安全第二话

昨天讲到了安全相关的一些点，实际上安全相关的更主要的是流程和制度相关的。所以今天写一个第二话，讲讲安全的制度和流程。安全体系里最关键的是要成立安全领导小组，而且要高管是负责人。

从管理规范性上，公司应该建立以下相关的安全制度。：

总纲类文件

信息安全整体制度和安全策略

信息安全工作管理制度

信息安全工作管理流程

单项文件

员工安全保密培训制度

网络安全制度

数据安全制度

办公场所安全制度

机房安全制度

预警 &处置类

安全预防制度

安全事故处理流程

完成了上述的文件，基本的安全架子就搭起来了。从技术角度讲，更关注的是其中几点：网络安全、系统安全、数据安全。系统和网络的安全内容大部分都在昨天的内容里提到了。特别再说说数据安全。

数据安全

数据安全里最核心的是数据的分类分级，这个国家出台了一些国标的参考文件，例如我们这个行业的 JRT 0197-2020 金融数据安全 数据安全分级指南。这就是我们现在的法宝。所有的数据分级分类都按照这个指南来做。按照打咖给我们培训时候的说法，要做到合法合规可知、分类分级可识、使用流程可控、数据风险可察、管控提升可见。

数据分类分级，其中的关键也是组织结构，就是要明确对应的责任人。然后明确数据分级分类的标准，可以按照业务纬度，也可以按照数据属性纬度进行定级定类。在分级分类的基础上，所有对数据的访问、分发、使用都要遵从严格的流程，不同等级的数据所需要的审批人的权限也不同。数据等级越高，需要权限越高。

系统安全和网络安全大家都很有经验了，不过数据安全对大家来说估计都是刚开始做。这一点