首席数据安全官(Chief Data Security Officer,简称CDSO),是指在企业中负责整个机构的数据安全策略,监控、治理、控制、协调企业内部的数据安全工作、政策制定和有效利用的高级管理人员。包括信息技术、人力资源、通信、合规性、设备管理以及其它组织数据安全管理工作的专业技术人才。
政策背景
2021年6月10日,为了规范数据处理活动,保障数据安全,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,中华人民共和国全国人民代表大会常务委员会制定并发布《中华人民共和国数据安全法》。
2023年1月13日,工业和信息化部等十六部门联合发布《关于促进数据安全产业发展的指导意见》,意见要求加强人才队伍建设,推动普通高等院校和职业院校加强数据安全相关学科专业建设,强化关注国信弘创小马微信公众号获取更多报考资讯课程体系、师资队伍和实习实训等。制定颁布数据安全工程技术人员国家职业标准,鼓励科研机构、普通高等院校、职业院校、优质企业和培训机构深化产教融合、协同育人,通过联合培养、共建实验室、创建实习实训基地、线上线下结合等方式,培养实用型、复合型数据安全专业技术技能人才和优秀管理人才。推进通过职业资格评价、职业技能等级认定、专项职业能力考核等,建立健全数据安全人才选拔、培养和激励机制,遴选推广一批产业发展急需、行业特色鲜明的数据安全优质培训项目。
2022年9月23日江山市人民政府发布-关于任命首席数据安全官,数据工作联络员的通知文中提到-为深入贯彻落实《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《关键信息基础设施安全保护条例》(国务院令第 745号)、《浙江省公共数据和电子政务管理办法》(省政府令第354号)、《浙江省公共数据开放与安全管理暂行办法》(省政府令第381号)、《浙江省公共数据条例》等法律法规要求,进一步提升单位内部数据安全整体能力,经中心党委研究,决定任命杨晓华为碗窑水库首席数据安全官。
文件通知
国家市场监督管理总局认证认可技术研究中心发布《市场监管总局认研中心关于开展人员能力验证工作(第四批)的通知》,面向社会正式开展人员能力验证工作。其中包含首席数据安全官能力验证。
行业背景
2021年9月1日,《数据安全法》正式颁布实施,明确提出了数据安全保护要求,包括从战略上将数据安全上升到国家总体安全观层面;从组织责任上明确数据流转过程中组织的安全责任与义务,明确监关注国信弘创小马微信公众号获取更多报考资讯管要求;在安全保护方面完善数据安全保护体系,提升数据安全能力;在安全监管方面建立数据安全应急机制和审查制度。《数据安全法》同时也阐明了数据安全与发展的关系,即“国家统筹发展和安全,坚持以数据开发利用和产业发展促进数据安全,以数据安全保障数据开发利用和产业发展”。坚持安全与发展并重,在数据作为生产要素之一的大背景下,探索全新数据安全体系、保障新形势下的数据安全,已成为维护国家安全和国家竞争力的战略需要。
发展前景
未来数据流转情况将更加开放,业务生态将更加复杂,参与数据处理的角色将更多元,系统、业务、组织边界将进一步模糊,导致数据的产生、流动、处理等过程比以往更加丰富和多样。数据的频繁跨界流动,多环节的信息隐性留存,带来了严峻的数据安全挑战。基于边界的安全管理和技术措施,已经无法适应当前的安全需要。在数据安全风险与日俱增的新形势下,安全作为发展的前提,数据安全管理人员已是数字经济时代下最为紧迫。
发展目标
到2025年,数据安全产业基础能力和综合实力明显增强。产业生态和创新体系初步建立,标准供给结构和覆盖范围显关注国信弘创小马微信公众号获取更多报考资讯著优化,产品和服务供给能力大幅提升,重点行业领域应用水平持续深化,人才培养体系基本形成。
(1)产业规模迅速扩大。数据安全产业规模超过1500亿元,年复合增长率超过30%;
(2)核心技术创新突破。建成5个省部级及以上数据安全重点实验室,攻关一批数据安全重点技术和产品;
