文件编码：XXX-XXXX-005 安全需求分析管理规范 发布/修订日期：2022 年 6 月 20 日 生 效 日 期： 2022 年 6 月 20 日 北京思度咨询科技有限公司文件修改记录 序 号文件代码修改章节文件更改通知单编号 修改日期修改人批准人第一章 总则 第一条 为明确数据安全需求分析的流程和评审机制，提高安全需求编制及 系统建设的质量与效率，制定本规范。 第二条 本规范适用于指导北京思度咨询科技有限公司在进行数据安全需求 分析时针对合规性要求、业务安全需求及安全风险等方面内容的编写及评审工作 。 第二章职责权限 第三条 数据安全管理岗主要履行的职责包括但不限于： （一）负责组织制定北京思度咨询科技有限公司数据安全需求分析的相关制 度、规范以及流程； （二）负责组织制定需求评审流程及需求类型分类； （三）负责组织业务部门或专家进行数据安全需求评审； 第四条 数据安全管理小组，负责监督数据安全相关工作的执行情况，主要 履行的职责包括但不限于： （一）负责监督数据安全需求分析的执行情况，及时发现存在的问题，并上 报数据安全领导小组； （二）组织开展安全检查工作，确保需求评审符合流程规定。 第五条 数据安全需求分析岗主要履行的职责包括但不限于： （一）参与数据安全需求分析管理规范的制定； （二）负责对接数据安全专项项目管理和实施； （三）参与应用开发需求分析，提供数据方面的安全意见； （四）负责记录、汇总、筛选、初步分析人员或用户提出的数据安全需求分 析是否合理； （五）根据国家法律、法规、标准与主管机构的政策规范要求，结合组织战 略规划、大数据服务业务目标和业务特点，根据大数据服务面临的威胁和自身脆 弱性安全现状，进行数据安全需求分析并且明确安全规划实施的优先级。 第三章 需求分析内容 第 1 页 共 4 页 第六条 应从数据安全合规性需求、业务数据安全需求及现阶段面临的主要 数据安全风险和应对措施等方面开展数据安全需求分析。 （一）数据安全合规性需求：根据国家下发的最新的数据安全法律、法规、 标准及地方政策要求，识别和挖掘最新的数据安全合规性需求； （二）业务数据安全需求：根据现有的业务数据特点，如数据采集、传输、 存储、共享、销毁等流程，分析业务数据在全生命周期过程中存在的业务数据安 全需求； （三）安全风险需求：根据数据安全建设现状，从物理环境安全、网络安全 、 应用安全及数据安全等方面，识别数据服务平台、应用及存储系统中存在的威胁 和安全隐患，分析目 前存在的安全风险及需要开展的应对措施。 第七条 需求分析文 档的内容主要包括现状 描述（网络现状、业务现状、安 全现状）、需求分析（政策性要求合规分析、业务目标分析、业务分析、系统分 析、安全 差距分析）、安全建设实施方 案等。 第八条 需求的来源包括主动和被动的安全需求。 （一）主动分析需求：数据安全需求分析岗根据业务发展目标、国家下发的 安全规范及现有的安全 隐患定期进行安全需求分析； （二）被动接收需求：各业务相关方定期评 估涉及自身业务的数据安全策略 和系统运维策略，当发现存在的数据安全威胁、 隐患时，向数据安全需求分析岗 提出安全需求。 第四章 需求分析流程 第九条 数据安全需求分析岗组织需求相关方进行业务现状、安全现状 调研。 第十条 数据安全需求分析岗组织需求相关方编写安全需求分析报 告，并组 织进行内部评审， 形成安全需求分析报 告内部终稿。 第十一条 由数据安全需求分析岗上报数据安全管理员，组织 召开专家评审 会，专家依据《数据安全需求分析报 告》进行评审，评审内容包括需求合理性、 可行性、可落地性，对于合理的需求进行采 纳，不合理的需求 给出反馈意见，并 保留需求评审相关记录。 第十二条 专家评审通过 后，数据安全需求分析岗需组织相关人员根据需求 分析报告编写可行性方案及建设方 案等内容。 需求分析流程如 图1所示： 第 2 页 共 4 页图1 需求分析流程 第五章 需求评审机制 第十三条 数据安全管理岗组织需求相关方以及安全专家进行数据分析报 告 的评审。 第十四条 利用相互评审、轮流评审等方 式，从难度和实现效 果出发，讨论 需求实现的 可能性、风险性，从 而给出相关意见， 形成数据安全需求评审 表。 第 3 页 共 4 页第十五条 如果评审结束时专家依然没有结论，则对评审进展进行记录， 会 后再组织协调二次评审，每次评审需保 留评审相关记录， 便于后续审计。 第十六条 对于需求评审中有 争议点或待确认问题，由数据安全管理员与数 据安全需求分析岗 会后共同与相关人员进行确 认，直到获得最终结论。 第六章 附则 第十七条 本规范由数据安全领导小组 办公室负责制定、 解释和修改。 第十八条 对违反本规定的人员， 将按照北京思度咨询科技有限公司有关规 定进行处罚。 第十九条 本规范自发布 之日起执行。 第 4 页 共 4 页