文件编码：XXX-XXXX-002 岗位职责说明书 发布/修订日期：2022 年 6 月 20 日 生 效 日 期： 2022 年 6 月 20 日 北京思度咨询科技有限公司文件修改记录 序 号文件代码修改章节文件更改通知单编号 修改日期修改人批准人第一章 总则 第一条 为保证数据安全方针的有效贯彻，保证数据安全管理活动的有序 进行，特制定本规范。 第二条 本规定适用于数据安全管理体系涉及的所有部门和人员。 第二章数据安全组织 第三章各组织职责描述 第三条 数据安全领导小组作为数据安全管理决策层，由区信息办主任担任 组长，公司负责人担任副组长，负责参与到组织的业务发展与决策以及重大事 项的研究与审议工作，职责如下： （一）制定组织的数据安全总体方针、目标和愿景； （二）对数据安全策略和规划、制度与规范等进行签批发布； （三）为组织的数据安全建设提供必要的资源； （四）对组织的重大数据安全事件进行协调和决策； （五）牵头成立数据安全领导小组办公室，负责管理数据安全工作。 第 1 页 共 7 页第四条 数据安全管理小组作为数据安全工作的监督层，独立于其他管理执 行组，组长为区信息办数据安全负责人，副组长为公司数据安全负责人，各数 据提供方和数据使用方的数据安全负责人为本小组成员。主要负责定期监督审 核数据安全政策和管理要求的执行情况，并向决策层汇报，主要职责如下： （一）建立数据安全工作监督机制，保证安全监督工作有效开展； （二）对数据安全策略落地情况监督； （三）对数据安全工具执行有效性进行监督； （四）对数据安全风险监控与审计进行监督。 第五条 数据安全领导小组办公室是由技术中心、数据与网络安全部、保障 服务中心主要负责人组成的作为数据安全管理与执行的组织，其职责是基于数 据安全领导小组给出的决策及方针，对数据安全实际工作制定详细方案，执行 数据安全领导小组下达的各项任务，保证业务发展与数据安全之间的平衡。并 向数据安全领导小组汇报数据安全执行情况。其主要工作职责包括： （一）结合组织业务发展目标和内外部的合规要求，将数据安全工作的目 标与业务发展目标进行有机结合，并进行数据安全总体策略和战略规划的制定 ； （二）依据组织数据安全战略规划目标，制定数据安全规划各阶段目标、 任务和工作重点，并对战略规划目标和安全规划实施过程进行监督与控制； （三）制定数据安全决策层、管理层、执行层、监督层的运作机制并提交 领导小组批准执行，保证数据安全工作在内部保持信息通畅、运作顺利； （四）履行组织对数据安全的要求，部署数据安全管理工具并且按照管理 策略，保证数据安全工具的正常运行。 第四章 岗位职责描述 第六条 数据安全管理岗 （一）负责统筹管理数据安全工作； （二）负责数据安全 相关制度规范的制定、修订和发布和 版本管理； （三）组织数据安全 相关制度规范的 宣贯； （四）协 助建立整体的技术 防护能力和安全保障 能力，督促技术人员 关于 数据安全技术的 应用、数据安全 产品的开发和部署工作； （五）保持 同外部组织的 沟通，包括 国家及行业监管、第三方咨询服务 商 （安全咨询、安全 厂商）及认证、测评机构（认证及认可、安全测评机构）等。 第七条 数据安全审计岗 （一）负责统筹数据安全审计工作； 第 2 页 共 8 页（二）负责数据安全审计及风险管理 相关制度规范的制定、修订和发布和 版本管理； （三）负责实 时监控和分析审计日志、告警日志及运维日志、终端敏感数 据扫描日志等信息； （四）负责对生 命周期各阶段的数据 访问和操作开展安全风险 评估； （五）负责对 识别的风险开展 应急处置工作； （六）负责组织定期对员工数据 操作的行为进行人工审计。 第八条 数据资 产管理岗 （一）协 助制定数据资 产的安全管理制度，明 确资产安全管理目标和安全 原则、资产的全生命周期管理要求、资 产登记要求和 分类标记要求； （二）定期协 助审核和更 新数据资产安全管理 相关的安全规范和 操作细则； （三）建立公司的数据资 产登记机制， 形成数据资 产清单（数据资源目 录），以 此明确数据资产管理范围和属性、明确资产安全责任主体及 相关方； （四）及 时更新数据资产相关信息，组织数据资 产级别变更的评估。 第九条 数据 质量管理岗 （一）基于目 前已发布的数据 质量国家/行业标准，建立数据管理规范，定 期结合最新发布的标准规范对数据 质量管理规范进行 补充和修改； （二）推动数据质量管理规范的有效落地； （三）对数据 质量进行管理， 从完整性、唯一性、规范性、准 确性、关联 性以及一 致性等方面对数据质量进行判断，可将数据划 分为正确数据、可修正 数据以及 问题数据； （四）对数据进行核 验并形成数据质量报告，对问题数据以及 可修正数据 进行数据的 清洗工作； （五）设 置数据质量异常上报流程和操作规范，并对 每个已报告异常的解 决状态保持跟踪。 