政策背景,檔案通知,行業背景,發展前景,發展目標,主要職責,內容一,內容二,面向人群,參考標準,工作原則,驗證流程,培養培訓,考核方式,考核時間,分值占比,考核結果,結果套用,證書頒發,驗證單位,驗證優勢,
政策背景
2021年6月10日,為了規範數據處理活動,保障數據安全,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益,中華人民共和國全國人民代表大會常務委員會制定並發布《
中華人民共和國數據安全法》。
2023年1月13日,工業和信息化部等十六部門聯合發布《
關於促進數據安全產業發展的指導意見》,意見要求加強人才隊伍建設,推動普通高等院校和職業院校加強數據安全相關學科專業建設,強化課程體系、師資隊伍和實習實訓等。制定頒布數據安全工程技術人員國家職業標準,鼓勵科研機構、普通高等院校、職業院校、優質企業和培訓機構深化產教融合、協同育人,通過聯合培養、共建實驗室、創建實習實訓基地、線上線下結合等方式,培養實用型、複合型數據安全專業技術技能人才和優秀管理人才。推進通過職業資格評價、職業技能等級認定、專項職業能力考核等,建立健全數據安全人才選拔、培養和激勵機制,遴選推廣一批產業發展急需、行業特色鮮明的數據安全優質培訓項目。
檔案通知
2023年4月28日,國家市場監督管理總局認證認可技術研究中心發布《市場監管總局認研中心關於開展人員能力驗證工作(第四批)的通知》,面向社會正式開展人員能力驗證工作。其中包含首席數據安全官能力驗證。
行業背景
2021年9月1日,《數據安全法》正式頒布實施,明確提出了數據安全保護要求,包括從戰略上將數據安全上升到國家總體安全觀層面;從組織責任上明確數據流轉過程中組織的安全責任與義務,明確監管要求;在安全保護方面完善數據安全保護體系,提升數據安全能力;在安全監管方面建立數據安全應急機制和審查制度。《數據安全法》同時也闡明了數據安全與發展的關係,即“國家統籌發展和安全,堅持以數據開發利用和產業發展促進數據安全,以數據安全保障數據開發利用和產業發展”。堅持安全與發展並重,在數據作為生產要素之一的大背景下,探索全新數據安全體系、保障新形勢下的數據安全,已成為維護國家安全和國家競爭力的戰略需要。
發展前景
未來數據流轉情況將更加開放,業務生態將更加複雜,參與數據處理的角色將更多元,系統、業務、組織邊界將進一步模糊,導致數據的產生、流動、處理等過程比以往更加豐富和多樣。數據的頻繁跨界流動,多環節的信息隱性留存,帶來了嚴峻的數據安全挑戰。基於邊界的安全管理和技術措施,已經無法適應當前的安全需要。在數據安全風險與日俱增的新形勢下,安全作為發展的前提,數據安全管理人員已是數字經濟時代下最為緊迫。
發展目標
到2025年,數據安全產業基礎能力和綜合實力明顯增強。產業生態和創新體系初步建立,標準供給結構和覆蓋範圍顯著最佳化,產品和服務供給能力大幅提升,重點行業領域套用水平持續深化,人才培養體系基本形成。
(1)產業規模迅速擴大。數據安全產業規模超過1500億元,年複合增長率超過30%;
(2)核心技術創新突破。建成5個省部級及以上數據安全重點實驗室,攻關一批數據安全重點技術和產品;
(3)套用推廣成效顯著。打造8個以上重點行業領域典型套用示範場景,推廣一批優秀解決方案和試點示範案例;
(4)產業生態完備有序。建成3-5個國家數據安全產業園、10個創新套用先進示範區,培育若干具有國際競爭力的龍頭骨幹企業、單項冠軍企業和專精特新“小巨人”企業。