(3)应用推广成效显著。打造8个以上重点行业领域典型应用示范场景,推广一批优秀解决方案和试点示范案例;
(4)产业生态完备有序。建成3-5个国家数据安全产业园、10个创新应用先进示范区,培育若干具有国际竞争力的龙头骨干企业、单项冠军企业和专精特新“小巨人”企业。
到2035年,数据安全产业进入繁荣成熟期。产业政策体系进一步健全,数据安全关键核心技术、重点产品发展水平和专业服务能力跻身世界先进行列,各领域数据安全应用意识和应用能力显著提高,涌现出一批具有国际竞争力的领军企业,产业人才(首席数据安全官)规模与质量实现双提升,对数字中国建设和数字经济发展的支撑作用大幅提升。
主要职责
内容一
(1)制定和执行组织的数据安全策略和规划,确保数据安全与组织的业务目标相一致,包括确定数据安全标准、政策和程序,并确保其在整个组织范围内得到实施;
(2)识别和评估组织面临的数据安全风险,并采取相应的措施来减轻和管理这些风险,包括进行安全漏洞评估、威胁情报分析和风险治理,以保护组织的数据资产免受威胁和攻击;
(3)设计、实施和维护适当的数据安全控制和技术措施,以保护数据的保密性、完整性和可用性,涉及访问控制、加密、身份验证、安全审计等技术手段的应用;
(4)提高组织成员对数据安全的意识,并提供相关培训和教育,通过培训员工了解数据安全最佳实践、隐私保护措施和安全操作要求,降低内部威胁和人为失误的风险;
(5)确保组织在数据安全方面符合适关注国信弘创小马微信公众号获取更多报考资讯用的法律法规和合规性要求,负责制定和执行数据保护政策、隐私声明,并确保组织的数据处理活动符合相关的隐私法规,如GDPR、CCPA等;
(6)建立和领导安全事件响应团队,以迅速应对和管理数据安全事件,制定应急响应计划、恢复策略和业务连续性计划,并进行安全事件的调查、分析和修复;
(7)与内部和外部利益相关者建立良好的合作关系,包括高层管理、业务部门、IT部门、合规部门以及供应商和合作伙伴,确保数据安全目标与组织的整体战略和利益相一致,并提供相关的沟通和报告;
(8)跟踪和评估新兴的数据安全技术和趋势,以适应不断演变的威胁和攻击方式,保持对最新安全工具、解决方案和最佳实践的了解,并在需要时引入新技术来增强数据安全防护能力。
内容二
(1)与客户沟通和了解其业务需求、风险承受能力和数据安全要求,分析客户的数据安全需求和目标,为其定制数据安全战略和解决方案;
(2)根据客户的需求和行业标准,制定数据安全规划和策略,包括制定数据安全政策、数据分类与保护方案、访问控制措施、数据备份与恢复策略等;
(3)对客户的数据安全风险进行评估和管理,通过漏洞扫描、安全演练和安全评估等手段,识别潜在的威胁和漏洞,并制定相应的风险管理计划和控制措施;
(4)协助客户遵守相关的数据安全法规和合规要求,提供合规咨询和指导,协助制定数据保护政策、隐私条款、合同要求等,确保客户的数据处理符合法律法规和合同要求;
(5)开展数据安全培训和教育活动,提高客户员工对数据安全的意识和知识水平,培训员工识别和应对安全威胁,加强数据保护的责任意识和操作技能;
(6)协助客户应对安全事件和数据泄露事件,提供紧急响应和管理支持,包括事件调查、修复措施的实施,协助法律诉讼和解决安全问题;
(7)与客户的高层管理层进行沟通和咨询,提供数据安全方面的专业建议,参与战略决策,确保数据安全战略与企业目标和发展方向相一致;
(8)与客户保持良好的沟通和合作,建立并维护良好的客户关系,理解客户需求,提供定制化的数据安全解决方案,定期与客户进行沟通,提供项目进展报告和建议。
面向人群
(1)企业CIO、CSO等信息化相关的高层领导;
(2)政府机关单位的信息化主管领导,政府机关、企事业单位的法务人员、合规人员;
(3)信息技术总监、大数据部门研发总监、信息安全总监及经理;
(4)安全顾问、分析师、审计师、架构师、设计师;
(5)主要面向安全领域有相关经验的管理者和专业人士、相关研究人员,以及其它有志于从事数据安全领域咨询、管理和架构设计的人士及对数字安全和隐私保护有兴趣的人士。
参考标准