第十条 数据 分析安全岗 （一）参与制定数据 分析安全管理规范； （二）对数据 挖掘分析任务进行 评估，依据任务 类型选择合适的数据 分析 方法、确定所需具体数据，开展数据 挖掘分析工作； （三）参与制定数据共 享相关的管理规范、设立共 享工作流程； （四）负责共 享相关原则和技术 能力的提供； （五）参与对外部 软件开发包/组件/源码进行安全 评估； （六）对组织的数据共 享业务执行安全风险 评估，并为已识别的风险提供 解决方案。 第 3 页 共 7 页第十一条 数据 接口安全岗 （一）协 助制定和验证应用系统的数据 接口安全标准； （二）定期审计数据 接口的安全能力。 第十二条 数据 脱敏安全岗 （一）参与制定数据加密相关的管理规定、 流程； （二）负责对 传输和存储的数据进行 加密、管理数据 密钥（如有）； （三）参与制定数据 脱敏的原则和方法，设计脱敏工作流程； （四）对部 分共享数据借助数据脱敏工具或其他方式进行脱敏，结合数据 本身的特性选择合适的数据 脱敏方法，确保脱敏后数据不存在泄密的可能性。 第十三条 数据 分类分级管理岗 （一）协 助制定数据 分类分级的标准、 指南、数据分类分级变更审批流程 和机制，定 义组织整体的数据 分类分级的安全原则； （二）指导业务数据 分类分级的执行。 第十四条 数据 采集安全岗 （一）参与制定数据 采集相关的安全管理制度； （二）推动数据采集相关要求、流程的落地； （三）对具体业务 或项目的数据 采集风险评估提供咨询和 支持。 第十五条 数据供 应链安全岗 （一）参与制定 整体的数据供 应链管理要求； （二）推动公司通过合作协议方 式明确数据供应链中数据的使用目的、供 应方式、保密约定、安全责任 义务等； （三）建立供 应链安全审查规程，定期开展数据供 应链安全的核 查。 第十六条 数据安全 需求分析岗 （一）参与数据安全 需求分析管理规范的制定； （二）负责对 接数据安全 专项项目需求管理和实施； （三）参与 应用开发需求分析，提供数据方 面的安全意见； （四）根据国家法律、法规、标准与主管机 构的政策规范要求，结合组织 战略规划、大数据服务业务目标和业务特点， 根据大数据服务 面临的威胁和自 身脆弱性安全现状，进行数据安全 需求分析并且明确安全规划实施的 优先级； （五）组织业务部门 或专家进行数据安全 需求评审。 第十七条 数据安全合规岗 （一）负责组织 整体数据安全合规管理； （二）建立和发布公司的数据安全合规 清单，并根据内外部合规要求的动 态调整和变更； 第 4 页 共 8 页（三）协 助数据安全管理员组织数据安全 相关规范制度和详细标准的制定 ， 为公司数据安全 相关工作的开展提供依据和要求； （四）负责对数据的使用进行管理、正 当性评估及风险控制。 第十八条 数据安全 培训岗 （一）负责制定数据安全内外部 培训计划，包 含公司建立的数据安全管理 体现的宣贯与培训，其他政策、 法律、法规、标准等的 培训； （二）收集员工的培训需求，并合理 申请及安排； （三）对组织内人员 能力开展数据安全技术 培训和意识宣导，逐步提升数 据安全工作人员的 能力水平和组织内人员安全 意识； （四）通过 多种形式向全体人员 普及数据安全 相关知识，通过多种形式推 广数据安全的风险 防范思路和方法，提高组织内全体人员的数据安全 意识，促 进数据安全工作的具体落地； （五）可能的外部培训安排； （六）对 培训结果进行评价、记录和 归档。 第十九条 数据安全事件管理岗 （一）参与制定数据安全事件的管理规定； （二）开展数据安全事件 分析、响应、应急处置等工作； （三）负责对安全事件的 跟进和处理等工作； （四）组织 应急演练等工作。 第二十条 数据库运维岗 （一）负责对数据 库进行日常运 维，包括但不限于数据 库补丁安装、数据 库账号管理、数据 库调优、数据库运行状况监控等； （二）完成数据库升级、故障恢复等； （三）提供必要的技术 支持； （四）负责组织数据 库的安装和升级以及后期运维工作； （五）协 助制定存储媒体访问和使用相关的安全管理规范，并组织定期对 使用的存储媒体进行安全 检查； （六）当数据及存储媒体涉及到 销毁时，负责组织业务 团队人员进行 销毁 事项； （七）负责建立组织内部 元数据的语义规则、管理要求和技术工具； （八）负责为 元数据建立 访问控制策略和审计机制，对 元数据的操作行为 进行审计。 第二十一条 权限管控岗 （一）参与制定 权限管理相关规定； 第 5 页 共 7 页（二）按照 权限管理要求， 完成权限的配置、调整、撤销等； （三