網絡空間安全:行業資訊、技術分享、法規研討、趨勢分析……

“游俠安全網”創建了網絡安全從業者QQ大群(群號:1255197) ,歡迎各位同仁加入!有其它問題如合作等,請聯系站長“網路游俠”,QQ:55984512
?

:《數據安全治理建設指南》精簡版

2019-05-21 16:15 推薦: 瀏覽: 19 views 字號:

博彩彩票计划 www.nandk.icu 摘要: 《數據安全治理建設指南》作為數據安全建設落地的指引,以實際經驗為基礎,將制度規范與技術工具有效融合,從能力維度、執行維度、場景維度三個維度提出數據安全治理建設工作的落腳點??梢暈郵率蒞踩衛硤逑到ㄉ璧鈉笠檔ノ緩妥急附ㄉ枋蒞踩衛硤逑檔鈉笠島駝ノ?,提供...

《數據安全治理建設指南》作為數據安全建設落地的指引,以實際經驗為基礎,將制度規范與技術工具有效融合,從能力維度、執行維度、場景維度三個維度提出數據安全治理建設工作的落腳點??梢暈郵率蒞踩衛硤逑到ㄉ璧鈉笠檔ノ緩妥急附ㄉ枋蒞踩衛硤逑檔鈉笠島駝ノ?,提供參考。

《數據安全治理建設指南》精簡版

數據安全治理(Data Security Governance 簡稱:DSG),主要目標是“讓數據使用更安全”,只有合理的處理好數據資產的使用與安全,政府與企業才能在新的數據時代穩健而高速發展。

圍繞“讓數據使用更安全”的核心目標,重點關注數據的權限和數據應用的場景,幫助用戶完成數據安全治理體系的建設。

數據安全治理并非單一產品或平臺的構建,而是覆蓋數據全部使用場景的數據安全治理體系建設。因此,需要按步驟、分階段的逐漸完成。數據安全治理并不是一個項目,而更像是一項工程。為了有效實踐數據安全治理,形成數據安全的閉環,我們需要一個系統化的過程完成數據安全治理的建設。

數據安全治理體系框架

數據安全治理不僅僅是一套用工具組合的產品級解決方案,而是從決策層到技術層,從管理制度到工具支撐,自上而下貫穿整個組織架構的完整鏈條。組織內的各個層級之間需要相互協作,對數據安全治理的目標和宗旨達成共識,并從能力、執行、場景三個維度建設數據安全治理體系,以最有效的方式?;ば畔⒆試?,數據安全治理體系框架如下圖:

1 副本.jpg

能力維度:完善的組織機構、有針對性和可行的管理制度和規范、全面和先進的數據安全技術,是構建數據安全治理體系的基礎。

●執行維度:針對數據使用的各個場景,需要通過梳理來了解數據資產狀況和風險;配合制度規范要求,采用不同的安全技術手段進行數據使用過程中的管控,同時要監控使用過程,對訪問行為進行稽核,并不斷完善。

●場景維度:數據安全治理涵蓋數據在日常使用過程中面臨的各種場景,具體包含開發測試、運維、共享、分析、應用訪問、內部特權訪問等場景。

一、能力維度

●組織建設:組織的職責可劃分為數據安全策略的決策、數據的安全管理、數據安全使用的監督三類,根據不同職責分配角色和人員。

●治理評估:組織在進行規劃過程中,應定期通過業務合規性評估手段開展咨詢評估工作,對業務系統和數據安全進行全面檢測,并對評估結果進行安全能力分析,從而形成業務系統數據安全能力評估報告。

●制度建設:將制度、規范按照方針政策、制度規范、操作明細、基礎模板四類進行分類,形成樹狀結構,便于管理。

●技術建設:數據安全技術,支撐制度規范的執行與監控,技術工具建議使用標準的數據安全產品或平臺,也可以是自主開發的組件或工具;技術工具應覆蓋數據使用的各個場景中的數據安全需求。

2 副本.jpg

二、執行維度

●資產梳理

此過程是數據安全治理全維度的基礎,因為,只有摸清資產使用部門和角色、數據資產的分布、數據量級、訪問權限、數據使用狀況,才能夠有效的針對數據進行精細化的安全管控。

●行為管控

此過程是結合業務流程,在數據流轉中的數據訪問、數據運維、數據傳輸外發、數據存儲等各環節做到內外兼顧,并對數據處理/使用環節中的數據進行安全?;?。

●治理稽核

稽核是保證數據安全治理規范落地的關鍵,也是信息安全管理部門的重要職責。因此,此環節是保障數據安全治理的策略和規范能否被有效執行和落地,以及最終實現數據安全治理全流程的閉環。

三、場景維度

數據安全治理的場景,是要明確在數據安全治理的過程中以場景化方式指導安全技術進行落地。所以在場景維度,必須首先分析用戶業務場景,包含但不限于如:開發測試、數據運維、數據分析、應用訪問、特權訪問等場景,然后按照能力維度中所梳理的資產、數據、用戶、權限等內容導入到場景化,包括早期策略制定前的數據梳理工具,數據訪問過程控制中,采用什么樣的技術手段幫助實現數據的安全管理過程,以及在后期對數據安全治理工作進行稽核的過程中采用什么樣的技術工具進行輔助監管。結合數據安全治理工具幫助完成數據安全治理工作。

3 副本.jpg

糾正和優化數據安全治理體系

數據安全沒有絕對的安全,只是在某一時期相對安全。因此,數據安全治理體系的建設也并非一次可以完成,需要根據信息化建設的變化和政策的要求持續不斷的完善,來應對可能發生的數據安全風險,滿足政策的要求。

對當前的數據資產情況進行進一步的梳理,看是否有增加的資產或訪問角色;對稽核的情況進行梳理,看是否有未納入管理的數據訪問行為;觀測最新的相關安全規范的變化情況,看是否有需要新增或移除的外部安全策略;了解新的業務系統或組織結構,看數據的訪問權限和行為方式是否改變;根據以上情況,改組當前的數據安全組織結構,修訂當前的數據安全策略和規范,持續保證安全策略的落地。

為了消除在數據安全治理體系運行中發現的不符合項,必須及時采取糾正性措施。為此,應采取措施找到問題的原因,消除引發問題出現的根源,防止其再次發生。持續不斷的優化數據安全治理過程,從而整體提升企業或政府的數據安全防護能力。

4.jpg

掃描二維碼

獲取建設指南完整版

聯系站長租廣告位!
?
中國首席信息安全官


關閉


博彩彩票计划
關閉
pk10三分钟赛车计划软件 360老时时开奖号码走势图 后三不定位最佳方法 中国竞彩比分直播网 掷骰子比大小规则 北京福彩pk10 3d定四个跨度好方法 四川时时哪里买 欢乐二人雀神游戏 大乐透机选号码体彩 通发老虎机官网 黄金计划软件手机版 竞猜计算器足球胜平负 高频彩彩票计划自动模拟器 北京塞车开奖直播 百人牛牛压注技巧