到2035年,數據安全產業進入繁榮成熟期。產業政策體系進一步健全,數據安全關鍵核心技術、重點產品發展水平和專業服務能力躋身世界先進行列,各領域數據安全套用意識和套用能力顯著提高,湧現出一批具有國際競爭力的領軍企業,產業人才(首席數據安全官)規模與質量實現雙提升,對數字中國建設和數字經濟發展的支撐作用大幅提升。
主要職責
內容一
(1)制定和執行組織的數據安全策略和規劃,確保數據安全與組織的業務目標相一致,包括確定數據安全標準、政策和程式,並確保其在整個組織範圍內得到實施;
(2)識別和評估組織面臨的數據安全風險,並採取相應的措施來減輕和管理這些風險,包括進行安全漏洞評估、威脅情報分析和風險治理,以保護組織的數據資產免受威脅和攻擊;
(3)設計、實施和維護適當的數據安全控制和技術措施,以保護數據的保密性、完整性和可用性,涉及訪問控制、加密、身份驗證、安全審計等技術手段的套用;
(4)提高組織成員對數據安全的意識,並提供相關培訓和教育,通過培訓員工了解數據安全最佳實踐、隱私保護措施和安全操作要求,降低內部威脅和人為失誤的風險;
(5)確保組織在數據安全方面符合適用的法律法規和合規性要求,負責制定和執行數據保護政策、隱私聲明,並確保組織的數據處理活動符合相關的隱私法規,如GDPR、CCPA等;
(6)建立和領導安全事件回響團隊,以迅速應對和管理數據安全事件,制定應急回響計畫、恢復策略和業務連續性計畫,並進行安全事件的調查、分析和修復;
(7)與內部和外部利益相關者建立良好的合作關係,包括高層管理、業務部門、IT部門、合規部門以及供應商和合作夥伴,確保數據安全目標與組織的整體戰略和利益相一致,並提供相關的溝通和報告;
(8)跟蹤和評估新興的數據安全技術和趨勢,以適應不斷演變的威脅和攻擊方式,保持對最新安全工具、解決方案和最佳實踐的了解,並在需要時引入新技術來增強數據安全防護能力。
內容二
(1)與客戶溝通和了解其業務需求、風險承受能力和數據安全要求,分析客戶的數據安全需求和目標,為其定製數據安全戰略和解決方案;
(2)根據客戶的需求和行業標準,制定數據安全規劃和策略,包括制定數據安全政策、數據分類與保護方案、訪問控制措施、數據備份與恢復策略等;
(3)對客戶的數據安全風險進行評估和管理,通過漏洞掃描、安全演練和安全評估等手段,識別潛在的威脅和漏洞,並制定相應的風險管理計畫和控制措施;
(4)協助客戶遵守相關的數據安全法規和合規要求,提供合規諮詢和指導,協助制定數據保護政策、隱私條款、契約要求等,確保客戶的數據處理符合法律法規和契約要求;
(5)開展數據安全培訓和教育活動,提高客戶員工對數據安全的意識和知識水平,培訓員工識別和應對安全威脅,加強數據保護的責任意識和操作技能;
(6)協助客戶應對安全事件和數據泄露事件,提供緊急回響和管理支持,包括事件調查、修復措施的實施,協助法律訴訟和解決安全問題;
(7)與客戶的高層管理層進行溝通和諮詢,提供數據安全方面的專業建議,參與戰略決策,確保數據安全戰略與企業目標和發展方向相一致;
(8)與客戶保持良好的溝通和合作,建立並維護良好的客戶關係,理解客戶需求,提供定製化的數據安全解決方案,定期與客戶進行溝通,提供項目進展報告和建議。
面向人群
(1)企業CIO、CSO等信息化相關的高層領導;
(2)政府機關單位的信息化主管領導,政府機關、企事業單位的法務人員、合規人員;
(3)信息技術總監、大數據部門研發總監、信息安全總監及經理;
(4)安全顧問、分析師、審計師、架構師、設計師;
