数据安全治理白皮书4.0（220页）

管理层一般由来自信息安全部门或专门的数据安全管理部门人员组成，负责数据安全治理体系 的建设、培训和运营维护工作。在数据安全治理启动建设的早期，管理层需要牵头对企业或组织现 有的数据资产进行梳理，向业务运营、数据分析等数据使用部门充分了解与数据安全有关的业务需求， 分析评估安全威胁和潜在风险，并详尽调研各政策、法律、标准、规范中的数据安全合规要求，然 后根据企业或组织的风险承受能力和财务预算，规划和起草适宜自身的数据安全操作规程等制度文 档。在制度规范得到决策层认可后，管理层要组织相关培训，以推动制度在企业或组织内的推广和 落地实施。管理层还要承担起维护数据安全制度持续运转的保障工作，并及时做出更新、调整和优化， 以更好适应和支撑企业或组织的业务发展。 3）支持层 支持层一般由来自业务部门和运维部门的人员组成。这些人员是数据的使用者、管理者、维护者、 分发者，同时也是数据安全策略、规范和流程的重要执行者和管理对象。在数据安全治理启动建设 的早期，支持层负责协助管理层详细了解并深入理解企业或组织在业务开展过程中的各种数据安全 需求；对管理层提出的数据安全操作规程等制度和方案的可行性和易用性，进行细致的分析和评估， 并将结果反馈给决策层，以支撑后者做出明智、正确的决策。

数据安全制度正式发布实施后，支持 层要在其日常例行工作中严格遵守数据安全操作规程，并积极发现和报告制度规范中的漏洞和潜在 风险，促进管理层及时响应，尽快对数据安全的制度和措施做出更新、调整和优化。 4）监督层 监督层一般由企业或组织内的审计部门承担，负责定期对数据安全方面的制度、策略、规范等 的贯彻落实和执行遵守情况进行考查与审核，并将结果汇报给决策层。监督层的关键是要具有独立性， 确保其审计核查工作不会受到来自其他三层，特别是管理层和支持层的相关利益或动机的影响和干 扰，从而保证企业或组织能够及时发觉其数据安全制度在落地执行层面的问题和风险。 提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，还需成立主要由 外部成员组成的独立机构对个人信息保护情况进行监督。 3.3.2. 定岗定员 数据安全治理团队的职能架构确定后，如何制定出高质可行的操作规程和管理制度并实现这些 制度规范的高效运作和部门职责的有效达成，就成为企业或组织要面对和解决的首要问题。定岗定员、 专业化分工是解决问题、实现目标的基本方法。 定岗是指对数据安全职能架构中各个层次内的职责进行更细致的分工，将一系列相互间关联紧 密的工作任务集合设定为一个岗位。定员则是指明确固定某一个或一组人承担某个岗位的任务和职 责。定岗的本质是分工，定员的核心是明确职责，二者被共同用于在分工基础上为企业或组织实现 降低成本、提高效率的终极目标。