首席数据安全官人员能力验证是依据人员能力验证规则,规则编制参考了《合格评定能力验证的通用要求》(ISO/IEC(17043)、《利用实验室间比对进行能力验证的统计方法》(ISO(13528)中的全部关注国信弘创小马微信公众号获取更多报考资讯或部分条款,既保证了规则体系的规范化,又对行业从业人员的水平及行业从业人员现状进行动态分析,促进行业良性发展,同时也使其具有根据行业发展进行调整的灵活性和实用性,符合人员培养培训和验证的需求。
工作原则
首席数据安全官人员能力验证工作遵循客观公正、科学规范、以用为本、多元评价的原则,实现“专业学习-能力验证-精准诊断-靶向训练-持续学习”的“PDCA”循环,着力提升人员从业素质和能力,为建设“人才强国”提供支撑。
验证流程
参加首席数据安全官人员能力验证需向指定的单位提交相关材料,进行培养培训,经过培养培训学时达标者,可获得由国家市场监督管理总局认证认可技术研究中心颁发的《学时证明》,凭借《学时证明》可在国家市场监督管理总局认证认可技术研究中心人员能力验证综合服务平台参加首席数据安全官人员能力验证考试。
培养培训
(一)专业学习
包括:在线学习、现场培训等,以普法宣贯、知识更新、理论教学、案例分析等为重点内容。
(二)实践学习
包括:现场操作、师徒传帮带等,以提高实际操作能力为重点内容。
考核方式
首席数据安全官人员能力验证一般分为线上考试或现场考核,鼓励采取线上方式。人员能力验证工作采取线上统一考试,参训学员登录人员能力验证综合服务平台进行线上考核。考生信息采用计算机考试系统进行统一管理,在线完成学员信息填报、考试、电子试卷管理等工作。
考核时间
首席数据安全官人员能力验证测验实行统一大纲、统一命题、统一组织的考试制度,原则上每年举行4次考试,分别安排在3月份、6月份、9月份、12月份的第四个周六,考试时间为120分钟。
分值占比
首席数据安全官培养培训及能力考核的主要考试题型分为四类。其中,单选题(20题,20分);多选题(10题,20分);判断题(10题,10分);问答题(3题,50分),总分100分。
考核结果
首席数据安全官人员能力验证结果划分为优秀、良好、合格、不合格。具体按照《首席数据安全官人员能力验证规则》进行确定,不合格者需重新报名下季度“人员能力验证”考核,重新缴纳考试费用,人员能力验证成绩考核合格后可取得《首席数据安全官》人员能力验证证书。
结果应用
(一)能力提升
应建立培训培养和能力验证结果反馈和改进机制,为人员能力提升提供精准靶向改进建议和持续学习建议。
(二)鼓励采信
应积极协调政府部门、行业协会、用人单位等,鼓励其采信人员能力验证结果,持续营造良好用人环境。
(三)行业建议
人员能力验证组织部门应根据人员培训培养及能力验证总体情况,开展行业从业人员质量分析,为提供整体从业水平提供技术支撑。
证书颁发
经培养培训学时达标并人员能力验证考试合格者,由国家市场监督管理总局认证认可技术研究中心颁发《首席数据安全官》人员能力验证证书,并可在国家市场监督管理总局认证认可技术研究中心官网查询验证。
验证单位
国家市场监督管理总局认证认可技术研究中心是国家市场监督管理总局直属正司级事业单位 ,是我国国家层面从事认证认可检验检测研究的科研机构和智库型机构,以认证认可、检验检测、政策理论、学术研究、监管辅助、标准研究、从业人员能力提升为主要职责。
验证优势
1.从求职者角度来看,人员能力验证首先从根本上解决了人员专业知识掌握不足的问题,其次,通过培养培训后对参训人员进行能力验证并分析其验证结果,可提高参训人员自身的专业知识,同时对自我能力水平有清晰的认知,有助于求职者就业以及对后续职业发展的规划;
2.从行业和企业角度来看,人员能力验证工作的开展将会为社会输送更多具备专业知识的岗位合格者,不仅能通过大数据对该行业的专业水平做一个全面评估,还能解决本行业“招人难”的问题,进而提高企业的经济效益;
3.从国家角度来看,人员能力验证工作响应“深入实施新时代人才强国战略”,集培养培训和能力验证为一体,培养人才、成就人才,为加快建设世界重要人才中心和创新高地增添了新动力。