(5)主要面向安全領域有相關經驗的管理者和專業人士、相關研究人員,以及其它有志於從事數據安全領域諮詢、管理和架構設計的人士及對數字安全和隱私保護有興趣的人士。
參考標準
首席數據安全官人員能力驗證是依據人員能力驗證規則,規則編制參考了《合格評定能力驗證的通用要求》ISO/IEC(17043)、《
利用實驗室間比對進行能力驗證的統計方法》ISO(13528)中的全部或部分條款,既保證了規則體系的規範化,又對行業從業人員的水平及行業從業人員現狀進行動態分析,促進行業良性發展,同時也使其具有根據行業發展進行調整的靈活性和實用性,符合人員培養培訓和驗證的需求。
工作原則
首席數據安全官人員能力驗證工作遵循客觀公正、科學規範、以用為本、多元評價的原則,實現“專業學習-能力驗證-精準診斷-靶向訓練-持續學習”的“PDCA”循環,著力提升人員從業素質和能力,為建設“人才強國”提供支撐。
驗證流程
培養培訓
(一)專業學習
包括:線上學習、現場培訓等,以普法宣貫、知識更新、理論教學、案例分析等為重點內容。
(二)實踐學習
包括:現場操作、師徒傳幫帶等,以提高實際操作能力為重點內容。
考核方式
首席數據安全官人員能力驗證一般分為線上考試或現場考核,鼓勵採取線上方式。人員能力驗證工作採取線上統一考試,參訓學員登錄人員能力驗證綜合服務平台進行線上考核。考生信息採用計算機考試系統進行統一管理,線上完成學員信息填報、考試、電子試卷管理等工作。
考核時間
首席數據安全官人員能力驗證測驗實行統一大綱、統一命題、統一組織的考試制度,原則上每年舉行4次考試,分別安排在3月份、6月份、9月份、12月份的第四個周六,考試時間為120分鐘。
分值占比
首席數據安全官培養培訓及能力考核的主要考試題型分為四類。其中,單選題(20題,20分);復選題(10題,20分);判斷題(10題,10分);問答題(3題,50分),總分100分。
考核結果
首席數據安全官人員能力驗證結果劃分為優秀、良好、合格、不合格。具體按照《首席數據安全官人員能力驗證規則》進行確定,不合格者需重新報名下季度“人員能力驗證”考核,重新繳納考試費用,人員能力驗證成績考核合格後可取得《首席數據安全官》人員能力驗證證書。
結果套用
(一)能力提升
應建立培訓培養和能力驗證結果反饋和改進機制,為人員能力提升提供精準靶向改進建議和持續學習建議。
(二)鼓勵採信
應積極協調政府部門、行業協會、用人單位等,鼓勵其採信人員能力驗證結果,持續營造良好用人環境。
(三)行業建議
人員能力驗證組織部門應根據人員培訓培養及能力驗證總體情況,開展行業從業人員質量分析,為提供整體從業水平提供技術支撐。
證書頒發
經培養培訓學時達標並人員能力驗證考試合格者,由
國家市場監督管理總局認證認可技術研究中心頒發《首席數據安全官》人員能力驗證證書,並可在國家市場監督管理總局認證認可技術研究中心官網查詢驗證。
驗證單位
驗證優勢
1.從求職者角度來看,人員能力驗證首先從根本上解決了人員專業知識掌握不足的問題,其次,通過培養培訓後對參訓人員進行能力驗證並分析其驗證結果,可提高參訓人員自身的專業知識,同時對自己能力水平有清晰的認知,有助於求職者就業以及對後續職業發展的規劃;
2.從行業和企業角度來看,人員能力驗證工作的開展將會為社會輸送更多具備專業知識的崗位合格者,不僅能通過大數據對該行業的專業水平做一個全面評估,還能解決本行業“招人難”的問題,進而提高企業的經濟效益;
3.從國家角度來看,人員能力驗證工作回響“深入實施新時代人才強國戰略”,集培養培訓和能力驗證為一體,培養人才、成就人才,為加快建設世界重要人才中心和創新高地增添了新動力。