理，以及人员信息变动的管理，通过多种形式和多种角度提供查询和统计分析手段。
- （3）招聘管理模块
- 主要用于实现计划招聘岗位、发布招聘信息、采集应聘者简历的管理，并按岗位任职资格遴选人员，管理从初次面试开始到通知试用的全过程。
- （4）劳动合同模块
- 主要用于提供对员工劳动合同的签订、变更、解除、续订、劳动争议和经济补偿的管理。劳动合同模块可根据需要设定试用期或合同到期的自动提示。
- （5）培训管理模块
- 主要用于根据岗位要求及绩效考核结果，确定必要的培训需求；为员工的职业生涯发展制定培训计划；对培训的目标、课程内容、授课讲师、时间、地点、设备、预算等进行管理，对培训人员、培训结果和培训费用进行管理。
- （6）考勤管理模块
- 主要用于管理员工的出勤情况，帮助企业完善作业制度。考勤模块具体包括各种假期、班别和相关考勤项目的设置，以及调班、加班、公出、请假的管理、迟到早退的统计、出勤情况的统计等。同时，该模块还提供了与各类考勤机系统的接口，以及为薪资管理系统提供相关数据。
- （7）绩效管理模块
- 绩效考核可用于评价人员配置和培训的效果、对员工进行奖惩激励、为人事决策提供依据。根据不同职位在知识、技能、能力、业绩等方面的要求，系统需要提供多种考核方法和标准，允许自由设置考核项目，对员工的特征、行为和工作结果等进行定性和定量的考评。
- （8）福利管理模块
- 福利管理系统主要用于为员工提供各项福利基金的提取和管理功能。福利管理模块主要包括定义基金类型、设置基金提取的条件，对基金进行日常管理，并提供相应的统计分析报告，基金的日常管理主要包括基金定期提取、补缴、转入转出等。此外，福利管理系统还需要提供向有关管理机关报送相关报表的功能。
- （9）工资管理模块
- 工资管理系统适用于各类企业、行政、事业及科研单位，直接集成考勤、绩效考核等数据，主要提供工资核算、工资发放、经费计提、统计分析等功能。工资管理模块提供的功能包含：支持工资的多次或分次发放；支持代扣税或代缴税；工资发放支持银行代发，提供代发数据的输出功能，同时也支持现金发放，提供分钱清单功能。工资管理系统可以自定义设置经费计提的内容和比率。

人员访问控制技术

访问控制是数据安全的一个基本组成部分，它规定了哪些人可以访问和使用公司的信息与资源。通过身份验证和授权，访问控制策略可以确保用户的真实身份，并且为其分配访问公司数据的相应权限。访问控制还适用于限制对园区、建筑、房间和数据中心的物理访问。
访问控制可用于保护组织的客户数据、个人可识别信息和知识产权等机密信息，避免重要数据落入攻击者或内部无关人员手中。如果没有一个强有力的访问控制策略，组织机构就会面临数据从内部和外部泄露的风险。
访问控制通过验证多种登录凭据来识别用户身份，这些凭据包括用户名和密码、PIN码、生物识别扫描和安全令牌。许多访问控制系统还包括多因素身份验证，多因素身份验证是一种需要使用多种身份验证方法来验证用户身份的方式。用户身份验证通过后，访问控制就会授予其相应级别的访问权限，以及与该用户凭证和IP地址相关的允许进行的操作。
访问控制主要包含四种模型。组织机构通常会根据其独特的安全性和合规性要求，选择行之有效的方法。这四种访问控制模型分别是：自主访问控制（DAC）、强制访问控制（MAC）、基于角色的访问控制（RBAC）和基于属性的访问控制（ABAC）。